こんにちは。最近はJavaScriptで何でもやるマンの小林です。
2017年3月23日に開催された AWS Shield / Amazon CloudFront DDoS対策セミナー に参加してきましたのでレポートしたいと思います。
AWS ShieldとAWS WAFでクラウド上のWebAppを防御する
発表内容レポート
- Webアプリケーションに対する脅威
- DDoS
- アプリケーション層DDoS
- ネットワーク層/トランスポート層DDoS
- アプリケーションへの攻撃
- 脆弱性攻撃
- XSS, SQLインジェクション
- 不正なボット
- クローリング等による重要コンテンツの盗用
- 上記脅威への対策として重要なAWSのサービスは AWS WAF と AWS Shield
AWS WAF
- 概要
- 主にアプリケーション層へのアタックの防御
- カスタムルールを使ったWebトラフィックのフィルタ
- 悪意あるリクエストのブロック
- 常時モニタリングとチューニング
- 攻撃が起きている瞬間のモニタリングが可能
- 主な利点
- 素早くインシデントに対応
- 自動化のためのAPI
- 柔軟なルール作成言語
- 事前構成済みの防御策
- どのような防御が可能か
- 柔軟性の高いルールエンジン
- 素早いインシデント対応が可能
- 緩和策を1分で展開
- 事前構成済みの防御策
- CloudFormationテンプレート有り
- すぐに始められる
- セキュリティ自動化による異常検知に基づく防御
- 従来のインシデント対応
- セキュリティエンジニアが通知を受けて人力対応
- 自動化されたインシデント対応
- 分析に基づくルール更新・適用も自動化可能
AWS Shield
- 概要
- マネージド型DDoS防御サービス
- 2016.12 launched
- 主にネットワーク層/トランスポート層へのアタックの防御
- 利用可能なサービス
- ALB
- ELB(CLB)
- CloudFront
- Route53
- 利点
- AWSサービスとの連携
- インフラを変更せずにDDoSからの防御を導入
- 常時作動の検知と緩和
- アプリケーションのち円を最小限に抑える
- 経済的
- コストと可用性の両立が可能
- 柔軟性
- 防御策をカスタマイズ
- プラン
- Standard Protection
- 概要
- 自動検知・緩和
- よく見られる一般的な攻撃からの防御
- AWSのサービスで標準提供
- 料金
- 全てのユーザーが追加費用なしで利用可能
- 攻撃発生時の転送量は各サービス毎の料金体系通りに発生する
- Advanced Protection
- 概要
- 高度な検知とモニタリング
- 大規模なDDoS攻撃からの防御
- 攻撃の検知と緩和の可視化
- AWS WAFを追加費用無しで利用
- 24x7 DDoSレスポンスチーム
- 料金保護(DDoS攻撃時のコストを吸収)
- 料金
- 1年間のコミット
- 月額固定費用: $3000/組織
- 複数アカウント可能
- 加えて、データ転送量
感想
恥ずかしながらセキュリティ周りの知識は疎い方でしたのでどういった脅威がありどのような対策が必要かが理解できました。
また、昨年末に登場したAWS Shieldと既存サービスの住み分けについても細かく解説されていたので、今後セキュリティ対策をする上での技術選定時に参考にしたいと思います。