AWS Shield
AWS クラウド

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに従事する必要はありません。AWS Shield には "Standard" と "Advanced" の 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。AWS Shield Standard を Amazon CloudFront や Amazon Route 53 とともに使用すると、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知の攻撃を総合的に保護できます。

Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 リソースで実行されるアプリケーションを標的にした攻撃に対するさらに高度なレベルの保護をご希望の場合は、AWS Shield Advanced にサブスクライブできます。Standard に付属しているネットワークおよびトランスポートレイヤーの保護に加えて、AWS Shield Advanced では、大規模で洗練された DDoS 攻撃に対する追加の検出および緩和策と、攻撃に対するほぼリアルタイムの可視性が提供されます。また、ウェブアプリケーションファイアウォールである AWS WAF と統合されています。AWS Shield Advanced はまた年中無休で 24 時間 AWS DDoS Response Team (DRT) へのアクセスと、お使いの Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFrontAmazon Route 53 に対する課金での DDoS 関連スパイクに対して保護を提供します。

AWS Shield Advanced は、世界中の Amazon CloudFront および Amazon Route 53 エッジロケーションのすべてで利用できます。アプリケーションの前に Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon S3 でも、Amazon Elastic Compute Cloud (EC2) でも、Elastic Load Balancing (ELB) でも、AWS 外部のカスタムサーバーでもかまいません。また、バージニア北部、オレゴン、アイルランド、東京、カリフォルニア北部の AWS リージョンでは、Elastic IP または Elastic Load Balancing (ELB) で AWS Shield Advanced を直接有効にできます。

100x100_benefit_ingergration

AWS Shield Standard を使用すると、お客様の AWS リソースは最も頻繁に発生する一般的なネットワークおよびトランスポートレイヤーの DDoS 攻撃から自動的に保護されます。また、保護を希望する Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリソース向けの AWS Shield Advanced による保護をマネジメントコンソールや API を使用して有効化するだけで、さらに高度なレベルの防御を達成できます。

100x100_benefit_customize

AWS Shield Advanced では、洗練されたアプリケーションレイヤーの攻撃を緩和するためのカスタマイズされたルールを記述する柔軟性が得られます。これらのカスタマイズ可能なルールはすぐにデプロイできるため、攻撃をすばやく緩和することができます。不正なトラフィックを自動的にブロック、または発生したインシデントに対応するルールを積極的に設定できます。また、お客様の代わりにアプリケーションレイヤーの DDoS 攻撃を緩和するルールを記述できる 24 時間 365 日アクセス可能な AWS DDoS レスポンスチーム (DRT) を利用できます。

100x100_benefit_lowcost-affordable

AWS のお客様は、AWS Shield Standard で、最も一般的な DDoS 攻撃に対するネットワークレイヤーの保護の適用を自動的に受けることができます。この保護を開始するのに、追加の料金、リソース、時間はかかりません。AWS Shield Advanced では、DDoS 攻撃による EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量の急増から AWS の請求を保護する "DDoS コスト保護" を受けることができます。

クイック検出

AWS Shield Standard では、AWS への受信トラフィックを検査し、トラフィックの署名、異常アルゴリズムおよび他の分析技術の組み合わせを使用してリアルタイムで悪意のあるトラフィックを検出する常時稼働のネットワークフローモニタリングを利用できます。

インラインの攻撃緩和

自動化された緩和技術が AWS Shield Standard に組み込まれているため、最も頻繁に発生する一般的なインフラストラクチャ攻撃に対する保護を期待できます。自動緩和策は、アプリケーションにインラインで適用されるため、レイテンシーの影響はありません。AWS Shield Standard では、決定論的なパケットフィルタリング、優先度を付けたトラフィックシェーピングなどの複数の技術を使用して、アプリケーションに影響を及ぼすことなく攻撃を自動的に緩和します。また、AWS WAF を使用してルールを記述することで、アプリケーションレイヤー DDoS 攻撃を緩和することもできます。AWS WAF では、お支払いいただくのは実際に使用した分のみです。

常時稼働の検出とインラインの緩和対策により、アプリケーションのダウンタイムが最小限に抑えられるため、DDoS 保護を受けるために AWS サポートに依頼する必要はありません。


強化された検出

AWS Shield Advanced では、DDoS 攻撃の前、最中、後に対応できる AWS DDoS レスポンスチーム (DRT) に 24 時間 365 日アクセスできます。DRT はインシデントの分類、根本的な原因の特定、緩和策の適用に役立ちます。攻撃後の分析のために DRT を利用することもできます。

高度な攻撃緩和機能

AWS Shield Advanced は、高度な自動緩和機能をお届けします。高度なルーティング技術を使用することで、AWS Shield Advanced では、より大規模な DDoS 攻撃から保護するための追加の緩和機能が自動的に提供されます。また、AWS DDoS レスポンスチーム (DRT) は、より複雑で洗練された DDoS 攻撃に対して手動での緩和策を適用します。アプリケーションレイヤーの攻撃については、AWS WAF を使用することでインシデントに対応できます。AWS WAF では、不正なトラフィックを自動的にブロックするためにレートベースのブラックリストなどの積極的なルールを設定したり、発生したインシデントに即時に対応したりできます。アプリケーションレイヤー保護のための AWS WAF の使用に追加料金はかかりません。また、DRT に直接相談して、アプリケーションレイヤーを標的とした DDoS 攻撃に対し、AWS WAF ルールが自動的に適用されるようにすることもできます。DRT では攻撃を診断し、お客様の許可を得て、お客様の代わりに緩和策を適用します。

可視性と攻撃の通知

AWS Shield Advanced は、Amazon CloudWatch でのほとんどリアルタイムの通知と、「AWS WAF and AWS Shield」管理コンソールでの詳細な診断で、DDoS 攻撃に対する完全な可視性を与えてくれます。DDoS レスポンスチーム (DRT) と連携して、イベント後の分析と調査にアクセスできます。また、"AWS WAF and AWS Shield" マネジメントコンソールから以前の攻撃の要約を表示することもできます。

専門サポート

AWS Shield Advanced では、強化された検出、ネットワークフローの検査、および Elastic IP アドレス、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリソースへのアプリケーションレイヤートラフィックのモニタリングを利用できます。AWS Shield Advanced は、リソース固有のモニタリングといった追加の技術を使用して、DDoS 攻撃を詳細に検出します。AWS Shield Advanced は、リソースのトラフィックをベースライン化し、異常を識別することで、HTTP フラッドや DNS クエリフラッドなどのアプリケーションレイヤーの DDoS 攻撃を検出します。

DDoS コスト保護

AWS Shield Advanced には、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量の急増を引き起こす DDoS 攻撃の影響で請求金額が跳ね上がるのを防ぐ "DDoS コスト保護" が含まれています。これらのサービスのいずれかが DDoS 攻撃の影響でスケールアップする場合、AWS では使用量の急増からもたらされる請求に対して AWS Shield サービスクレジットが提供されます。サービスクレジットのリクエスト方法の詳細については、AWS WAF および AWS Shield Advanced のドキュメントを参照してください。

DNS

Amazon Route 53 の使用

AWS Shield Standard は、お使いの Amazon Route 53 Hosted Zones を、追加料金なしでインフラストラクチャーレイヤーの DDoS 攻撃から自動的に保護します。これにはお客様の DNS をしばしば対象にするSYN フロアに対する Reflection 攻撃などがあります。AWS Shield Standard はヘッダー検証と優先度に基づいたトラフィック形成などの様々なテクニックを自動的に用いて、これらの DDoS 攻撃を自動的に緩和します。

さらに、極端な場合には、AWS Shield Advanced は AWS DDoS レスポンスチームへの年中無休、24 時間のアクセスでの人手による介入での保護もいたします。さらに、AWS Shield Advanced はお使いの Route 53 インフラストラクチャへの攻撃に対する可視性も提供します。

Amazon Route 53 と AWS Shield を用いた DDoS リスクの軽減の詳細をご覧ください。


ウェブアプリケーションと API
Amazon CloudFront または Application Load Balancer の使用

Amazon CloudFront を使うと、AWS Shield Standard は SYN フラッド、UDP フラッド、またはその他の Reflection アタックなどのインフラストラクチャレイヤーのアタックに対する包括的な保護を自動的に行います。AWS Shield Standard の常時稼働検出と緩和システムは、レイヤー 3 と 4 での悪いトラフィックを自動的に取り除いて、アプリケーションを保護します。AWS Shield Standard が検出するインフラストラクチャレイヤーの攻撃の 99% 以上は、Amazon CloudFront への攻撃から 1 秒以内に自動的に緩和されます。

Amazon CloudFront を用いて ダイナミックなアプリケーションを DDoS 攻撃から守る方法をご覧ください。

Slack が Amazon CloudFront を用いて DDoS 攻撃から守る方法をご覧ください。

講師:
Alex Graham 氏、シニアオペレーションエンジニア、Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

大規模で高度な DDoS 攻撃についてのその他の保護については、AWS Shield Advanced を Amazon CloudFront でお使いいただけます。Shield Advanced をお使いになると、年中無休、24 時間営業の AWS DDoS Response Team (DRT) へのアクセスが得られ、このチームがトラフィックエンジニアリングなどその他のテクニックを用いて、高度なインフラストラクチャレイヤー (レイヤー 3 または 4) 攻撃に対して必要な緩和策を積極的に適用します。さらに、AWS Shield Advanced はまた HTTP フラッドなどのアプリケーションレイヤーの攻撃からも保護します。AWS Shield Advanced に組み込まれた常時稼働検出システムは、顧客の定常時アプリケーショントラフィックのベースラインを求めて、異常発生をモニターします。AWS Shield Advanced には追加料金なしで AWS WAF が含まれますので、お客様はアプリケーションレイヤー緩和をカスタマイズできます。


その他のアプリケーション (UDP ベースのアプリケーションなど)
Elastic IP アドレスの使用

TCP に基づかないその他のカスタムアプリケーション (UDP、SIP など) には、Amazon CloudFront や Elastic Load Balancing などのサービスは使えません。これらの場合、インターネット向けの Amazon EC2 インスタンス上でアプリケーションを直接実行する必要があることが良くあります。AWS Shield Standard はまた Amazon EC2 インスタンスを、UDP reflection 攻撃、DNS reflection 攻撃、NTP reflection 攻撃、SSDP reflection 攻撃などの一般的なインフラストラクチャレイヤー (レイヤー 3 と 4) の DDoS 攻撃からも保護します。AWS Shield Standard は優先度に基づいたトラフィック形成などの様々なテクニックを用い、これらのテクニックは明確な DDoS 攻撃のシグナチャーが検出されると自動的に作動します。

これらのアプリケーションに対する大規模で高度な DDoS 攻撃に対しては、AWS Shield Advanced を Elastic IP アドレスで有効にして高度な保護を得ることもできます。AWS Shield Advanced の拡張 DDoS 検出はこのタイプの AWS リソースと EC2 インスタンスのサイズを自動的に検出して、適切な、予め定義された緩和を適用します。AWS Shield Advanced ではまた、年中無休で 24 時間営業の AWS DDoS Response Team (DRT) を活用して、お客様自身のカスタム緩和プロファイルを作成することもできます。AWS Shield Advanced はまた DDoS 攻撃中に、お客様のすべての Amazon VPC Network Access Control List (ACL) が AWS ネットワークの境界で自動的に強化されて、追加の帯域幅と洗浄キャパシティーにアクセスできるようになり、大容量の DDoS 攻撃を緩和できるようになります。AWS Shield Advanced では、SYN フラッドや UDP フラッドなどその他のベクターなどの DDoS 攻撃に対して追加の保護を得られます。

Elastic IP の Amazon EC2 インスタンスでの使用について詳細をご覧ください。

AWS で実行しているウェブアプリケーションは AWS Shield Standard によって既に保護されています。AWS Shield Advanced を有効にするには、"AWS WAF and AWS Shield" マネジメントコンソールから "Advanced" の保護を有効にするリソースを選択します。

AWS Shield の使用を開始する