DDoS攻撃が増加している中、自社のアプリケーションを守るためには適切な対策が必要です。AWS環境ではDDoS攻撃の対策としてAWS Shieldというサービスがあります。
この記事ではAWS Shieldの基礎知識や導入メリット、または使い方についてわかりやすく解説します。
目次
- AWS Shieldとは?
- AWS Shield StandardとAWS Shield Advancedの違い
- AWS Shieldの導入メリット
- AWS Shieldの使い方
- AWS Shieldの料金
- まとめ
AWS Shieldとは?
AWS Shieldとは、AWS環境でのアプリケーションからDDoS攻撃から防御するセキュリティサービスです。AWS Shieldには2つの種類があり、無料で利用できるAWS Shield Standardとその上位プランである有料なAWS Shield Advancedとなります。
AWS Shieldで防げるするDDoS攻撃とは?
DDoS(Distributed Denial of Service)攻撃とは、DoS攻撃と呼ばれるサーバーダウンを目的とした攻撃のひとつで、分散型DoS攻撃とも呼ばれます。
1台のコンピュータで攻撃してサーバをさせる手法はDoS攻撃と呼ばれますが、なかでもウイルス感染などでボット化した大量のコンピュータを利用した攻撃で、サーバーダウンに追い込むのがDDoS攻撃です。
いずれも不正なパケットを送り込みサービスを停止させるという点では共通していますが、非常に多い台数のコンピュータが攻撃元となっている場合はDDoS攻撃となります。
一般的にはDDoS攻撃が発生した場合、ゲートウェイ側で攻撃元のIPアドレスを制限しようとしても数が多すぎるため設定が追い付かず、対策が難しいのが現状です。
この場合に有効な策となるのが、AWS Shieldというわけです。
AWS Shield StandardとAWS Shield Advancedの違い
AWS ShieldにはAWS Shield StandardとAWS Shield Advancedの2種類があります。
まず、AWS Shield Standardは、すべてのAWSユーザーが自動的に無料で利用することができますが、AWS Shield Advancedを利用すると追加料金が必要になります。料金の詳細については後述するのでチェックしておいてください。
下記にはAWS Shield StandardとAWS Shield Advancedの主な特徴を紹介します。
AWS Shield Standard:無料のDDoS攻撃対策サービス
AWS Shield Standardは、すべてのAWSユーザーが無料で利用できるのがポイントですが、DDoS攻撃の履歴を参照したり、レポート化したり、通知を送信したりということはできません。AWS Shield Standardの特徴は下記の通りです。
- 追加料金なしですべてのAWSユーザーが自動的に利用できる
- インフラストラクチャ(L3および4)を標的とするDDoS攻撃を保護
- AWSへの受信トラフィックをモニタリングし、悪意のあるトラフィックがあれば検出する
- 攻撃を自動的に緩和
AWS Shield StandardだけではL7へのDDoS攻撃を検知・防御できないのですが、AWS WAFを併用すればL7層のDDoS攻撃も対策できます。
AWS Shield Advanced:高度なDDoS攻撃対策サービス
DDoS攻撃に対して大きな不安があるユーザーであれば、アプリケーション層までの検出が可能で、いざというときの料金保証にも対応しているAWS Shield Advancedのほうがオススメです。AWS Shield Advancedの特徴は下記となります。
- アプリケーションレイヤー(L7層)におけるDDoS攻撃も検出
- 高度なルーティング技術を利用した、より大規模なDDoS攻撃に対する追加の緩和機能
- AWSの他サービスとの連携でより可視化された状態の提供と攻撃の通知が利用可能
- DDoS攻撃の影響で請求金額が大きく上がった場合の払い戻し
- 24時間365日の専門サポート
AWS Shield Advancedを導入することで高度なDDoS攻撃対策を実現できますが、利用料金は月額3,000ドル~となるので導入にハードルを感じる企業もいます。
AWS Shieldの導入メリット
AWS Shieldを導入するメリットは以下のとおりです。
- AWSを利用していれば、特別な設定は必要なく無料でAWS Shield Standardを利用できる
- AWS Shield Standardを利用していれば誰もがL3・4レベルの攻撃から保護できる
- AWS Shield Advancedにグレードアップすれば、L7レベルの攻撃からの保護ができる
- AWS Shield Advancedにグレードアップすれば、サポートやDDoS攻撃による異常課金にも対応できる
AWS Shieldは先述のとおり、AWSであればすべてのユーザーでL3・L4(ネットワーク・ポートレベル)のDDoS攻撃からの保護が可能です。
これが追加費用なしでできるというのはコスト面でも大きなメリットです。
さらに、DDoS攻撃を受ける可能性のあるサーバを運用している場合は、AWS Shield Advancedを契約することによってより高度なDDoS攻撃からの保護を提供されます。
AWS Shieldの使い方
まず、AWS Shield Standardであれば特に設定や申し込みは不要で利用できます。
AWS Shield Advancedであれば以下の手順が必要になります。
①AWS Shield Advancedのアクティブ化
AWSにサインインし、AWS WAFコンソールに初めてサインインする場合は、「Go to Shield(Shield に移動)」→「Activate AWS Shield Advanced(AWS Shield Advancedをアクティブ化する)」を選択します。それ以外の場合は、ナビゲーションペインの 「AWS Shield」→「Protected resources(保護されているリソース)」を選択します。次に、「Activate service(サービスのアクティブ化)」を選択します。
②保護するリソースを指定する
次に、保護するリソースを選択し、「Protect selected resources(選択したリソースを保護)」で決定します。
③レートベースのルールを追加する
レートベースのルールを追加することで、DDoSイベントの可能性がある急激なトラフィックの増加へのアラートが通知されます。ルールを作成するには、リソースに対してWeb ACLを作成し、そのリソースでレートベースのルールを作成します。
④権限をDDoS Response Teamに付与する
DDoS Response Team(DRT)からのサポートを利用可能にする場合は、必要な権限をDRTに事前に付与することで、実際に攻撃が発生した場合の対処を代行で行ってもらえます。
⑤Amazon CloudWatch アラームを設定する
Amazon CloudWatchと連携することで、DDoS攻撃と思われる攻撃から保護されたリソースに関する通知を送るように設定できます。アラームを作成するには、リソース上にてAmazon CloudWatchの通知設定を行います。
⑥AWS WAF ルールをデプロイする
セキュリティのオートメーションテンプレートを活用し、AWS WAFにおけるルールを設定しておくことも重要です。AWS WAFも併用することで、DDoS攻撃に限らずSQLインジェクションなどのほかのL7層に対する攻撃に関する対処をすることができるようになります。
AWS WAFとはAWSが提供しているWAF(Web Application Firewall)で、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーションの脆弱性を突く攻撃の防御に有効なセキュリティサービスです。
AWS WAFについて詳しくはこちらの記事:
⑦グローバル脅威環境ダッシュボードのモニタリング
AWS Shieldにおいては、モニタリングも重要です。グローバル脅威環境ダッシュボードであれば、最大の攻撃、トップの攻撃ベクトル、重要な攻撃の相対的な数などの脅威状況の概要をほぼリアルタイムで確認することができます。
AWS Shieldの料金
先述の通り、AWS Shield Standardは無料で利用できますが、AWS Shield Advancedは有料です。AWS Shield Advancedの基本月額料金は3,000ドルとなり、さらに、Amazon CloudFront、Elastic Load Balancing(ELB)、Amazon Elastic Compute Cloud(EC2)、AWS Global Accelerator からのデータ転送量によって追加の使用料金がかかります。
料金は以下のとおりです。
| Amazon CloudFront | Elastic Load Balancing (ELB) | AWS Elastic IP (EC2およびNetwork Load Balancer) | AWS Global Accelerator | Amazon Route 53 | |
| 最初の100TB | 0.025USD | 0.05USD | 0.05USD | 0.05USD | 追加料金なし |
| 次の 400TB | 0.02USD | 0.04USD | 0.04USD | 0.04USD | 追加料金なし |
| 次の 500TB | 0.015USD | 0.03USD | 0.03USD | 0.03USD | 追加料金なし |
| 次の 4PB | 0.01USD | 要問い合わせ | 要問い合わせ | 要問い合わせ | 追加料金なし |
| 5PB超 | 要問い合わせ | 要問い合わせ | 要問い合わせ | 要問い合わせ | 追加料金なし |
まとめ
AWSを利用している方であれば、AWS Shield Standardを無料で、かつ自動的に使うことができ、DDoS攻撃への不安を緩和することができます。
また、エンタープライズや大手企業などより高度なDDoS攻撃対策が必要のであれば、AWS Shield Advancedを契約することで、L7層に対するDDoS攻撃からの保護やサポート対応、さらには攻撃により発生した膨大な課金への保証もできます。
利用中の環境や要件に応じて、適切な方のタイプを選択しましょう。
