AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。アプリケーションのダウンタイムとレイテンシーを最小限に抑える動的検出と自動インライン緩和策を提供しているため、DDoS 保護の利点を受けるために AWS Support に依頼する必要はありません。AWS Shield にはスタンダードとアドバンストの 2 つの階層があります。

AWS Shield Standard


すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard は、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。AWS Shield Standard を Amazon CloudFront や Amazon Route 53 とともに使用すると、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知の攻撃すべてから包括的に保護されます。

基盤となる AWS サービスの静的しきい値 DDoS 保護

AWS Shield Standard では、AWS サービスへの受信トラフィックを検査し、トラフィックの署名、異常アルゴリズムおよび他の分析技術の組み合わせを使用してリアルタイムで悪意のあるトラフィックを検出する常時稼働のネットワークフローモニタリングを提供できます。Shield Standard は、AWS リソースタイプごとに静的しきい値を設定しますが、アプリケーションに対してカスタム保護を提供しません。

インラインの攻撃緩和

自動化された緩和技術が AWS Shield Standard に組み込まれているため、頻繁に発生する一般的なインフラストラクチャ攻撃から AWS サービスを保護します。自動緩和策は、インラインで AWS サービスを保護するために適用されるため、レイテンシーの影響はありません。Shield Standard では、決定論的なパケットフィルタリング、優先度を付けたトラフィックシェーピングなどの複数の技術を使用して、ベーシックなネットワークレイヤー攻撃を自動的に緩和します。

AWS Shield Advanced

Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 などのリソースで実行されるアプリケーションを標的とした攻撃に対する高レベルな保護には、AWS Shield Advanced を使用できます。Standard に付属しているネットワークおよびトランスポートレイヤーの保護に加えて、Shield Advanced は大規模で高度な DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提供します。また、ウェブアプリケーションファイアウォールである AWS WAF と統合されています。Shield Advanced では、AWS Shield レスポンスチーム (SRT) を 24 時間年中無休で利用でき、EC2、ELB、CloudFront、Global Accelerator、Route 53 の DDoS に関連した料金の急増に対する保護も提供されます。


アプリケーショントラフィックパターンに基づいてカスタマイズされた検出

AWS Shield Advanced では、保護された Elastic IP アドレス、ELB、Amazon CloudFront、Global Accelerator、または Route 53 リソースへのトラフィックパターンに基づいてカスタマイズされた検出を提供します。追加のリージョン固有のモニタリング手法と、リソース固有のモニタリング手法を使用して、Shield Advanced はより小さな DDoS 攻撃を検出して警告します。Shield Advanced は、アプリケーションのトラフィックをベースライン化し、異常を識別することで、HTTP フラッドや DNS クエリフラッドなどのアプリケーションレイヤー攻撃も検出します。

正常性に基づく検出

AWS Shield Advanced は、アプリケーションの正常性を活用し、攻撃を検出および緩和する機能の応答性と精度を向上します。Route 53 でヘルスチェックの設定を行い、コンソールまたは API を通して Shield Advanced によって保護されているリソースに関連付けることができます。これにより、Shield Advanced は、より低いトラフィック流量の閾値で、アプリケーションの正常性に影響を与える攻撃を迅速に検出できるようになり、アプリケーションの DDoS 弾力性を向上させ、誤検知による通知を防止できます。SRT リソースの正常性ステータスも利用できるため、異常なアプリケーションへの応答に対して適切な優先順位を付けることができます。Shield Advanced がサポートするすべてのリソースタイプ (Elastic IP、ELB、CloudFront、Global Accelerator、Route 53) に正常性ベース検出を適用できます。

高度な攻撃緩和機能

保護された EC2、ELB、CloudFront、Global Accelerator、および Route 53 のリソースで実行するアプリケーションを標的とした攻撃に対して、AWS Shield Advanced は、より高度な自動緩和機能を提供します。Shield Advanced では、高度なルーティング技術を使用することにより、DDoS 攻撃からご使用のアプリケーションを保護するための追加の緩和機能が自動的にデプロイされます。また、ビジネスやエンタープライズのお客様向けサポートプランでは SRT が、より複雑で洗練されたアプリケーション固有の DDoS 攻撃に対して手動での緩和策を適用します。アプリケーションレイヤー攻撃の場合、Shield Advanced 保護リソースは、追加料金なしで AWS WAF を使用して、レートベースのブロックなどの予防的なルールを設定して、送信元 IP アドレスの攻撃からのウェブリクエストを自動的にブロックするか、インシデントが発生した時に即座に対応することができます。また、SRT に直接相談して、アプリケーションレイヤーを標的とした DDoS 攻撃に対し、カスタム AWS WAF ルールが自動的に適用されるようにすることもできます。SRT は攻撃を診断し、ユーザーの許可を得て軽減策をユーザーに代わって適用できるため、継続的な DDoS 攻撃によってアプリケーションが影響を受ける可能性のある時間を短縮します。

自動アプリケーションレイヤー DDoS 緩和策

AWS Shield Advanced は、アプリケーションレイヤー (レイヤー 7) の DDoS イベントを軽減することで、ユーザーや AWS SRT が手動で介入することなく、ウエブアプリケーションを自動的に保護できます。Shield Advanced は、WebACL に WAF ルールを作成して攻撃を自動的に軽減することも、カウントオンリーモードでアクティブ化することもできます。これにより、DDoS イベントに迅速に対応して、アプリケーション層の DDoS 攻撃によるアプリケーションのダウンタイムを防ぐことができます。

積極的なイベント応答

AWS Shield Advanced では、DDoS イベントが検出されたときに、SRT から積極的に関与することができます。プロアクティブな関与をアクティブにすると、保護されたリソースに関連付けられた Route 53 ヘルスチェックが DDoS イベント中に異常になった場合、SRT から直接連絡があります。これにより、アプリケーションの可用性に影響を及ぼす攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。Elastic IP アドレスと Global Accelerator アクセラレータでのネットワークレイヤーイベントとトランスポートレイヤーイベント、および CloudFront ディストリビューションと Application Load Balancers でのアプリケーションレイヤー攻撃に対するプロアクティブなエンゲージメントを受け取ることができます。

保護グループ

AWS Shield Advanced では、リソースを保護グループにバンドルできます。これにより、複数のリソースを 1 つのユニットとして扱うことで、アプリケーションの検出と軽減の範囲をカスタマイズするセルフサービスの方法が提供されます。リソースのグループ化により、検出の精度が向上し、誤検知が減少し、新しく作成されたリソースの自動保護が容易になり、複数のリソースに対する攻撃を軽減するのにかかる時間が短縮されます。たとえば、アプリケーションが 4 つの CloudFront ディストリビューションで構成されている場合、それらを 1 つの保護グループに追加して、リソースのコレクション全体についての検出と保護を受け取ることができます。レポートはまた、保護グループレベルで使用できるため、アプリケーション全体の状態をより全体的に把握できます。

可視性と攻撃の通知

AWS Shield Advanced は、Amazon CloudWatch でのほぼリアルタイムの通知と、AWS WAF and AWS Shield コンソールあるいは API での詳細な診断で、DDoS 攻撃に対する完全な可視性を与えてくれます。コンソールから以前の攻撃の概要を表示することもできます。

DDoS コスト保護

AWS Shield Advanced には、保護された EC2、ELB、CloudFront、Global Accelerator、および Route 53 リソース使用量の急増を引き起こす DDoS 関連攻撃の影響で請求金額が跳ね上がるのを防ぐ DDoS コスト保護が含まれています。DDoS 攻撃により、これらの保護されたリソースのいずれかの使用量が上昇した場合、お客様は通常の AWS Support チャネル経由で Shield Advanced サービスクレジットをリクエストできます。

専門サポート

ビジネスまたはエンタープライズのお客様用サポートプランでは、DDoS 攻撃の前、最中、後に対応できる AWS Shield Advanced の SRT を 24 時間 365 日ご利用いただけます。SRT はインシデントの分類、根本原因の特定、緩和策の適用に役立ちます。SRT は、AWS のお客様全員に関して、DDoS 攻撃への迅速な対応と緩和に関する深い専門知識を持っています。

グローバルな可用性

AWS Shield Advanced は、世界中の CloudFront、Global Accelerator、Route 53 のエッジロケーションすべてで利用できます。アプリケーションに CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon Simple Storage Service (S3)、EC2、ELB、または AWS 外部のカスタムサーバーのいずれでも問題ありません。Shield Advanced が利用可能なすべての AWS リージョンの Elastic IP または ELB インスタンスで直接保護をアクティブ化することもできます。

一元化された保護管理

AWS Shield Advanced のお客様は、AWS Firewall Manager を使用して、組織全体に Shield Advanced および AWS WAF 保護を適用できます。Firewall Manager の費用は Shield Advanced のサブスクリプション料金に含まれています。Firewall Manager を使用すると、複数のアカウントとリソースを対象とするポリシーを自動的に構成できます。Firewall Manager は自動的にアカウントを監査して、新しいリソースまたは保護されていないリソースを検出し、Shield Advanced および AWS WAF 保護が広く適用されていることを確認します。これにより、デベロッパーは自動的に適切な保護が適用されるという確信を持って、迅速に移動して新しいアプリケーションをデプロイできます。 このセキュリティ管理サービスの詳細については、AWS Firewall Manager を参照してください。

AWS Shield の料金の詳細はこちら

料金ページにアクセスする
構築の準備はできましたか?
AWS Shield の使用を開始する
ご不明な点がおありですか?
お問い合わせ