AWS Shield
ネットワークセキュリティ設定を分析し、マネージド DDoS 保護を提供することでネットワークとアプリケーションを保護
AWS Shield とは?
AWS Shield は、ネットワークセキュリティ設定の問題を特定し、アクティブなウェブサイトのエクスプロイト攻撃や分散型サービス拒否 (DDoS) イベントからアプリケーションを防御することで、ネットワークとアプリケーションを保護します。 AWS Shield は次の 2 つの主要機能を提供することでこれを実現しています。
AWS Shield ネットワークセキュリティディレクター (プレビュー) では、リソースの分析を実行することでネットワークトポロジーを視覚化し、設定問題を特定して、実行可能な改善推奨事項を受け取ることができます。
マネージド DDoS 保護では、AWS Shield Advanced が高度な DDoS イベントに対する常時稼働の自動緩和を提供して、アプリケーションのダウンタイムとレイテンシーを最小限に抑えます。アクティブな DDoS インシデント時には、アプリケーション固有のセキュリティコントロールと Shield Response チームの専門家によるガイダンスを使用して、DDoS 保護戦略をカスタマイズできます。
AWS Shield の利点
AWS リソースと設定の評価を通じて、ネットワークセキュリティ問題を発見します。ネットワークトポロジを明確に視覚化し、設定ミスや見落としがちなリソースの優先順位付けを行います。これにより、AWS アカウント全体で追加の保護が必要な場所を特定できます。AWS Shield ネットワークセキュリティディレクター (プレビュー) で利用できます。
推奨サービスとルールセットを使用して対応を迅速化し、各設定問題を緩和します。Amazon Q Developer と併用することで、ネットワークセキュリティ体制に関する回答や推奨事項を、自然言語を使用して簡単に取得できます。 AWS Shield ネットワークセキュリティディレクター (プレビュー) で利用できます。
AWS Shield Advanced では、レイヤー 3、4、7 にわたる高度な DDoS イベントを検出してブロックする自動インライン緩和機能を利用できます。この保護では、AWS のグローバルな脅威インテリジェンスを活用して進化する脅威から保護し、手動による介入なしにアプリケーションを保護します。これにより、セキュリティチームの運用上のオーバーヘッドが軽減されます。
トラフィックパターンに合わせて特別にカスタマイズされた保護を使用してアプリケーションをセキュア化します。アプリケーションが HTTP フラッド攻撃や DNS クエリフラッド攻撃といった進化する脅威に直面すると、システムが通常のトラフィックを自動的にベースライン化します。そうすることで異常を即座に検出できるため、ユーザー独自のアプリケーション動作に適応する動的な防御が可能になります。
ユースケース
AWS のベストプラクティスに追随するネットワークセキュリティ戦略を実装することで、インターネット由来の脅威や過剰なアクセス許可からアプリケーションを保護します。
インタラクティブな視覚化を通じてネットワークトポロジーと設定されたサービスを確認することで、セキュリティ問題をすばやく特定し、環境と AWS アカウント間のリソース関係を理解できます。
-
SYN フラッド、UDP フラッド、またはその他のリフレクション攻撃からアプリケーションと API を保護します。
-
決定論的なパケットフィルタリングや優先度ベースのトラフィックシェーピングなどのインライン緩和策をデプロイして、基本的なネットワークレイヤー攻撃を阻止します。