Amazon Web Services ブログ

Tag: Amazon Route53

Amazon Route 53 および AWS Shield を使用した DDoS リスクの軽減

2016 年 10 月後半に、著名な DNS プロバイダーが、複数のサービス妨害攻撃で構成された大規模なサイバー攻撃の標的となりました。数千万の IP アドレスからの大量の DNS 参照で構成された攻撃により、多くのインターネットサイトやサービスが北米および欧州のユーザーに対して利用できなくなりました。プリンター、カメラ、家庭用ネットワークゲートウェイ、さらにはベビーモニターといったさまざまなインターネッツ接続デバイスで構成されたボットネットを使用して、この分散サービス妨害 (DDoS) 攻撃が実行されたと考えられます。これらのデバイスは Mirai マルウェアに感染し、1 秒あたり数百ギガバイトのトラフィックを生成しました。多くの企業ネットワークや教育ネットワークは、このような規模のボリューメトリック攻撃を吸収するだけのキャパシティーを持っていません。この攻撃や、それ以前のその他の攻撃を受けて、さまざまなタイプの DDoS 攻撃に対してより弾力性の高いシステムを構築できるようにするための推奨事項やベストプラクティスについてお客様から当社に問い合わせがありました。簡単な回答としては、スケール、耐障害性、および緩和を組み合わせ (詳細については「AWS Best Practices for DDoS Resiliency」ホワイトペーパーを参照)、 および を利用することです (詳細については、「AWS Shield – Protect Your Applications from DDoS Attacks」を参照)。 スケール – Route 53 は数多くの AWS エッジロケーションでホストされ、大量の DNS トラフィックを吸収することができるグローバルな対象領域を作成します。 と を含むその他のエッジベースのサービスにもグローバルな対象領域があり、大量のトラフィックを処理することができます。 耐障害性 – 各エッジロケーションには、インターネットへの数多くの接続があります。これにより、多様なパスが可能になり、障害の分離と阻止に役立ちます。また、Route 53 はシャッフルシャーディングとエニーキャストストライピングを使って可用性を高めます。シャッフルシャーディングでは、委託セットの各ネームサーバーがエッジロケーションの一意のセットに対応します。この配置によって耐障害性が向上し、AWS のお客様間の重複が最小化されます。委託セットの 1 つのネームサーバーが利用できない場合、クライアントシステムまたはアプリケーションは別のエッジロケーションのネームサーバーを再試行し、レスポンスを受け取ります。エニーキャストストライピングは、最適な場所に DNS リクエストをダイレクトするために使用されます。これは、負荷を分散して […]

Read More

Amazon Route 53でメトリクスベースのヘルスチェック、プライベートホストゾーンのDNSフェイルオーバー、設定可能なヘルスチェックロケーションがアナウンスされました

Amazon Route 53の3つの新しいヘルスチェック機能を発表できることに興奮しています。 メトリクスベースのヘルスチェックにより、Amazon CloudWatchのメトリクスを基にDNSフェイルオーバーが実行できるようになりました。これには、AWSで提供されるメトリクスと、アプリケーションのカスタムメトリクスが含まれます。Amazon Route 53でメトリクスベースのヘルスチェックを作成すると、関連付けられたCloudWatchメトリクスが”ALARM”の状態になると、ヘルスチェックが”Unhealty”なステータスになります。 メトリクスベースのヘルスチェックは、VPC内でプライベートIPアドレスのみを持つEC2インスタンスなど、標準のAmazon Route 53ヘルスチェックでは到達できないエンドポイントのDNSフェイルオーバーを実行する場合にも有用です。Amazon Route 53の計算されたヘルスチェック機能を利用して、メトリクスベースのヘルスチェックと標準のヘルスチェック(標準のヘルスチェックでは、世界中のヘルスチェッカーからエンドポイントへリクエストを送り、健全性を確認します)の結果をあわせて、より洗練されたフェイルオーバーシナリオを実現することもできます。例えば、パブリックのWebページが利用できないか、CPUのLoad Averageやネットワークin/out、ディスクのReadからサーバーが正常でないと判断される場合に、エンドポイントを切り離すような設定ができます。 プライベートホストゾーンのDNSフェイルオーバーでは、プライベートDNSホストゾーンでホストされているリソースレコードセットとヘルスチェックを関連付けて、VPN内の複数のエンドポイントのフェイルオーバーを実行できます。メトリクスベースのヘルスチェックと組み合わせると、プライベートIPアドレスのみを持ち、標準のAmazon Route 53ヘルスチェクで到達できないエンドポイントに対するDNSフェイルオーバーを設定できます。このリリースでは、プライベートホストゾーン内でのエイリアスレコードの作成も、完全にサポートされています。 設定可能なヘルスチェックロケーションにより、どのリージョンからヘルスチェックを行うかを選択できるようになりました。エンドユーザーが集中するリージョンからのヘルスチェック結果に基づいて健全性確認とフェイルオーバーを行いたいお客様は、最もエンドユーザーにとって重要なロケーションからのみヘルスチェックを実施することが可能になりました。 Amazon Route 53のヘルスチェックとDNSフェイルオーバーを利用するのは簡単です。さらに学習したい場合には、詳細や料金についてAmazon Route 53の製品ページか、開発者ガイドを参照してください。 (翻訳はSA国政が担当しました。原文はこちら。)

Read More