近年よく耳にするDDoS攻撃。AWS環境でもDDoS攻撃を受ける恐れがあるので、しっかり対策を取っておくことが重要です。
この記事ではAWS環境でDDoS対策として利用できる3つのセキュリティサービスについて紹介します。それぞれのメリットとデメリットをわかりやすく解説するので、ぜひ最後までご覧ください。
目次
- まずDDoS攻撃の基礎知識を理解しよう!
- AWS Shield Standard:無料で利用可能なDDoS対策サービス
- AWS WAF:アプリケーション層への攻撃の対策サービス
- AWS Shield Advanced:AWS Shield Standardの上位サービス
- どれを導入すべき?最低限でもAWS Shield StandardとAWS WAFを導入すべき
まずDDoS攻撃の基礎知識を理解しよう!
DDoS攻撃(Distributed Denial of Service Attack)とは、対処しきれないほどの通信をサーバに送り付けることで、サーバーダウンをさせるサイバー攻撃です。より防御しにくくするために、複数のIPから攻撃を仕掛けるケースも少なくありません。
DDoS攻撃を受けた場合、WebサイトやWebアプリケーションがアクセスしにくくなったりアクセスできなくなります。さらに、DDoS攻撃を受けている隙にほかのサイバー攻撃も仕掛けられて、二次被害が発生するケースも珍しくありません。
WebサイトやWebサービスをDDoS攻撃から守るため、AWSでは3つのDDoS対策サービスを提供しています。1つずつ解説をしていきます。
AWS Shield Standard:無料で利用可能なDDoS対策サービス
AWS Shield Standardは、AWSが提供しているDDoS攻撃の対策サービスで、OSI参照モデルのL3(ネットワーク層)とL4(トランスポート層)へのDDoS攻撃に有効です。
AWS Shield Standardのメリット
AWS Shield Standardの最大のメリットは導入のしやすさです。
WebACL、Amazon CloudFrontやAmazon Route 53などをすでに導入している場合、追加の設定をしなくてもAWS Shield Standardを自動適用できます。面倒な設定がなくAWS Shield Standardからの保護を受けることができます。
また、AWS Shield Standardは月額料金がかからないので、リソースが限られた中小企業やベンチャー企業でも気軽に導入できます。
AWS Shield Standardのデメリット
AWS Shield StandardはL3とL4へのDDoS攻撃には有効ですが、HTTP/HTTPSなどを利用したL7アプリケーション層への攻撃は防御できません。そのため、インターネットに公開しているWebサイトやWebサービスがある場合、AWS Shield Standardだけでの対策では不十分です。
また、AWS Shield Standardの保護を受けるには、WebACL、Amazon CloudFrontやAmazon Route 53などの利用が必要です。それらのサービスを利用していない場合は、システムの再構築が必要となります。そのため、システムの再構築によるコストや工数が発生する可能性があります。
関連リンク
AWS WAF:アプリケーション層への攻撃の対策サービス
AWS WAFとは、AWSが提供しているWAFで、L7アプリケーション層の保護に特化しているセキュリティサービスです。AWS WAFにレートベースのルールを設定することでDDoS攻撃を緩和することができます。
レートベースのルールでは、同じIPアドレスから5分間のアクセス数の上限(しきい値)を決めることができます。上限を超えた場合、該当するIPアドレスからの通信をブロックします。また、特定の国やIPからのアクセスをブロックすることも可能です。
AWS WAFについてわかりやすくまとめた資料があります。こちらからダウンロードしてください。
AWS WAFのメリット
AWS WAFは、L7を保護するセキュリティサービスとして、DDoS攻撃だけでなくSQLインジェクションやクロスサイトスクリプティング(XSS)など、情報漏えいやアプリケーション改ざんなどの被害をもたらす攻撃を防御することもできます。
個人情報が漏えいした場合、売上機会の損失や企業イメージの低下にとどまらず刑事罰が科される可能性もあります。そのため、ECサイトや会員制サイトなど、個人情報を扱っている企業は特にAWS WAFを導入しておくことが重要です。
また、AWS WAFは導入が簡単です。Amazon CloudFront、Application Load Balancer(ALB)やAmazon API GatewayでWAFを有効に設定することで、煩雑な設定なくAWS WAFを導入することができます。
さらに、手頃な価格設定で、初期費用は不要で月額料金も数千円程度なので、安価に始められます。
AWS WAFのデメリット
AWS WAFは、L7に特化しているセキュリティサービスであるため、L3やL4へのDDoS攻撃を対策できません。L3やL4のDDoS攻撃を防ぐ場合、AWS Shield Standardとの併用が必要です。
また、運用の難しさもAWS WAFのデメリットです。AWS WAFを活用するためには検知ルールの設定が必要です。AWSが提供しているマネージドルールを利用することでルールの設定を簡単にできますが、ルールがカスタマイズできないことによる誤検知の発生がよくあります。
原因の特定やルールの調整、またはアプリケーションの改修など、誤検知対応に関する工数負荷に課題を感じる企業も少なくありません。
また、ルールの内容が公表されていないため、新規の脆弱性に対応できているのか、ルールはしっかり更新されているのか、本当に攻撃を防御できているのかなど、AWS WAFを導入後にこういった疑問を持ってしまうケースもあります。
AWS WAFの運用の難しさについてこちらの資料にまとめたのでぜひご覧ください。
AWS Shield Advanced:AWS Shield Standardの上位サービス
AWS Shield AdvancedはAWS Shield Standardの上位プランであり、L3とL4へのDDoS攻撃だけでなく、L7への攻撃も防御できます。包括的なDDoS対策を取りたい場合、AWS Shield Advancedの導入がおすすめです。
AWS Shield Advancedのメリット
AWS Shield Standardの上位プランであるため、AWS Shield AdvancedはL3とL4への攻撃を対策できるうえ、L7へのDDoS攻撃も防御できます。TCP SYNフラッド攻撃やDNSフラッド攻撃、HTTPフラッド攻撃など、DDoS攻撃によく使われる手口を対策できます。
また、AWSのSRT(Shield Response Team)によるサポートを受けられるのもAWS Shield Advanced のメリットです。SRTはDDoS攻撃への対応を専門とするセキュリティエンジニアの集団です。 ログを分析し攻撃の特性を特定したり、手動で攻撃を防御したりすることを代行するので、万が一DDoS攻撃を受けた場合でも安心できます。
さらに、複数のAWSアカウントに適用できることや、被害時に増加したAmazon CloudFrontやRoute 53の利用料金の返金が可能となることもAWS Shield Advancedのメリットです。
AWS Shield Advancedのデメリット
包括的なDDoS対策ができる一方で、AWS Shield Advancedの利用料金は安くはありません。月額料金が3,000ドルかつ年間契約となるので、AWS Shield Advancedを利用することで年間36,000ドルのコストが発生します。
リソースが限られた中小企業やベンチャー企業にとっては決して簡単に出せる金額ではないでしょう。
どれを導入すべき?最低限でもAWS Shield StandardとAWS WAFを導入すべき
AWS環境でのDDoS対策として、AWS Shield Standard、AWS WAF、AWS Shield Advancedの3つのサービスがあります。どれを導入すべきか悩む人もいますが、それぞれのサービスの防御範囲や対応できる攻撃が異なるので、強固なクラウドセキュリティを実現するために、AWS ShieldもAWS WAFも導入するのがおすすめです。
それぞれのサービスの特徴や防御できる攻撃などを下記にまとめたので、ぜひ再度ご確認ください。
AWS WAFの特徴や運用上の注意点も資料にまとめました。下記からダウンロードしてください。