AWS Shield
# AWS Shield
https://d1.awsstatic.com/webinars/jp/pdf/services/20170718_AWS-BlackBelt-Shield.pdf
## DDos 対策
DDos とは: Distributed Denial Of Service(ネットワークを通じた攻撃手法の一種で、標的となるコンピュータに対して複数のマシンから大量の処理負荷を与えることでサービスを機能停止状態へ追い込む手法のこと)
- ユーザーができるDDoS対策
- 攻撃対象領域を削減する
- スケールして攻撃を吸収できるようにする
- 公開されたリソースを保護する
- 通常時の動作について学習する
- 攻撃に対する計画を作成する
- AWSには標準でDDoS防御が組み込まれている
- セキュリティの脅威タイプ
## AWS Shield とは
AWS Shield はDDoSに対しての対策を行ってくれる
- 種類
- Standard Protection
- 全てのAWSユーザに適用
- 無料
- Advanced Protection
- より大規模な、より洗練された攻撃からの防御を提供する
- 有料のサービス
- AWS Shield Standard
- Layer 3/4 Protection
- 一般的な攻撃からの防御
- 自動検知&自動緩和(DDoSのアクセスを90%以上軽減)
- AWSサービスにビルトイン済み
- CloudFront, Route53エッジロケーションの前にインラインで配置されて全てのパケットはAWS Shield を通るようになる
- Layer 7 Protection
- Layer 7 のDDoS攻撃への緩和はAWS WAFで行う
- セルフサービス
- AWS Shield Advanced Protection
- 対象サービス
- CLB
- ALB(インクルードされているWAFによる対応)
- CloudFront(インクルードされているWAFによる対応)
- Route53
- DDoSへの対策
- DDoS Response Team
- L7 DDoS Protection
- AWS WAFによる保護
- Cost Protection
- DDoS 攻撃によるスケーリングコストを回避
- Advanced Mitigation
- DDoSのトラフィックを軽減してくれる
- DDoS Response Team が手動でセットアップしてくれる部分もある
- L3/4での軽減
- L7 での軽減
- Reporting
- CloudWatch を経由してリアルタイム通知
- ニアリアルタイムメトリクスと攻撃のフォレンジクスのためのパケットキャプチャ
- 時系列の攻撃レポート
- Operation
- Self-Service
- WAFが追加費用なしで含まれる
- 攻撃の通知、フォレンジック、履歴レポート
- DDoS エキスパートによる対応
- 積極的なDDos Response Team の関与
## AWS Shield オペレーションとは
- AWS Shield Advanced を利用するまでのステップ
## AWS DDoS Shield の使い分け
- Standard Protection
- Advanced Protection
- 大規模な攻撃に対する防御
- 攻撃に対する可視性
- 複雑なケースでのDDoSエキスパートによるサポート
## 雑感
AWS のDDoSに対する防御と検知を提供するサービス。基本的なDDoSは無料で組み込まれているので十分と言えそうだが、より高度な攻撃に対応したい場合や、サポートが必要な場合はAdvanced Protection を入れる感じになる。とはいえ、月30万 で一年間利用をコミットしないといけないので判断はする必要がある。
AWS Sheild Advanced Protection にはWAFが付属していてこれによりDDoSだけではなくApplication Attack とBad Bots への対策にもなる。AWS Shield 自体は対応するリソースの前段で動き、悪意のあるトラフィックを検知・軽減してくれる。