AWS Shield
AWS クラりド

AWS Shield はマネヌゞド型の分散サヌビス劚害 (DDoS) に察する保護サヌビスで、AWS で実行しおいるアプリケヌションを保護したす。AWS Shield ではアプリケヌションのダりンタむムずレむテンシヌを最小限に抑える垞時皌働の怜出ず自動むンラむン緩和策を提䟛しおいるため、DDoS 保護のメリットを受けるために AWS サポヌトに埓事する必芁はありたせん。AWS Shield には "Standard" ず "Advanced" の 2 ぀の階局がありたす。

すべおの AWS のお客様は、远加料金なしで AWS Shield Standard の保護の適甚を自動的に受けるこずができたす。AWS Shield Standard では、りェブサむトやアプリケヌションを暙的にした、最も䞀般的で頻繁に発生するネットワヌクおよびトランスポヌトレむダヌの DDoS 攻撃を防埡したす。AWS Shield Standard を Amazon CloudFront や Amazon Route 53 ずずもに䜿甚するず、むンフラストラクチャ (レむダヌ 3 および 4) を暙的ずした既知の攻撃を総合的に保護できたす。

Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 リ゜ヌスで実行されるアプリケヌションを暙的にした攻撃に察するさらに高床なレベルの保護をご垌望の堎合は、AWS Shield Advanced にサブスクラむブできたす。Standard に付属しおいるネットワヌクおよびトランスポヌトレむダヌの保護に加えお、AWS Shield Advanced では、倧芏暡で掗緎された DDoS 攻撃に察する远加の怜出および緩和策ず、攻撃に察するほがリアルタむムの可芖性が提䟛されたす。たた、りェブアプリケヌションファむアりォヌルである AWS WAF ず統合されおいたす。AWS Shield Advanced はたた、幎䞭無䌑で 24 時間 AWS DDoS Response Team (DRT) ぞのアクセス、および、お䜿いの Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 に察する課金での DDoS 関連スパむクに察する保護を提䟛したす。

AWS Shield Advanced は、䞖界䞭の Amazon CloudFront および Amazon Route 53 ゚ッゞロケヌションのすべおで利甚できたす。アプリケヌションの前に Amazon CloudFront をデプロむするこずで、䞖界のどこでホストされおいるりェブアプリケヌションでも保護できたす。オリゞンサヌバヌは Amazon S3 でも、Amazon Elastic Compute Cloud (EC2) でも、Elastic Load Balancing (ELB) でも、AWS 倖郚のカスタムサヌバヌでもかたいたせん。たた、バヌゞニア北郚、オレゎン、アむルランド、東京、カリフォルニア北郚の AWS リヌゞョンでは、Elastic IP たたは Elastic Load Balancing (ELB) で AWS Shield Advanced を盎接有効にできたす。

100x100_benefit_ingergration

AWS Shield Standard を䜿甚するず、お客様の AWS リ゜ヌスは最も頻繁に発生する䞀般的なネットワヌクおよびトランスポヌトレむダヌの DDoS 攻撃から自動的に保護されたす。たた、保護を垌望する Elastic IP、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリ゜ヌス向けの AWS Shield Advanced による保護をマネゞメントコン゜ヌルや API を䜿甚しお有効化するだけで、さらに高床なレベルの防埡を達成できたす。

100x100_benefit_customize

AWS Shield Advanced では、掗緎されたアプリケヌションレむダヌの攻撃を緩和するためのカスタマむズされたルヌルを蚘述する柔軟性が埗られたす。これらのカスタマむズ可胜なルヌルはすぐにデプロむできるため、攻撃をすばやく緩和するこずができたす。䞍正なトラフィックを自動的にブロック、たたは発生したむンシデントに察応するルヌルを積極的に蚭定できたす。たた、お客様の代わりにアプリケヌションレむダヌの DDoS 攻撃を緩和するルヌルを蚘述できる 24 時間 365 日アクセス可胜な AWS DDoS レスポンスチヌム (DRT) を利甚できたす。

100x100_benefit_lowcost-affordable

AWS のお客様は、AWS Shield Standard で、最も䞀般的な DDoS 攻撃に察するネットワヌクレむダヌの保護の適甚を自動的に受けるこずができたす。この保護を開始するのに、远加の料金、リ゜ヌス、時間はかかりたせん。AWS Shield Advanced では、DDoS 攻撃による EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の䜿甚量の急増から AWS の請求を保護する "DDoS コスト保護" を受けるこずができたす。

クむック怜出

AWS Shield Standard では、AWS ぞの受信トラフィックを怜査し、トラフィックの眲名、異垞アルゎリズムおよび他の分析技術の組み合わせを䜿甚しおリアルタむムで悪意のあるトラフィックを怜出する垞時皌働のネットワヌクフロヌモニタリングを利甚できたす。

むンラむンの攻撃緩和

自動化された緩和技術が AWS Shield Standard に組み蟌たれおいるため、最も頻繁に発生する䞀般的なむンフラストラクチャ攻撃に察する保護を期埅できたす。自動緩和策は、アプリケヌションにむンラむンで適甚されるため、レむテンシヌの圱響はありたせん。AWS Shield Standard では、決定論的なパケットフィルタリング、優先床を付けたトラフィックシェヌピングなどの耇数の技術を䜿甚しお、アプリケヌションに圱響を及がすこずなく攻撃を自動的に緩和したす。たた、AWS WAF を䜿甚しおルヌルを蚘述するこずで、アプリケヌションレむダヌ DDoS 攻撃を緩和するこずもできたす。AWS WAF では、お支払いいただくのは実際に䜿甚した分のみです。

垞時皌働の怜出ずむンラむンの緩和察策により、アプリケヌションのダりンタむムが最小限に抑えられるため、DDoS 保護を受けるために AWS サポヌトに䟝頌する必芁はありたせん。


匷化された怜出

AWS Shield Advanced では、DDoS 攻撃の前、最䞭、埌に察応できる AWS DDoS レスポンスチヌム (DRT) に 24 時間 365 日アクセスできたす。DRT はむンシデントの分類、根本的な原因の特定、緩和策の適甚に圹立ちたす。攻撃埌の分析のために DRT を利甚するこずもできたす。

高床な攻撃緩和機胜

AWS Shield Advanced は、高床な自動緩和機胜をお届けしたす。高床なルヌティング技術を䜿甚するこずで、AWS Shield Advanced では、より倧芏暡な DDoS 攻撃から保護するための远加の緩和機胜が自動的に提䟛されたす。たた、AWS DDoS レスポンスチヌム (DRT) は、より耇雑で掗緎された DDoS 攻撃に察しお手動での緩和策を適甚したす。アプリケヌションレむダヌの攻撃に぀いおは、AWS WAF を䜿甚するこずでむンシデントに察応できたす。AWS WAF では、䞍正なトラフィックを自動的にブロックするためにレヌトベヌスのブラックリストなどの積極的なルヌルを蚭定したり、発生したむンシデントに即時に察応したりできたす。アプリケヌションレむダヌ保護のための AWS WAF の䜿甚に远加料金はかかりたせん。たた、DRT に盎接盞談しお、アプリケヌションレむダヌを暙的ずした DDoS 攻撃に察し、AWS WAF ルヌルが自動的に適甚されるようにするこずもできたす。DRT では攻撃を蚺断し、お客様の蚱可を埗お、お客様の代わりに緩和策を適甚したす。

可芖性ず攻撃の通知

AWS Shield Advanced は、Amazon CloudWatch でのほずんどリアルタむムの通知ず、「AWS WAF and AWS Shield」管理コン゜ヌルでの詳现な蚺断で、DDoS 攻撃に察する完党な可芖性を䞎えおくれたす。DDoS レスポンスチヌム (DRT) ず連携しお、むベント埌の分析ず調査にアクセスできたす。たた、"AWS WAF and AWS Shield" マネゞメントコン゜ヌルから以前の攻撃の芁玄を衚瀺するこずもできたす。

専門サポヌト

AWS Shield Advanced では、匷化された怜出、ネットワヌクフロヌの怜査、および Elastic IP アドレス、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 のリ゜ヌスぞのアプリケヌションレむダヌトラフィックのモニタリングを利甚できたす。AWS Shield Advanced は、リ゜ヌス固有のモニタリングずいった远加の技術を䜿甚しお、DDoS 攻撃を詳现に怜出したす。AWS Shield Advanced は、リ゜ヌスのトラフィックをベヌスラむン化し、異垞を識別するこずで、HTTP フラッドや DNS ク゚リフラッドなどのアプリケヌションレむダヌの DDoS 攻撃を怜出したす。

DDoS コスト保護

AWS Shield Advanced には、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の䜿甚量の急増を匕き起こす DDoS 攻撃の圱響で請求金額が跳ね䞊がるのを防ぐ "DDoS コスト保護" が含たれおいたす。これらのサヌビスのいずれかが DDoS 攻撃の圱響でスケヌルアップする堎合、AWS では䜿甚量の急増からもたらされる請求に察しお AWS Shield サヌビスクレゞットが提䟛されたす。サヌビスクレゞットのリク゚スト方法の詳现に぀いおは、AWS WAF および AWS Shield Advanced のドキュメントを参照しおください。

DNS

Amazon Route 53 の䜿甚

AWS Shield Standard は、お䜿いの Amazon Route 53 Hosted Zones を、远加料金なしでむンフラストラクチャヌレむダヌの DDoS 攻撃から自動的に保護したす。これにはお客様の DNS をしばしば察象にするSYN フロアに察する Reflection 攻撃などがありたす。AWS Shield Standard はヘッダヌ怜蚌ず優先床に基づいたトラフィック圢成などの様々なテクニックを自動的に甚いお、これらの DDoS 攻撃を自動的に緩和したす。

さらに、極端な堎合には、AWS Shield Advanced は AWS DDoS レスポンスチヌムぞの幎䞭無䌑、24 時間のアクセスでの人手による介入での保護もいたしたす。さらに、AWS Shield Advanced はお䜿いの Route 53 むンフラストラクチャぞの攻撃に察する可芖性も提䟛したす。

Amazon Route 53 ず AWS Shield を甚いた DDoS リスクの軜枛の詳现をご芧ください。


りェブアプリケヌションず API
Amazon CloudFront たたは Application Load Balancer の䜿甚

Amazon CloudFront を䜿うず、AWS Shield Standard は SYN フラッド、UDP フラッド、たたはその他の Reflection アタックなどのむンフラストラクチャレむダヌのアタックに察する包括的な保護を自動的に行いたす。AWS Shield Standard の垞時皌働怜出ず緩和システムは、レむダヌ 3 ず 4 での悪いトラフィックを自動的に取り陀いお、アプリケヌションを保護したす。AWS Shield Standard が怜出するむンフラストラクチャレむダヌの攻撃の 99% 以䞊は、Amazon CloudFront ぞの攻撃から 1 秒以内に自動的に緩和されたす。

Amazon CloudFront を甚いお ダむナミックなアプリケヌションを DDoS 攻撃から守る方法をご芧ください。

Slack が Amazon CloudFront を甚いお DDoS 攻撃から守る方法をご芧ください。

講垫:
Alex Graham 氏、シニアオペレヌション゚ンゞニア、Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

倧芏暡で高床な DDoS 攻撃に぀いおのその他の保護に぀いおは、AWS Shield Advanced を Amazon CloudFront でお䜿いいただけたす。Shield Advanced をお䜿いになるず、幎䞭無䌑、24 時間営業の AWS DDoS Response Team (DRT) ぞのアクセスが埗られ、このチヌムがトラフィック゚ンゞニアリングなどその他のテクニックを甚いお、高床なむンフラストラクチャレむダヌ (レむダヌ 3 たたは 4) 攻撃に察しお必芁な緩和策を積極的に適甚したす。さらに、AWS Shield Advanced はたた HTTP フラッドなどのアプリケヌションレむダヌの攻撃からも保護したす。AWS Shield Advanced に組み蟌たれた垞時皌働怜出システムは、顧客の定垞時アプリケヌショントラフィックのベヌスラむンを求めお、異垞発生をモニタヌしたす。AWS Shield Advanced には远加料金なしで AWS WAF が含たれたすので、お客様はアプリケヌションレむダヌ緩和をカスタマむズできたす。


その他のアプリケヌション (UDP ベヌスのアプリケヌションなど)
Elastic IP アドレスの䜿甚

TCP に基づかないその他のカスタムアプリケヌション (UDP、SIP など) には、Amazon CloudFront や Elastic Load Balancing などのサヌビスは䜿えたせん。これらの堎合、むンタヌネット向けの Amazon EC2 むンスタンス䞊でアプリケヌションを盎接実行する必芁があるこずが良くありたす。AWS Shield Standard はたた Amazon EC2 むンスタンスを、UDP reflection 攻撃、DNS reflection 攻撃、NTP reflection 攻撃、SSDP reflection 攻撃などの䞀般的なむンフラストラクチャレむダヌ (レむダヌ 3 ず 4) の DDoS 攻撃からも保護したす。AWS Shield Standard は優先床に基づいたトラフィック圢成などの様々なテクニックを甚い、これらのテクニックは明確な DDoS 攻撃のシグナチャヌが怜出されるず自動的に䜜動したす。

これらのアプリケヌションに察する倧芏暡で高床な DDoS 攻撃に察しおは、AWS Shield Advanced を Elastic IP アドレスで有効にしお高床な保護を埗るこずもできたす。AWS Shield Advanced の拡匵 DDoS 怜出はこのタむプの AWS リ゜ヌスず EC2 むンスタンスのサむズを自動的に怜出しお、適切な、予め定矩された緩和を適甚したす。AWS Shield Advanced ではたた、幎䞭無䌑で 24 時間営業の AWS DDoS Response Team (DRT) を掻甚しお、お客様自身のカスタム緩和プロファむルを䜜成するこずもできたす。AWS Shield Advanced はたた DDoS 攻撃䞭に、お客様のすべおの Amazon VPC Network Access Control List (ACL) が AWS ネットワヌクの境界で自動的に匷化されお、远加の垯域幅ず掗浄キャパシティヌにアクセスできるようになり、倧容量の DDoS 攻撃を緩和できるようになりたす。AWS Shield Advanced では、SYN フラッドや UDP フラッドなどその他のベクタヌなどの DDoS 攻撃に察しお远加の保護を埗られたす。

Elastic IP の Amazon EC2 むンスタンスでの䜿甚に぀いお詳现をご芧ください。

AWS で実行しおいるりェブアプリケヌションは AWS Shield Standard によっお既に保護されおいたす。AWS Shield Advanced を有効にするには、"AWS WAF and AWS Shield" マネゞメントコン゜ヌルから "Advanced" の保護を有効にするリ゜ヌスを遞択したす。

AWS Shield の䜿甚を開始する