AWS Shield

マネージド型の DDoS 保護

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに依頼する必要はありません。AWS Shield にはスタンダードとアドバンストの 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard は、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。AWS Shield Standard を Amazon CloudFront や Amazon Route 53 とともに使用すると、インフラストラクチャ (レイヤー 3 および 4) を標的とするすべての既知の攻撃を総合的に保護できます。

Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 などのリソースで実行されるアプリケーションを標的とした攻撃に対する高レベルな保護には、AWS Shield Advanced を使用できます。Standard に付属しているネットワークおよびトランスポートレイヤーの保護に加えて、AWS Shield Advanced は大規模で洗練された DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提供します。また、ウェブアプリケーションファイアウォールである AWS WAF と統合されています。AWS Shield Advanced はまた、年中無休で 24 時間の AWS DDoS Response Team (DRT) へのアクセス、および、お使いの Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 に対する課金での DDoS 関連スパイクに対する保護を提供します。

AWS Shield Advanced は、世界中の Amazon CloudFront および Amazon Route 53 エッジロケーションのすべてで利用できます。アプリケーションの前に Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon S3 でも、Amazon Elastic Compute Cloud (EC2) でも、Elastic Load Balancing (ELB) でも、AWS 外部のカスタムサーバーでもかまいません。また、バージニア北部、オレゴン、アイルランド、東京、カリフォルニア北部の AWS リージョンでは、Elastic IP または Elastic Load Balancing (ELB) で AWS Shield Advanced を直接有効にすることができます。

利点

シームレスな統合とデプロイメント

AWS Shield Standard を使用すると、お客様の AWS リソースは最も頻繁に発生する一般的なネットワークおよびトランスポートレイヤーの DDoS 攻撃から自動的に保護されます。また、マネジメントコンソールや API を使用して、保護を希望する Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリソース向けの AWS Shield Advanced による保護を有効化するだけで、さらに高度なレベルの防御を達成できます。

カスタマイズ可能な保護

AWS Shield Advanced では、洗練されたアプリケーションレイヤーの攻撃を緩和するためのカスタマイズされたルールを記述する柔軟性が得られます。これらのカスタマイズ可能なルールはすぐにデプロイできるため、攻撃をすばやく緩和することができます。不正なトラフィックを自動的にブロック、または発生したインシデントに対応するルールを積極的に設定できます。また、お客様の代わりにアプリケーションレイヤーの DDoS 攻撃を緩和するルールを記述できる 24 時間 365 日アクセス可能な AWS DDoS レスポンスチーム (DRT) を利用できます。

コスト効率

AWS のお客様は、AWS Shield Standard で、最も一般的な DDoS 攻撃に対するネットワークレイヤーの保護の適用を自動的に受けることができます。この保護を開始するのに、追加の料金、リソース、時間はかかりません。AWS Shield Advanced では、DDoS 攻撃による EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量の急増から AWS の請求を保護する「DDoS コスト保護」を受けることができます。

保護のユースケース

ウェブアプリケーションと API

Amazon CloudFront を使うと、AWS Shield Standard は SYN フラッド、UDP フラッド、またはその他の Reflection アタックなどのインフラストラクチャレイヤーの攻撃に対する包括的な保護を自動的に行います。AWS Shield Standard の常時稼働検出と緩和システムは、レイヤー 3 と 4 での悪いトラフィックを自動的に取り除いて、アプリケーションを保護します。AWS Shield Standard が検出するインフラストラクチャレイヤーの攻撃の 99% 以上は、Amazon CloudFront への攻撃から 1 秒以内に自動的に緩和されます。

Amazon CloudFront を用いて動的なアプリケーションを DDoS 攻撃から守る方法をご覧ください。

Slack が Amazon CloudFront を用いて DDoS 攻撃から守る方法をご覧ください。

大規模で高度な DDoS 攻撃に対するさらなる保護についても、AWS Shield Advanced は Amazon CloudFront でお使いいただけます。Shield Advanced をお使いになると、年中無休、24 時間営業の AWS DDoS Response Team (DRT) へのアクセスが得られ、このチームがトラフィックエンジニアリングなどその他のテクニックを用いて、高度なインフラストラクチャレイヤー (レイヤー 3 または 4) 攻撃に対して必要な緩和策を積極的に適用します。さらに、AWS Shield Advanced はまた HTTP フラッドなどのアプリケーションレイヤーの攻撃からも保護します。AWS Shield Advanced に組み込まれた常時稼働検出システムは、顧客の定常時アプリケーショントラフィックのベースラインを求めて、異常発生をモニターします。AWS Shield Advanced には追加料金なしで AWS WAF が含まれますので、お客様はアプリケーションレイヤーの緩和をカスタマイズできます。

Slack – セキュアな API の高速化

講演者:
Alex Graham, Sr. 氏オペレーションエンジニア、Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard は、お使いの Amazon Route 53 Hosted Zones を、追加料金なしでインフラストラクチャレイヤーの DDoS 攻撃から自動的に保護します。これにはお客様の DNS をしばしば対象にする SYN フロアに対する Reflection 攻撃などがあります。AWS Shield Standard はヘッダー検証と優先度に基づいたトラフィック形成などの様々なテクニックを自動的に用いて、これらの DDoS 攻撃を自動的に緩和します。

さらに、AWS Shield Advanced は、AWS DDoS レスポンスチームへの 24 時間 365 日のアクセスによる人手による介入が必要となるような極端な場合においても、追加保護を提供します。さらに、AWS Shield Advanced はお使いの Route 53 インフラストラクチャへの攻撃に対する可視性も提供します。

Amazon Route 53 と AWS Shield を用いた DDoS リスクの軽減の詳細をご覧ください。

その他のアプリケーション (UDP ベースのアプリケーションなど)

TCP に基づかないその他のカスタムアプリケーション (UDP、SIP など) には、Amazon CloudFront や Elastic Load Balancing などのサービスは使えません。これらの場合、インターネット向けの Amazon EC2 インスタンス上でアプリケーションを直接実行する必要があることが良くあります。AWS Shield Standard はまた Amazon EC2 インスタンスを、UDP reflection 攻撃、DNS reflection 攻撃、NTP reflection 攻撃、SSDP reflection 攻撃などの一般的なインフラストラクチャレイヤー (レイヤー 3 と 4) の DDoS 攻撃からも保護します。AWS Shield Standard は優先度に基づいたトラフィック形成などの様々なテクニックを用い、これらのテクニックは明確な DDoS 攻撃のシグナチャーが検出されると自動的に作動します。

これらのアプリケーションに対する大規模で高度な DDoS 攻撃に対しては、AWS Shield Advanced を Elastic IP アドレスで有効にして高度な保護を得ることもできます。AWS Shield Advanced の拡張 DDoS 検出はこのタイプの AWS リソースと EC2 インスタンスのサイズを自動的に検出して、適切な、予め定義された緩和を適用します。AWS Shield Advanced ではまた、年中無休で 24 時間営業の AWS DDoS Response Team (DRT) を活用して、お客様自身のカスタム緩和プロファイルを作成することもできます。AWS Shield Advanced はまた DDoS 攻撃中に、お客様のすべての Amazon VPC Network Access Control List (ACL) が AWS ネットワークの境界で自動的に強化されて、追加の帯域幅と洗浄キャパシティーにアクセスできるようになり、大容量の DDoS 攻撃を緩和できるようになります。AWS Shield Advanced では、SYN フラッドや UDP フラッドなどその他のベクターなどの DDoS 攻撃に対して追加の保護を得られます。

Elastic IP の Amazon EC2 インスタンスへのアタッチの詳細をご覧ください。

AWS の開始方法

icon1

AWS アカウントにサインアップする

AWS 無料利用枠をすぐに利用できます。
icon2

10 分間チュートリアルで学ぶ

簡単なチュートリアルで学習します。
icon3

AWS で構築を開始する

お客様の AWSでのプロジェクトを開始するのに役立つステップバイステップガイドを使って構築を開始しましょう。
構築の準備はできましたか?
AWS Shield の使用を開始する
ご不明な点がおありですか?
お問い合わせ