この記事の目次
AWS Shieldとは
AWS Shieldとは、AWSのアプリケーションを保護するための、マネージド型セキュリティサービスです。
AWSのアプリケーションを使用する際に、DDoS攻撃からアプリケーションを保護して、安全に利用できるようになります。
DDoS攻撃とは、分散型サービス拒否攻撃とも呼ばれ、サーバーに対して過剰にアクセスしたり、データを送りつけたりしてサーバーをパンクさせ、ダウンさせる攻撃のことです。
防御できるDDoS攻撃の種類
AWS Shieldは、主にネットワーク層やトランスポート層と、アプリケーションレイヤー層でDDoS攻撃を防ぐサービスで、防御できるDDoS攻撃にはさまざまなものがあります。 ここでは、アプリケーションレイヤー攻撃、インフラストラクチャレイヤー攻撃、リソース枯渇攻撃という、防御できるDDoS攻撃の種類について紹介していきます。アプリケーションレイヤー攻撃
AWS Shieldでは、アプリケーションレイヤー攻撃からアプリケーションを保護できます。 アプリケーションレイヤー攻撃とは、OSIモデルの通信ネットワークにおけるアプリケーション層で、Webアプリケーションの脆弱性を狙った攻撃のことです。 アプリケーションレイヤー攻撃の検出は難しく、サーバーやデータベースを停止させられることもあるのですが、AWS Shieldによって防御できます。インフラストラクチャレイヤー攻撃
AWS Shieldは、インフラストラクチャレイヤー攻撃からアプリケーションを保護します。 インフラストラクチャレイヤー攻撃とは、ネットワーク層とトランスポート層を対象にしたDDoS攻撃で、アクセスやデータの送信によってサーバーに負荷をかける攻撃のことです。 AWS Shieldでは、インフラストラクチャレイヤーを標的とする攻撃から、アプリケーションを自動的に保護します。リソース枯渇攻撃
AWS Shieldは、リソース枯渇攻撃からアプリケーションを保護します。 リソース枯渇攻撃とは、サーバーに大量のデータを通信させ、通信に必要なパケットなどのリソースを枯渇させて、サーバーにアクセスできないようにする攻撃のことです。 AWS Shieldでは、大規模なリソース枯渇攻撃を検出して、高度なDDoS攻撃への対策を実施します。AWS ShieldとAWS WAFの違い
AWS ShieldとAWS WAFは、どちらも外部の攻撃からアプリケーションを守るためのサービスですが、防御のしかたに違いがあります。
AWS WAFは、主にアプリケーション層でDDoS攻撃を防御するサービスで、SQLインジェクション攻撃なども防ぎます。一方でAWS Shieldは、主にネットワーク層とトランスポート層で機能するサービスです。
両方のサービスの特性を生かして、併用していくことが大切です。
AWS Shieldを導入するメリット7選
AWS Shieldには、StandardとAdvancedの2つがあり、AWS Shieldを導入するメリットにはさまざまなものがあります。
Standardでは、常時モニタリングや一般的な攻撃からの保護、Advancedでは、L7レベルの攻撃の検知・保護やDDoSコスト保護などのメリットがあります。
ここでは、AWS Shieldを導入するメリットについて、詳しく紹介していきます。
Standard
AWS ShieldのStandardは、無料で利用できるサービスです。 Standardは、無料で利用できるのでAdvancedよりも機能は少ないのですが、AWSを使用するアプリケーションをDDoS攻撃からしっかりと守ります。 Standardには、常時モニタリングと一般的な攻撃からの保護という、2つのメリットがあります。AWS Shieldを導入するメリット1:常時モニタリング
1つめのAWS Shieldを導入するメリットは、常時モニタリングです。 AWS ShieldのStandardでは、悪意のあるトラフィックを検出するネットワークフローモニタリングを、常時利用できます。 トラフィックの署名や、異常アルゴリズムなどの分析技術を組み合わせたモニタリング技術を利用できるので、DDoS攻撃にも対処でき、より安全にAWSを利用できることでしょう。AWS Shieldを導入するメリット2:一般的な攻撃からの保護
2つめのAWS Shieldを導入するメリットは、一般的な攻撃からの保護です。 AWS Shieldでは、インラインで適用される自動緩和策により、一般的なインフラストラクチャ攻撃からAWSサービスを保護します。 決定論的なパケットフィルタリングやトラフィックシェーピングなど、複数の技術を組み合わせて、ネットワークレイヤーへの攻撃も自動的に緩和できます。Advanced
Advancedは、有料のAWS Shieldのサービスです。 AWS ShieldのAdvancedは、アプリケーション層へのDDoS攻撃も検出でき、Standardよりも大規模なDDoS攻撃からAWSを守れるサービスです。 Advancedには、L7レベルの攻撃の検知・保護、DDoSコスト保護、可視性と攻撃の通知などのメリットがあります。AWS Shieldを導入するメリット3:L7レベルの攻撃の検知・保護
3つめのAWS Shieldを導入するメリットは、L7レベルの攻撃の検知・保護です。 AWS ShieldのAdvancedは、アプリケーション層へのより小さなDDoS攻撃も検出してくれるので、L7レベルの攻撃を検知・保護できるようになります。 アプリケーションのトラフィックパターンに基づいてDDoS攻撃を検出してくれるので、より安全に利用できるでしょう。AWS Shieldを導入するメリット4:DDoSコスト保護
4つめのAWS Shieldを導入するメリットは、DDoSコスト保護です。 AWS ShieldのAdvancedには、EC2やELBなどのアプリケーションをDDoS攻撃から保護するとともに、利用コストが跳ね上がるのを防ぐ、DDoSコスト保護の機能があります。 DDoS攻撃によりリソースの使用量が不当に増加した際にも、コストに悩まされることなくAWSを利用できます。AWS Shieldを導入するメリット5:可視性と攻撃の通知
5つめのAWS Shieldを導入するメリットは、可視性と攻撃の通知です。 AWS ShieldのAdvancedでは、Amazon CloudWatchによるリアルタイムな通知と、AWS WAF and AWS Shieldマネジメントコンソールなどでの詳細な診断により、DDoS攻撃に対する完全な可視性があります。 AWS WAF and AWS Shieldマネジメントコンソールでは、攻撃の詳細をチェックできます。AWS Shieldを導入するメリット6:専門サポート
6つめのAWS Shieldを導入するメリットは、専用サポートです。 AWS ShieldのAdvancedには、DDoSの攻撃への対策として、レスポンスチームからのサポートを受けられます。 DDoSレスポンスチームでは、インシデントの分類や根本原因の特定、緩和策の適用などの際に、専門知識を持ったスタッフによるサポートを受けられます。AWS Shieldを導入するメリット7:カスタマイズ保護
7つめのAWS Shieldを導入するメリットは、カスタマイズ保護です。 AWS ShieldのAdvancedでは、アプリケーションに Amazon CloudFront をデプロイすることで、どのようなロケーションにあるアプリケーションでもDDoS攻撃から保護できます。 また、AWS WAFと組み合わせてアクセスのブラックリストを設定したり、カスタマイズ保護をしたりすることが可能です。AWS Shieldの料金体系
AWS ShieldのStandardは無料で利用でき、Advancedを利用する際には料金が発生します。
AWS Shield Advancedは、1年間のサブスクリプションと月額料金が必要で、月額料金はAWS Shield Advancedをサブスクライブしている組織企業単位で適用されます。
また、上記の2つとは別に、EC2などのデータ転送の際の使用料金も発生します。
AWS Shieldで強固なセキュリティ対策を実施しよう
ここまで、AWS Shieldを導入するメリットなどについて紹介してきました。
AWS Shieldは、利用しているAWSのサービスを広範なDDoS攻撃から保護できるようになる、とても優れたサービスです。
AWSのアプリケーションをDDoS攻撃から保護したいという方は、ぜひAWS Shieldを利用して、強固なセキュリティ対策を実施してみてください。]]>
