Shield StandardでDDoS攻撃からどのように防御できますか?
最終更新日: 2022年08月17日
AWS Shield Standard で分散型サービス拒否 (DDoS) 攻撃からアプリケーションを保護したい。これを行うにはどうすればよいですか?
簡単な説明
AWS Shield Standard は、アプリケーションの境界を保護するマネージド型の脅威保護サービスです。Shield Standardは、追加料金なしで自動脅威保護を提供します。Shield Standardを使用すると、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 を使用して、AWS ネットワークのエッジでアプリケーションを保護できます。これらの AWS サービスは、すべての既知のネットワークおよびトランスポート層攻撃に対する保護を受けます。レイヤー 7 の DDoS 攻撃から防御するために、 AWS WAF を使用できます。
Shield Standard を使用してアプリケーションを DDoS 攻撃から保護するには、アプリケーションアーキテクチャに関する次のガイドラインに従うことがベストプラクティスです。
- 攻撃エリアの表面を減らす
- 攻撃をスケーリングして吸収する準備をしておく
- 公開されたリソースを保護する
- アプリケーションの動作を監視する
- 攻撃の計画を立てる
解決方法
攻撃エリアの表面を減らす
- 予想されるトラフィックだけがアプリケーションに到達するようにするには、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。
- CloudFront の AWS 管理プレフィックスリストを使用します。CloudFront オリジン向けサーバーに属する IP アドレスのみから、インバウンド HTTP/HTTPS トラフィックをオリジンに制限できます。
- プライベートサブネット内にアプリケーションをホストするバックエンドリソースをデプロイします。
- 悪意のあるトラフィックがアプリケーションに直接到達する可能性を減らすには、 Elastic IP アドレスをバックエンドリソースに割り当てないようにします。
詳細については、アタックサーフェスの削減を参照してください。
DDoS 攻撃をスケーリングして吸収する準備をしておく
- CloudFront、Global Accelerator、および Route 53 を使用して、AWS ネットワークのエッジでアプリケーションを保護します。
- Elastic Load Balancing で過剰なトラフィックを吸収して分散します。
- AWS Auto Scalingを使用してオンデマンドで水平にスケーリング。
- アプリケーションに最適な Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタイプを使用して、垂直方向にスケーリングします。
- Amazon EC2インスタンスで拡張ネットワーキングをアクティブ化します。
- API キャッシュを有効にして応答性を向上させる。
- CloudFront でのキャッシュを最適化します。
- CloudFront Origin Shield を使用して、オリジンにコンテンツをキャッシュするリクエストをさらに減らします。
詳細については、「緩和手法」を参照してください。
公開されたリソースを保護する
- リクエストフラッド攻撃から防御するために、ブロックモードのレートベースのルールで AWS WAF を設定します。
注:AWS WAF を使用するように CloudFront、Amazon API Gateway、Application Load Balancer、または AWS AppSync が設定されている必要があります。 - CloudFront の地理的制限を使用して、コンテンツにアクセスしたくない国からのユーザーを防止します。
- Amazon API Gateway REST API でメソッドごとにバースト制限を使用して、API エンドポイントがリクエストに圧倒されないように保護します。
- Amazon Simple Storage Service (Amazon S3) バケットでオリジンアクセスアイデンティティ (OAI) を使用します。
- Amazon API Gateway を直接アクセスから保護するために、各受信リクエストの X-API-Key ヘッダーとして API キーを設定します。
アプリケーションの動作を監視する
- Amazon CloudWatch ダッシュボードを作成して、トラフィックパターンやリソースの使用など、アプリケーションの主要なメトリックスのベースラインを確立します。
- 集中ロギングソリューションで、CloudWatch ログの可視性を高めます。
- DDoS攻撃に対応してアプリケーションを自動的にスケーリングするように CloudWatch アラームを設定します。
- Route 53 ヘルスチェックを作成して、アプリケーションの状態を監視し、DDoS 攻撃に対するアプリケーションのトラフィックフェイルオーバーを管理します。
詳細については、「AWS アプリケーション Auto Scaling のモニタリング」を参照してください。
DDoS 攻撃の計画を立てる
- DDoS 攻撃に効率的かつタイムリーに対応できるように、Runbook を事前に作成しておきます。Runbook の作成に関するガイダンスについては、 AWS セキュリティインシデント対応ガイドを参照してください。このrunbook の例を確認することもできます。
- aws-lambda-shield-Engagement スクリプトを使用して、影響のある DDoS 攻撃中にチケットを AWS サポートにすばやく記録します。
- Shield Standardは、OSIモデルのレイヤー3と4で発生するインフラストラクチャベースのDDoS攻撃に対する保護を提供します。レイヤー 7 の DDoS 攻撃から防御するために、 AWS WAF を使用できます。
DDoS 攻撃からアプリケーションを保護する方法の詳細については、「DDoS 耐性のための AWS ベストプラクティス」を参照してください。