BLOG

2020/01/27

【AWS Shield とは?】初心者にもわかりやすく解説

【目次】

1. AWS Shieldとは? 初心者にもわかりやすく解説
  a) AWS Shield で保護するDDoSとは?
  b) AWS Shieldにおけるスタンダードとアドバンストの違い
  c) AWS Shieldを導入するメリット
  d) AWS Shieldの使い方
2. AWS Shieldの料金
3. まとめ

 

  1. 1. AWS Shieldとは? 初心者にもわかりやすく解説
    AWS Shieldとは、AWSにおけるアプリケーションサービスからDDoSに対する保護を提供するサービスです。

    AWS Shield にはスタンダードとアドバンストの2つのタイプがあり、スタンダードは無料・アドバンストは有料です。

    なお、スタンダードに関してはAWSを利用している時点で自動的に適用されています。

    1. a) AWS Shield で保護するDDoSとは?
      DDoS(Distributed Denial of Service)とは、DoS攻撃と呼ばれるサービスダウンを目的とした攻撃のひとつで、分散型DoS攻撃とも呼ばれます。

      1台のコンピュータで攻撃してサービスをダウンさせる手法はDoS攻撃と呼ばれますが、なかでもウイルス感染などでボット化した大量のコンピュータを利用した攻撃で、サービスダウンに追い込むのがDDoSです。

      いずれも不正なパケットを送り込みサービスを停止させるという点では共通していますが、非常に多い台数のコンピュータが攻撃元となっている場合はDDoSとなります。

      一般的にはDDoS攻撃が発生した場合、ゲートウェイ側で攻撃元のIPアドレスを制限しようとしても数が多すぎるため設定が追い付かず、対策が難しいのが現状です。

      また、WAF(Webアプリケーションファイアウォール)であればパケットの中身まで解析して制御の対象にできるので有効な策となります。(※WAFでのDDoS対策は緩和程度となります。)

      しかし、AWSはクラウド環境のため、ゲートウェイ対策が自由にできるわけではありません(AWS WAFであれば対策が可能です)。

      その場合に有効な策となるのが、AWS Shieldというわけです。

       

    2. b) AWS Shieldにおけるスタンダードとアドバンストの違い
      AWS Shield にはスタンダードとアドバンストという2つの概念があります。

      まず、スタンダードは、すべてのAWSユーザーが自動的に無料で利用することができますが、アドバンストを利用するとなると追加料金が必要になります。

      料金については後述していますのでチェックしてください。

      上記2つの主な特徴をまとめてみました。

      ■ スタンダード(無料)
       ・追加料金なしですべてのAWSユーザーが自動的に利用できる
       ・インフラストラクチャ(L3および4)を標的とするDDoS攻撃を保護
       ・AWSへの受信トラフィックをモニタリングし、悪意のあるトラフィックがあれば検出する
       ・攻撃を自動的に緩和

      スタンダードは、すべてのAWSユーザーが無料で利用できるのがポイントですが、DDoS攻撃の履歴を参照したり、レポート化したり、通知を送信したりということはできません。

      ただし、AWS WAFを同時に利用すれば、L7層のDDoSを検知したり通知したりといったことが可能です。

      ■ アドバンスト(有料)
       ・アプリケーションレイヤー(L7層)におけるDDoS攻撃も検出
       ・高度なルーティング技術を利用した、より大規模なDDoS攻撃に対する追加の緩和機能
       ・AWSの他サービスとの連携でより可視化された状態の提供と攻撃の通知が利用可能
       ・DDoS攻撃の影響で請求金額が大きく上がった場合の払い戻し
       ・24時間365日の専門サポート

      DDoS攻撃に対して大きな不安があるユーザーであれば、アプリケーション層までの検出が可能で、いざというときの料金保証にも対応しているアドバンスの方がオススメです。

      特に、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53といったサービスのアプリケーションの対象とした攻撃からの保護も考えている場合は、アドバンスを検討してみましょう。

       

    3. c) AWS Shieldを導入するメリット
      AWS Shieldを導入するメリットは以下のとおりです。

      1. ・AWSを利用していれば、特別な設定は必要なく無料でスタンダードタイプを利用できる
      2. ・スタンダードタイプであれば誰もがL3・4レベルの攻撃から保護できる
      3. ・アドバンストにグレードアップすれば、L7レベルの攻撃からの保護ができる
      4. ・アドバンストにグレードアップすれば、サポートやDDoSによる異常課金にも対応できる

      AWS Shieldは先述のとおり、AWSであればすべてのユーザーでL3・L4(ネットワーク・ポートレベル)のDDoS攻撃からの保護が可能です。

      これが追加費用なしでできるというのはコスト面でも大きなメリットです。

      さらに、DDoS攻撃を受ける可能性のあるサーバを運用している場合は、アドバンストを契約することによってより高度なDDoSからの保護を提供されます。

       

    4. d) AWS Shieldの使い方
      まず、スタンダードであれば特に設定や申し込みは不要で利用できます。

      アドバンスドであれば以下の手順が必要になります。

      1. (i) AWS Shieldアドバンスドのアクティブ化
        AWSにサインインし、AWS WAFコンソールに初めてサインインする場合は、「Go to Shield (Shield に移動)」→「Activate AWS Shield Advanced (AWS Shield Advanced をアクティブ化する)」を選択します。

        それ以外の場合は、ナビゲーションペインの 「AWS Shield」→「Protected resources (保護されているリソース)」を選択します。

        次に、「Activate service (サービスのアクティブ化)」を選択します。

         

      2. (ii) 保護するリソースを指定する
        次に、保護するリソースを選択し、「Protect selected resources (選択したリソースを保護)」で決定します。

         

      3. (iii) レートベースのルールを追加する
        レートベースのルールを追加することで、DDoSイベントの可能性がある急激なトラフィックの増加へのアラートが通知されます。

        ルールを作成するには、リソースに対してウェブACLを作成し、そのリソースでレートベースのルールを作成します。

         

      4. (iv) 権限を DDoS Response Team に付与する
        DDoS Response Team (DRT) からのサポートを利用可能にする場合は、必要な権限をDRTに事前に付与することで、実際に攻撃が発生した場合の対処を代行で行ってもらえます。

         

      5. (v) Amazon CloudWatch アラームを設定する
        Amazon CloudWatchと連携することで、DDoSと思われる攻撃から保護されたリソースに関する通知を送るように設定できます。

        アラームを作成するには、リソース上にてAmazon CloudWatchの通知設定を行います。

         

      6. (vi) AWS WAF ルールをデプロイする
        セキュリティのオートメーションテンプレートを活用し、AWS WAFにおけるルールを設定しておくことも重要です。

        AWS WAFも併用することで、DDoSに限らずSQLインジェクションなどの他のL7層に対する攻撃に関する対処をすることができるようになります。

         

      7. (vii) グローバル脅威環境ダッシュボードのモニタリング
        AWS Shieldにおいては、モニタリングも重要です。

        グローバル脅威環境ダッシュボードであれば、最大の攻撃、トップの攻撃ベクトル、重要な攻撃の相対的な数などの脅威状況の概要をほぼリアルタイムで確認することができます。

     

  2. 2. AWS Shieldの料金
    AWS Shieldの費用は、スタンダードは無料、アドバンストは有料です。

    アドバンストを利用する場合の月額料金は3,000.00USDです。

    さらに、Amazon CloudFront、Elastic Load Balancing (ELB)、Amazon Elastic Compute (EC2)、AWS Global Accelerator からのデータ転送量に基づく使用料金がかかります。

    料金は以下のとおりです。

     

    Amazon CloudFront Elastic Load Balancing (ELB) AWS Elastic IP (EC2 および Network Load Balancer) AWS Global Accelerator Amazon Route 53
    最初の100TB 0.025USD 0.05USD 0.05USD 0.05USD 追加料金なし
    次の 400TB 0.02USD 0.04USD 0.04USD 0.04USD 追加料金なし
    次の 500TB 0.015USD 0.03USD 0.03USD 0.03USD 追加料金なし
    次の 4PB 0.01USD 要問合せ 要問合せ 要問合せ 追加料金なし
    5PB超 要問合せ 要問合せ 要問合せ 要問合せ 追加料金なし

     

  3.  

  4. 3. まとめ
    AWSを利用している方であれば、AWS Shieldのスタンダード機能を無料で、かつ自動的に使うことができ、DDoSへの不安を緩和することができます。

    また、エンタープライズなどより高度にDDoSへの対応をしたいのであれば、アドバンストタイプを契約することで、L7層に対するDDoSからの保護やサポート対応、さらには攻撃により発生した膨大な課金への保証もできます。

    利用中の環境や要件に応じて、適切な方のタイプを選択してください。

 

※下記のブログもご覧ください。
1. 【Amazon GuardDuty とは?】初心者にもわかりやすく解説

2. 【AWS Security Hubとは】初心者にもわかりやすく解説