AWS Shield Standard


基盤となる AWS サービスの静的しきい値 DDoS 保護

AWS Shield Standard では、AWS サービスへの受信トラフィックを検査し、トラフィックの署名、異常アルゴリズムおよび他の分析技術の組み合わせを使用してリアルタイムで悪意のあるトラフィックを検出する常時稼働のネットワークフローモニタリングを提供できます。Shield Standard は、AWS リソースタイプごとに静的しきい値を設定しますが、AWS のお客様のアプリケーションに対してカスタム保護を提供しません。

インラインの攻撃緩和

自動化された緩和技術が AWS Shield Standard に組み込まれているため、頻繁に発生する一般的なインフラストラクチャ攻撃から AWS サービスを保護します。自動緩和策は、インラインで AWS サービスを保護するために適用されるため、レイテンシーの影響はありません。AWS Shield Standard では、決定論的なパケットフィルタリング、優先度を付けたトラフィックシェーピングなどの複数の技術を使用して、ベーシックなネットワークレイヤー攻撃を自動的に緩和します。

AWS Shield Advanced


アプリケーショントラフィックパターンに基づいてカスタマイズされた検出

AWS Shield Advanced では、保護された Elastic IP アドレス、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、または Amazon Route 53 リソースへのトラフィックパターンに基づいてカスタマイズされた検出を提供します。追加のリージョン固有のモニタリング手法と、リソース固有のモニタリング手法を使用して、AWS Shield Advanced はより小さな DDoS 攻撃を検出して警告します。AWS Shield Advanced は、アプリケーションのトラフィックをベースライン化し、異常を識別することで、HTTP フラッドや DNS クエリフラッドなどのアプリケーションレイヤー攻撃も検出します。

正常性に基づく検出

AWS Shield Advanced は、アプリケーションの正常性を活用し、攻撃を検出および緩和する機能の応答性と精度を向上します。Amazon Route 53 で正常性チェックの設定を行い、コンソールまたは API を通して Shield Advanced によって保護されているリソースに関連付けることができます。これにより、Shield Advanced は、より低いトラフィック流量の閾値で、アプリケーションの正常性に影響を与える攻撃を迅速に検出できるようになり、アプリケーションの DDoS 弾力性を向上させ、誤検知による通知を防止できます。リソースの正常性ステータスは、DDoS 応答チームでも利用できるため、異常なアプリケーションへの応答に対して最初に適切な優先順位を付けることができます。Shield Advanced がサポートするすべてのリソースタイプ (Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53) に正常性ベース検出を適用できます。

高度な攻撃緩和機能

保護された Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 のリソースで実行するアプリケーションを標的とした攻撃に対して、AWS Shield Advanced は、より高度な自動緩和機能を提供します。AWS Shield Advanced では、高度なルーティング技術を使用することにより、DDoS 攻撃からご使用のアプリケーションを保護するための追加の緩和機能が自動的にデプロイされます。また、ビジネスやエンタープライズのお客様向けサポートプランでは AWS DDoS レスポンスチーム (DRT) が、より複雑で洗練されたアプリケーション固有の DDoS 攻撃に対して手動での緩和策を適用します。アプリケーションレイヤー攻撃の場合、AWS Shield Advanced 保護リソースは、追加料金なしで AWS WAF を使用して、レートベースのブラックリストなどの予防的なルールを設定して、送信元 IP アドレスの攻撃からのウェブリクエストを自動的にブロックするか、インシデントが発生した時に即座に対応することができます。また、DRT に直接相談して、アプリケーションレイヤーを標的とした DDoS 攻撃に対し、カスタム AWS WAF ルールが自動的に適用されるようにすることもできます。DRT は攻撃を診断し、ユーザーの許可を得て軽減策をユーザーに代わって適用できるため、継続的な DDoS 攻撃によってアプリケーションが影響を受ける可能性のある時間を短縮できます。

積極的なイベント応答

AWS Shield Advanced では、DDoS イベントが検出されたときに、DDoS レスポンスチーム (DRT) から積極的に関与することができます。プロアクティブな関与をオンにすると、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが DDoS イベント中に異常になった場合、DRT から直接連絡があります。これにより、アプリケーションの可用性に影響を及ぼす攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。Elastic IP アドレスと Global Accelerator アクセラレータでのネットワークレイヤーイベントとトランスポートレイヤーイベント、および CloudFront ディストリビューションと Application Load Balancers でのアプリケーションレイヤー攻撃に対するプロアクティブなエンゲージメントを受け取ることができます。

可視性と攻撃の通知

AWS Shield Advanced は、Amazon CloudWatch でのほぼリアルタイムの通知と、AWS WAF and AWS Shieldマネジメントコンソールあるいは API での詳細な診断で、DDoS 攻撃に対する完全な可視性を与えてくれます。また、AWS WAF and AWS Shieldマネジメントコンソールから以前の攻撃の要約を表示することもできます。

DDoS コスト保護

AWS Shield Advanced には、保護された Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、または Amazon Route 53 リソース使用量の急増を引き起こす DDoS 関連攻撃の影響で請求金額が跳ね上がるのを防ぐ DDoS コスト保護が含まれています。DDoS 攻撃により、これらの保護されたリソースのいずれかの使用量が上昇した場合、お客様は通常の AWS サポートチャネル経由で AWS Shield Advanced サービスクレジットをリクエストできます。

専門サポート

ビジネスまたはエンタープライズのお客様用サポートプランでは、DDoS 攻撃の前、最中、後に対応できる AWS Shield Advanced の AWS DDoS レスポンスチーム (DRT) を 24 時間 365 日ご利用いただけます。DRT はインシデントの分類、根本原因の特定、緩和策の適用に役立ちます。DRT は、AWS のお客様全員に関して、DDoS 攻撃への迅速な対応と緩和に関する深い専門知識を持っています。

グローバルな可用性

AWS Shield Advanced は、世界中の Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 のエッジロケーションすべてで利用できます。アプリケーションに Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon S3 でも、Amazon Elastic Compute Cloud (EC2) でも、Elastic Load Balancing (ELB) でも、AWS 外部のカスタムサーバーでも問題ありません。AWS Shield Advanced が利用可能なすべてのリージョンの Elastic IP または Elastic Load Balancing (ELB) インスタンスで直接保護を有効にすることもできます。

一元化された保護管理

AWS Shield Advanced のお客様は、AWS Firewall Manager を使用して、組織全体に AWS Shield Advanced および AWS WAF 保護を適用できます。Firewall Manager の費用は Shield Advanced のサブスクリプション料金に含まれています。AWS Firewall Manager を使用すると、複数のアカウントとリソースを対象とするポリシーを自動的に構成できます。Firewall Manager は自動的にアカウントを監査して、新しいリソースまたは保護されていないリソースを検出し、AWS Shield Advanced および AWS WAF 保護が広く適用されていることを確認します。これにより、デベロッパーは自動的に適切な保護が適用されるという確信を持って、迅速に移動して新しいアプリケーションをデプロイできます。AWS Firewall Manager の詳細については、製品のウェブサイトをご覧ください。

AWS Shield の料金の詳細

料金ページにアクセスする
構築の準備はできましたか?
AWS Shield の使用を開始する
ご不明な点がおありですか?
お問い合わせ