AWS Shield Advanced のアップデート – アプリケーションレイヤー DDoS の自動緩和

2016 年に、分散型サービス妨害 (DDoS) に対するマネージド型保護サービスである AWS Shield がリリースされました。これは、AWS で実行されているアプリケーションを保護するサービスです。AWS Shield では、AWS Support に連絡することなく、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和機能が提供されます。

AWS Shield には、Standard と Advanced の 2 つのティアがあります。すべての AWS のお客様は、AWS Shield Standard によるネットワークレイヤーの自動保護の利点を無料で受けることができます。AWS Shield Standard は、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤー (レイヤー 3 および 4) の DDoS 攻撃を防御し、AWS のサービスの可用性を最大化します。

アプリケーションを標的とする高度な (レイヤー 3～7) 脅威に対する保護をカスタマイズする場合は、AWS Shield Advanced に登録できます。AWS Shield Advanced は、大規模で複雑な DDoS 攻撃に対して、より精度の高い検出とカスタマイズされた緩和策を提供し、攻撃をほぼリアルタイムで可視化し、レイヤー 7 攻撃に対する防御のためのウェブアプリケーションファイアウォールである AWS WAF との統合を提供します。また、AWS Shield Advanced では AWS Shield レスポンスチーム (SRT) に 24 時間 365 日体制でアクセスでき、DDoS 攻撃に起因するスケーリングコストに対するコスト保護も可能です。

AWS Shield Advanced は、保護対象リソースごとにトラフィックベースラインを確立します。このベースラインからの著しい逸脱は DDoS イベントとしてフラグが設定され、Amazon CloudWatch を通じてアラートがトリガーされます。ただし、これらのイベントを緩和するには、悪意のあるトラフィックを分離する AWS WAF ルールを手動で作成し、AWS WAF コンソールまたは API を介してデプロイし、ルールの有効性を評価する必要があります。AWS Shield Advanced のお客様は、SRT を利用してそのような AWS WAF ルールを作成することも、自身の専門知識に頼ることもできますが、このプロセスには時間がかかるため、DDoS 攻撃を緩和し、アプリケーションの可用性への影響を防ぐのにかかる時間が長くなります。

2021 年 12 月 1 日（米国時間）、AWS Shield Advanced のアプリケーションレイヤー DDoS の自動緩和機能を発表しました。これは、Shield Advanced のすべてのお客様向けの新しい機能セットであり、アプリケーションの可用性に影響を与える恐れのある悪意のあるウェブトラフィックを自動的に緩和します。この機能では、AWS WAF ルールが自動的に作成、テスト、デプロイされ、お客様に代わってレイヤー 7 の DDoS イベントを緩和します。

アプリケーションレイヤー DDoS の自動緩和の有効化
AWS Shield コンソールにアクセスして、アプリケーションレイヤー DDoS の自動緩和を開始してください。Shield Advanced の利点を得るには、年間サブスクリプションに登録する必要があります。

AWS Shield Advanced に登録したら、保護するリソースを指定し、レイヤー 7 の DDoS 緩和、AWS SRT サポート、および DDoS イベントをモニタリングするための CloudWatch のダッシュボードを設定します。詳細については、AWS ドキュメントの「Getting started with AWS Shield Advanced」 (AWS Shield Advanced の使用開始) を参照してください。

Shield Advanced のアプリケーションレイヤー DDoS の自動緩和を有効にするには、レイヤー 7 の AWS リソース (CloudFront など) を選択し、ドロップダウンリストから [Configure protections] (保護の設定) を選択します。

次に、[Edit protection] (保護の編集) で、レイヤー 7 イベントの自動緩和を有効にするかどうかを選択し、[Automatic response] (自動応答) で WAF ルールを [Count] (カウント) または [Block] (ブロック) モードのどちらで作成するかを選択します。WAF ルールをカウントモードに設定すると、ルールをブロックモードでデプロイする前に、リソーストラフィックがどのように影響を受けるかを観察できます。レイヤー 7 の自動緩和を有効にするには、WebACL を Shield で保護されたリソースに関連付ける必要があることに注意してください。

緩和アクションはいつでもカウントモードまたはブロックモードに変更できます。コンソールの [イベント] タブに移動して、検出された DDoS イベントを表示し、検出されたイベントを選択して、検出、緩和、および上位の寄与要因のメトリクスを表示します。

アプリケーションレイヤーの DDoS を自動的に緩和する方法
CloudFront ディストリビューションなどのレイヤー 7 リソースを保護する場合、AWS Shield Advanced は保護対象の各リソースに 30 日間のトラフィックベースラインを確立します。

自動緩和が有効になっている場合にのみ、Shield マネージドルールグループを作成します。このグループでは、AWS Shield Advanced が DDoS イベントに応答して AWS WAF ルールを作成します。

確立されたベースラインから大幅に逸脱するトラフィックには、潜在的な DDoS イベントとしてフラグが設定されます。イベントが検出されると、Shield Advanced は問題のあるリクエストパターンに基づいて署名の識別を試みます。署名が識別されると、その署名でのトラフィックを緩和するために WAF ルールが作成されます。

ルールが安全であることが確認されると、Shield マネージドルールグループに追加され、ルールをカウントモードとブロックモードのどちらでデプロイするかを選択できます。また、リクエストがブロックまたはカウントされるタイミングに基づいて CloudWatch アラートを作成することもできます。

お客様は、自動緩和によって実行されるアクション (カウントまたはブロック) をいつでも変更したり、完全に無効にしたりできます。Shield Advanced は、イベントが完全に低減されたと判断すると、AWS WAF ルールを自動的に削除します。詳細については、AWS Shield デベロッパーガイドの「Shield Advanced automatic application layer DDoS mitigation」 (Shield Advanced のアプリケーションレイヤー DDoS の自動緩和) を参照してください。

今すぐ利用可能
アプリケーションレイヤー DDoS の自動緩和は、AWS Shield Advanced が利用可能なすべての AWS リージョンでご利用いただけます。この機能は追加費用なしで有効にできます。

AWS Shield の AWS フォーラム、または通常の AWS Support 窓口までフィードバックをお寄せください。

— Channy

原文はこちらです。