Shield StandardでDDoS攻撃からどのように防御できますか?

最終更新日: 2022年08月17日

AWS Shield Standard で分散型サービス拒否 (DDoS) 攻撃からアプリケーションを保護したい。これを行うにはどうすればよいですか?

簡単な説明

AWS Shield Standard は、アプリケーションの境界を保護するマネージド型の脅威保護サービスです。Shield Standardは、追加料金なしで自動脅威保護を提供します。Shield Standardを使用すると、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 を使用して、AWS ネットワークのエッジでアプリケーションを保護できます。これらの AWS サービスは、すべての既知のネットワークおよびトランスポート層攻撃に対する保護を受けます。レイヤー 7 の DDoS 攻撃から防御するために、 AWS WAF を使用できます。

Shield Standard を使用してアプリケーションを DDoS 攻撃から保護するには、アプリケーションアーキテクチャに関する次のガイドラインに従うことがベストプラクティスです。

  • 攻撃エリアの表面を減らす
  • 攻撃をスケーリングして吸収する準備をしておく
  • 公開されたリソースを保護する
  • アプリケーションの動作を監視する
  • 攻撃の計画を立てる

解決方法

攻撃エリアの表面を減らす

詳細については、アタックサーフェスの削減を参照してください。

DDoS 攻撃をスケーリングして吸収する準備をしておく

詳細については、「緩和手法」を参照してください。

公開されたリソースを保護する

アプリケーションの動作を監視する

詳細については、「AWS アプリケーション Auto Scaling のモニタリング」を参照してください。

DDoS 攻撃の計画を立てる

  • DDoS 攻撃に効率的かつタイムリーに対応できるように、Runbook を事前に作成しておきます。Runbook の作成に関するガイダンスについては、 AWS セキュリティインシデント対応ガイドを参照してください。このrunbook の例を確認することもできます。
  • aws-lambda-shield-Engagement スクリプトを使用して、影響のある DDoS 攻撃中にチケットを AWS サポートにすばやく記録します。
  • Shield Standardは、OSIモデルのレイヤー3と4で発生するインフラストラクチャベースのDDoS攻撃に対する保護を提供します。レイヤー 7 の DDoS 攻撃から防御するために、 AWS WAF を使用できます。

DDoS 攻撃からアプリケーションを保護する方法の詳細については、「DDoS 耐性のための AWS ベストプラクティス」を参照してください。