目次

  1. 1.はじめに
  2. 2.AWS Shield Advanced とは
  3. 3.変更点
  4. 4.その他の軽減策
  5. 5.おわりに
  6. 1. はじめに

    2021年12月1日 PTD に AWS Shield Advanced は、アプリケーションレイヤー(レイヤー7)DDoSイベントをブロックすることにより、Webアプリケーションを自動的に保護する機能が追加されたことを発表しました。

    https://aws.amazon.com/jp/about-aws/whats-new/2021/12/aws-shield-advanced-application-layer-ddos-mitigation/

    2.AWS Shield Advanced とは

    AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。Amazon CloudFront や Amazon Route 53 とともに使用すると、インフラストラクチャ (レイヤー 3 および 4) を標的とするすべての既知の攻撃を総合的に保護できます。

    さらに月額 $3,000 で AWS Shield Advanced というサービスにアップグレードすることができます。対象のリソースを紐づけることで以下の更なる DDoS 保護サービスを享受することができます。

    受けられるサービス

    ・24時間年中無休で、 AWS Shield Response Team(SRT)への連絡を通したDDoS攻撃対策の支援。ネットワーク層(レイヤー3)およびトランスポート層(レイヤー4)の攻撃だけでなく、アプリケーション層(レイヤー7)の攻撃にも対応するインテリジェントなDDoS攻撃の検出と軽減が含まれる。
    ・AWSリソースへの攻撃を広範囲に可視化するための、高度なリアルタイムメトリクスとレポートへの排他的なアクセス。

    対象リソース

    ・AmazonCloudFrontディストリビューション
    ・Amazon Route53ホストゾーン
    ・AWSグローバルアクセラレータアクセラレータ
    ・アプリケーションロードバランサー
    ・Elastic Load Balancing(ELB)ロードバランサー
    ・Amazon Elastic Compute Cloud(Amazon EC2)ElasticIPアドレス

    3. 変更点

    これまでは AWS Shield Advanced を利用していただけでは、アプリケーションレイヤー(レイヤー7)DDoS への対策は何らかの機能としてサポートされてはいませんでした。今後は AWS Shield Advanced を利用していれば CloudFront の AWS WAF に自動で対策用ルールが適用されるようになります。

    スパイクを起こしているアクセスの傾向を確認して正常でないアクセスに対してのみ BLOCK するルールを作成して適用するといった一連の流れが自動で行われるものですので、予期しないタイミングで発生する DDoS への対策としては有効な機能かと考えられます。

    一度の攻撃が終わったとしても再度攻撃を受けることも考えられます。このような攻撃傾向も考慮してルールの適用時間も変わるようです。

    対応可能な構成は CloudFront 利用かつ現行の AWS WAF (AWS WAF Classic でない)を利用した環境となります。

    4.その他の軽減策

    発生タイミングが不明で発生するかわからない DDoS に対しての費用としてはやや高額にも感じられるかもしれません。

    既存の AWS WAF の機能を利用して自身でできる対策としてはレートベースルールの活用が考えられます。レートベースルールについては以下の記事をご覧ください。

    https://www.wafcharm.com/blog/how-to-use-the-rate-based-rule/

    サイトの特性により閾値は異なりますので、サイト管理者にて適切な閾値は検討する必要があります。短期間に同一 IP アドレスから発生するアクセスについては制限がかかる機能なので、 DDoS 対策というよりは DoS 対策の側面が強いですが、DDoS 攻撃の緩和という意味で効果に期待できます。

    国外からのアクセスを期待しないようなサイトであれば、国別の制限ルールなども作成可能なため、接続できる国を元々絞り込んでおけば、DDoS を受ける可能性を低くすることが期待できます。

    攻撃者も何かしらのツールを利用するケースが多く、User-Agent や referer に特徴が出るケースが多いです。その傾向を捉えるルールを即座に作成することで対策することも可能ですが、即座に対応できる人員配備の必要があります。事前にシグネチャを配備できれば理想的ですが、それが難しいことが Bot mitigation が求められている理由でもあります。

    5.おわりに

    AWS Shield Advanced は費用から考えてもユーザーを選ぶサービスかと思います。AWS Shield Response Team(SRT)の恩恵を受けられる、という点を合わせて考えた上で、サイトの監視運用のための人員コストと可用性の費用対効果から採用を見極めましょう。