AWS Shield
AWS クラウド

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているウェブアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに従事する必要はありません。AWS Shield には "Standard" と "Advanced" の 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。

Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 リソースで実行されるウェブアプリケーションを標的にした攻撃に対するさらに高度なレベルの保護をご希望の場合は、AWS Shield Advanced にサブスクライブできます。Standard に付属している一般的なネットワークおよびトランスポートレイヤーの保護に加えて、AWS Shield Advanced では大規模で洗練された DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提供します。また、ウェブアプリケーションファイアウォールである AWS WAF と統合されています。また、AWS Shield Advanced では、AWS DDoS レスポンスチーム (DRT) へのアクセスと、ELB、CloudFront、Route 53 の DDoS に関連した料金の急増に対する保護も提供します。

AWS Shield Advanced は、世界中の Amazon CloudFront および Amazon Route 53 エッジロケーションのすべてで利用できます。アプリケーションの前に Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon S3 でも、Amazon EC2 でも、Elastic Load Balancing でも、AWS 外部のカスタムサーバーでもかまいません。バージニア北部、オレゴン、アイルランド、東京の各 AWS リージョンでは、AWS Shield Advanced を Elastic Load Balancing に直接有効化できます。


100x100_benefit_ingergration

AWS Shield Standard を使用すると、お客様の AWS リソースは最も頻繁に発生する一般的なネットワークおよびトランスポートレイヤーの DDoS 攻撃から自動的に保護されます。また、保護を希望する Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 向けの AWS Shield Advanced 保護をマネジメントコンソールや API を使用してただ有効化するだけで、さらに高度なレベルの防御を達成できます。

100x100_benefit_customize

AWS Shield Advanced では、洗練されたアプリケーションレイヤーの攻撃を緩和するためのカスタマイズされたルールを記述する柔軟性が得られます。これらのカスタマイズ可能なルールはすぐにデプロイできるため、攻撃をすばやく緩和することができます。不正なトラフィックを自動的にブロック、または発生したインシデントに対応する積極的なルールを設定できます。また、お客様の代わりにアプリケーションレイヤーの DDoS 攻撃を緩和するルールを記述できる 24 時間 365 日アクセス可能な AWS DDoS レスポンスチーム (DRT) を利用できます。

100x100_benefit_lowcost-affordable

AWS のお客様は、AWS Shield Standard で、最も一般的な DDoS 攻撃に対するネットワークレイヤーの保護の適用を自動的に受けることができます。この保護を開始するのに、追加の料金、リソース、時間はかかりません。AWS Shield Advanced では、DDoS 攻撃による Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量の急上昇から AWS の請求を保護する「DDoS コスト保護」を受けることができます。

クイック検出

AWS Shield Standard では、AWS への受信トラフィックを検査し、トラフィックの署名、異常アルゴリズムおよび他の分析技術の組み合わせを使用してリアルタイムで悪意のあるトラフィックを検出する常時稼働のネットワークフローモニタリングを利用できます。

インラインの攻撃緩和

自動化された緩和技術が AWS Shield Standard に組み込まれているため、最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃に対する保護を期待できます。自動緩和策は、アプリケーションにインラインで適用されるため、レイテンシーの影響はありません。常時稼働の検出とインラインの緩和対策により、アプリケーションのダウンタイムが最小限に抑えられるため、DDoS 保護を受けるために AWS サポートに従事する必要はありません。AWS Shield Standard では、決定論的なパケットフィルタリング、優先度を付けたトラフィックシェーピングなどの複数の技術を使用して、アプリケーションに影響を及ぼすことなく攻撃を自動的に緩和します。また、AWS WAF を使用してルールを記述することで、アプリケーションレイヤー DDoS 攻撃を緩和することもできます。AWS WAF では、お支払いいただくのは実際に使用した分のみです。


強化された検出

AWS Shield Advanced では、強化された検出、ネットワークフローの検査、および Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリソースへのアプリケーションレイヤートラフィックのモニタリングを利用できます。AWS Shield Advanced は、リソース固有のモニタリングといった追加の技術を使用して、DDoS 攻撃を詳細に検出します。AWS Shield Advanced は、リソースのトラフィックをベースライン化し、異常を識別することで、HTTP フラッドや DNS クエリフラッドなどのアプリケーションレイヤーの DDoS 攻撃を検出します。

高度な攻撃緩和機能

AWS Shield Standard のメリットに加えて、AWS Shield Advanced ではより洗練された自動緩和機能を提供します。また、AWS DDoS レスポンスチーム (DRT) は、より複雑で洗練された DDoS 攻撃に対して手動での緩和策を適用します。高度なルーティング技術を使用することで、AWS Shield Advanced では、大規模な DDoS 攻撃から保護するための追加の緩和機能が自動的に提供されます。アプリケーションレイヤーの攻撃については、AWS WAF を使用することでインシデントに対応できます。AWS WAF では、不正なトラフィックを自動的にブロックするためにレートベースのブラックリストなどの積極的なルールを設定したり、発生したインシデントに即時に対応したりできます。アプリケーションレイヤー保護のための AWS WAF の使用に追加料金はかかりません。インシデントごとまたは事前の許可に基づいて DRT に参加することもできます。DRT では攻撃を診断し、お客様の許可を得て、お客様の代わりに緩和策を適用します。

可視性と攻撃の通知

AWS Shield Advanced では、Amazon CloudWatch を通して、ほぼリアルタイムで通知される DDoS 攻撃の完全な可視性が提供されます。DDoS レスポンスチーム (DRT) と連携して、イベント後の分析と調査にアクセスできます。また、"AWS WAF and AWS Shield" マネジメントコンソールから以前の攻撃の要約を表示することもできます。

専門サポート

AWS Shield Advanced では、DDoS 攻撃の前、最中、後に対応できる DDoS レスポンスチーム (DRT) に 24 時間 365 日アクセスできます。DRT はインシデントの分類、根本的な原因の特定、緩和策の適用に役立ちます。攻撃後の分析のために DRT を利用することもできます。

DDoS コスト保護

AWS Shield Advanced では、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量の急上昇を引き起こす DDoS 攻撃の影響で請求金額が跳ね上がるのを防ぐ「DDoS コスト保護」を用意しています。これらのサービスのいずれかが DDoS 攻撃の影響でスケールアップする場合、AWS では使用量の急上昇からもたらされる請求に対してサービスクレジットが提供されます。サービスクレジットのリクエスト方法の詳細については、AWS WAF および AWS Shield Advanced のドキュメントを参照してください。

AWS で実行しているウェブアプリケーションは AWS Shield Standard によって既に保護されています。AWS Shield Advanced を有効にするには、"AWS WAF and AWS Shield" マネジメントコンソールから "Advanced" の保護を有効にするリソースを選択します。

AWS Shield の使用を開始する