投稿日: Nov 21, 2017
本日より、AWS Shield Advanced を使用して、Amazon Elastic Compute Cloud (EC2) またはネットワークロードバランサー (NLB) で実行されているアプリケーションを分散型サービス拒否 (DDoS) からより安全に保護することができます。インターネット向けの EC2 インスタンスまたは NLB にアタッチされた AWS Elastic IP アドレスで AWS Shield Advanced を有効にするだけで利用できます。AWS Shield Advanced は、Elastic IP アドレスの背後の AWS リソースのタイプを自動的に検出し、適切な DDoS 保護策を適用します。
AWS Shield Advanced は、これまで Amazon CloudFront、Elastic Load Balancing、および Amazon Route 53 で実行されている HTTP/TCP アプリケーションを保護していました。TCP ベース以外のアプリケーション (UDP や SIP など) を EC2 または NLB を実行する必要がある場合は、インフラストラクチャレイヤーへの最も一般的な DDoS 攻撃に対して AWS Shield Standard で保護していました。今回の機能強化により、Elastic IP の AWS Shield Advanced では、EC2 で直接実行されるインターネット向けのアプリケーションに対する AWS Shield Advanced の利点を活用できます。たとえば、大規模で高度な DDoS 攻撃に対する追加の検出および緩和策、ほぼリアルタイムの可視性、24 時間年中無休の Amazon DDoS Response Team (DRT) のサポート、EC2 料金や NLB 料金での DDoS 関連のスパイクに対する経済的な保護などの利点が適用されます。DRT と連携して、アプリケーションのカスタム DDoS 緩和プロファイルを定義し、現在または将来の攻撃に対する最適な対応策を確立できます。
今回のリリースにより、AWS Shield Advanced のお客様は、新しい、ほぼリアルタイムのレポートと CloudWatch メトリクスにアクセスし、DDoS 攻撃ベクトルへのより深い洞察を得ることができます。インフラストラクチャレイヤーへの攻撃の場合、攻撃トラフィックの発信源である上位の IP、ASN、または国を確認できます。アプリケーションレイヤーへの攻撃の場合、攻撃の発信源である上位の参照先、参照先 URL、およびユーザーエージェントを可視化できます。これにより、AWS WAF で効果的な緩和策を作成したり、DRT の助力を得てカスタムの緩和策をデプロイしたりできます。さらに、最近発表されたグローバル脅威環境ダッシュボードを更新しました。この更新により、リージョン別の攻撃、AWS 全体での攻撃のサイズや頻度など、グローバルな DDoS 環境についての理解を深めることができます。
EC2 および NLB 用の AWS Shield Advanced の料金は、Elastic Load Balancing と同じです。アカウントあたり月額料金 3,000 USD に加えて、0.050 USD/GB からのデータ転送料金がかかります。詳細については、https://aws.amazon.com/shield/pricing/ を参照してください。AWS Shield Standard では、引き続き、インフラストラクチャレイヤーへの一般的な DDoS 攻撃に対する自動保護をすべての AWS お客様に追加料金なしで提供いたします。AWS Shield Advanced では、バージニア北部、オレゴン、アイルランド、東京、北カルフォルニアの各 AWS リージョンで EC2 および NLB を保護できるようになりました。
AWS Shield の詳細については、https://aws.amazon.com/shield を参照してください。または、予定されている re:Invent でのトークやオンラインセミナーのクラウドネイティブな DDoS 緩和策にご参加ください。