Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS BlackBelt AWS上でのDDoS対策

16,845 views

Published on

AWS BlackBelt AWS上でのDDoS対策

Published in: Technology
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

AWS BlackBelt AWS上でのDDoS対策

  1. 1. 【AWS Black Belt Online Seminar】 AWS 上での DDoS 対策 アマゾン ウェブ サービス ジャパン株式会社 セキュリティソリューションアーキテクト 桐山 隼人 2017.09.05
  2. 2. @hkiriyam1 氏名: 桐山隼人 役割: セキュリティソリューションアーキテクト 業務: 顧客提案、ソリューション開発、市場開拓 プロフィール: 外資系総合IT会社の開発研究所にて開発エンジニア、 セキュリティベンダーにて技術営業を経た後、現職。 MBA, PMP, CISSP, CISA, セキュリティ関連特許多数。 クラウドセキュリティに関するセミナー登壇・記事寄稿など。 自己紹介 RSA Conference 2017 APJ 「Cloud Security Strategy」 Session Speaker AWS Startup Security Talks 「セキュリティ意識が低い CEOはあり得ない」(ITpro) AWS Summit Tokyo 2017 「AWSで実現するセキュリティ・オート メーション」(マイナビニュース) 「IoTビジネスとセキュ リティを3段階と4要素 で理解する」記事寄稿
  3. 3. 内容についての注意点 • 本資料では2017年9月5日時点のサービス内容および価格についてご説明しています。最新の 情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に 相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途 消費税をご請求させていただきます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 3
  4. 4. アジェンダ 4 DDoS攻撃について DDoS対策の考え方 AWS上でDDoS対策を行う際の ベストプラクティス
  5. 5. アジェンダ 5 DDoS攻撃について DDoS対策の考え方 AWS上でDDoS対策を行う際の ベストプラクティス
  6. 6. Distributed Denial of Service (DDoS) 攻撃 6 DoS攻撃 DDoS攻撃 複数の攻撃元が協調して、大量のパケットやリクエストを標的に送り サービスを停止させる攻撃
  7. 7. DDoS脅威の増大 7 内閣サイバーセキュリティセンター(NISC) 「2020年及びその後を見据えたサイバーセキュリティの在り方について -サイバーセキュリティ戦略中間レビュー-」(2017年7月13日) より抜粋 2016年9月20日 Krebs on SecurityのWeb サイトに過去最大の665GbpsのDDoS攻撃 2016年10月21日 Dyn Managed DNSが DDoS攻撃により停止。Netflix, Twitter, Spotify, GitHubなどが一時使用不能に 「IoTボットネットによるDDoS脅威は今後 も増大する」と明記される
  8. 8. 金銭目的の脅威の変化 8 入口対策 出口対策 データ 侵害 ランサム ウェア DDoS 攻撃 企業に侵入し機密情報を不正に取得 入口対策と出口対策を要突破 取得した情報を売却 企業内データを暗号化し身代金要求 入口対策を要突破 ビットコインによる身代金受取 企業の公開サーバーをサービス停止に いつでも攻撃可能 ランサムDDoSという形態の登場 攻撃者が最も楽に利益を得る手段
  9. 9. DDoS攻撃の種類 9 # 層 単位 説明 攻撃例 7 アプリケーション データ アプリケーション 通信 HTTPフラッド DNSクエリフラッド 6 プレゼンテーション データ データ表現と暗号 SSL不正 5 セッション データ ホスト間通信 N/A 4 トランスポート セグメント End-to-end接続 SYNフラッド 3 ネットワーク パケット 通信経路の ルーティング UDP反射攻撃 2 データリンク フレーム 物理アドレス指定 N/A 1 物理 ビット メディア、信号、 バイナリ転送 N/A インフラ層への攻撃 アプリ層への攻撃
  10. 10. アジェンダ 10 DDoS攻撃について DDoS対策の考え方 AWS上でDDoS対策を行う際の ベストプラクティス
  11. 11. DDoS対策の考え方 11 3つの軸で考える 「高さ」 「幅」 「深さ」
  12. 12. 「高さ」:レイヤー(層)毎に攻撃とその対策が異なる 12 ボリューム攻撃 処理出来る能力を超えた トラフィックを送りつける (例:UDP 反射攻撃) 状態枯渇攻撃 ファイヤウォールや、IPS,ロードバランサなど の状態を管理しなければならないプロトコルに 負荷をかける (例:TCP SYN フラッド) アプリケーション層攻撃 一見、適切に構成されているが悪意のある 要求を使用して、アプリケーションリソー スを消費する (例: HTTP GET, DNS クエリフラッド)
  13. 13. 攻撃例:UDP反射攻撃 13 攻撃者は発信元IPを偽装 標的に大きな応答パケット を送りつける 要求と応答のパケットの サイズ差を利用 (DNSでは28~54倍の差)
  14. 14. 攻撃例:SYNフラッド 14 クライアントから意図的に ACKを返さない サーバーは返答を待ち続け ける 新しいユーザーがサーバー に接続できなくなる
  15. 15. 攻撃例:DNSクエリフラッド 15 ボットネットと呼ばれる複 数の感染ホストを利用 DNSサーバーに大量のク エリを同時に送り付ける 正規ユーザーがDNSサー バーを利用できなくなる DNSクエリ DNSサービス リソース枯渇 正規ユーザー
  16. 16. DDoS対策の考え方 16 3つの軸で考える 対策層 「高さ」 「幅」 「深さ」
  17. 17. 「深さ」:対策場所はエッジからリージョンまで 17 Amazon Route 53 Amazon EC2 ELB Amazon CloudFront AWS WAF ユーザー AWS WAF AWSエッジ ロケーション AWSリージョン アプリの種類によって対策場所は異なる
  18. 18. ウェブアプリケーションの場合 18 HTTP/SによるステートレスなWebアプリケーション 対策特徴:エッジでAWS WAF, CloudFrontを利用し、オリジンへの直接攻撃を阻止
  19. 19. クライアント/サーバー アプリケーションの場合 19 TCPによるステートフルな処理でクライアント/サーバー間セッション維持 対策特徴:EC2の垂直スケール、拡張ネットワーキングで大量トラフィック吸収
  20. 20. 20 ゲームアプリケーションの場合 TCP/UDPでユーザー-ホスト間接続を維持し、ニアリアルタイム処理 対策特徴:特定IPからの通信を許可するセキュリティグループ
  21. 21. DDoS対策参照アーキテクチャ― 21 Amazon Route 53 ELB SG Amazon EC2 インスタンス Elastic Load Balancing Amazon CloudFront Public subnet Web Application SG Private subnet AWS WAF Amazon API Gateway DDoS攻撃 ユーザー
  22. 22. DDoS対策参照アーキテクチャ― 22 Amazon Route 53 ELB SG Amazon EC2 インスタンス Elastic Load Balancing Amazon CloudFront Public subnet Web Application SG Private subnet AWS WAF Amazon API Gateway DDoS攻撃 ユーザー BP2 BP1 BP3 BP4 BP5 BP6 BP7 BP: Best Practice
  23. 23. ベストプラクティス対応表 (対策層 x 対策場所) 23 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 第7層 攻撃緩和 ✓ ✓ ✓ ✓ 第6層 攻撃緩和 ✓ N/A ✓ ✓ 第4層 攻撃緩和 ✓ ✓ ✓ ✓ 第3層 攻撃緩和 ✓ ✓ ✓ ✓ ✓
  24. 24. DDoS対策の考え方 24 3つの軸で考える 対策層 「高さ」 「幅」 「深さ」 対策場所
  25. 25. 「幅」:対策の種類には幅がある 25 地理的分離分散 攻撃対象隠ぺい 攻撃吸収・緩和 計画・監視 設計 技術 運用
  26. 26. ベストプラクティス対応表 (対策種類 x 対策場所) 26 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  27. 27. DDoS対策の考え方 27 3つの軸で考える 対策層 「高さ」 「幅」 対策種類 「深さ」 対策場所
  28. 28. アジェンダ 28 DDoS攻撃について DDoS対策の考え方 AWS上でDDoS対策を行う際の ベストプラクティス
  29. 29. DDoS対策参照アーキテクチャ― 29 Amazon Route 53 ELB SG Amazon EC2 インスタンス Elastic Load Balancing Amazon CloudFront Public subnet Web Application SG Private subnet AWS WAF Amazon API Gateway DDoS攻撃 ユーザー BP2 BP1 BP3 BP4 BP5 BP6 BP7 BP: Best Practice
  30. 30. ベストプラクティス対応表 (対策種類 x 対策場所) 30 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  31. 31. エッジでのWebアプリケーション配信(BP1,2,3) 31 対策内容 対策例 1. 遅延やスループットの最適化 2. DDoSによる可用性への影響の 最小化 1. Amazon CloudFrontをCDNと して用いたコンテンツ配信 2. 地理的に離れたエッジロケー ション利用
  32. 32. 32 North America: 30 South America: 3 Europe / Middle East / Africa: 27 Ashburn, VA (3) Atlanta, GA (3) Chicago, IL (2) Dallas/Fort Worth, TX (3) Hayward, CA Jacksonville, FL Los Angeles, CA (2) Miami, FL Minneapolis, MN Montreal, QC Newark, NJ New York, NY (3) Palo Alto, CA Philadelphia, PA San Jose, CA Seattle, WA (2) South Bend, IN St. Louis, MO Toronto, ON リージョン別エッジキャッシュ: 9 Oregon, N. Virginia, Frankfurt, Sao Paulo, Mumbai, Singapore, Seoul, Tokyo, Sydney Edge location AWS Region / Regional Edge Cache Regional Edge Cache Asia Pacific: 22 Rio de Janeiro, Brazil São Paulo, Brazilc (2) Amsterdam, The Netherlands (2) Berlin, Germany Dublin, Ireland Frankfurt, Germany (6) London, England (4) Madrid, Spain Marseille, France Milan, Italy Munich, Germany Paris, France (3) Prague, Czech Republic Stockholm, Sweden (2) Vienna, Austria Warsaw, Poland Zurich, Switzerland Chennai, India Hong Kong, China (3) Kuala Lumpur, Malaysia Manila, the Philippines Melbourne, Australia Mumbai, India (2) New Delhi, India Osaka, Japan Seoul, Korea (3) Singapore (2) Sydney, Australia Taipei, Taiwan Tokyo, Japan (4) https://aws.amazon.com/jp/about-aws/global-infrastructure/ [参考] AWSエッジロケーション
  33. 33. ベストプラクティス対応表 (対策種類 x 対策場所) 33 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  34. 34. AWSリソースの隠ぺい オリジンの保護(BP1,2,3) 34 1. セキュリティポリシーの強制 適用 2. アクセス経路の制限 1. VPCの中に配置し、セキュリ ティグループやネットワーク ACLを利用 2. Amazon CloudFrontにて エッジからオリジンへカスタ ムヘッダーを付加し、アクセ ス制限 対策内容 対策例
  35. 35. [参考] オリジンへのアクセス制限 • オリジンがAmazon S3の場合、Origin Access Identity(OAI)を利 用 – S3のBucketへのアクセスをCloudFrontからのみに制限 • カスタムオリジンの場合、下記の2種類が選択可能 – オリジン側のアドレスを公開せず、CloudFrontが利用するIPアドレス(*)からのみ通信を許可 させる – カスタムヘッダーを利用し、CloudFrontで指定された任意のヘッダーをオリジン側でチェッ ク CloudFront Edge カスタムオリジンサーバ S3 クライアント OAI IP制限/ ヘッダ−制限 クライアント ダイレクト アクセス ヘッダー付与 35 (*) 下記JSONファイルから、Serviceキーの“CLOUDFRONT”でフィルタすることで抽出可能 https://ip-ranges.amazonaws.com/ip-ranges.json
  36. 36. APIエンドポイントの保護(BP4) 36 1. Web APIサーバーを不必要に 外部公開しない 2. 不正APIリクエストからの保護 1. Amazon API Gatewayを利用 し、Web API公開サーバーを 立てない 2. Amazon API Gatewayにおい てAPIリクエストの標準値や バースト値の制限を設ける 対策内容 対策例
  37. 37. [参考] Amazon API Gateway • 特徴 (http://aws.amazon.com/jp/api-gateway/) – OS、キャパシティ等インフラの管理不要 – バックエンドとしてLambda、既存Webシス テムを利用可能 – スロットリング/キャッシュ • 価格体系 (http://aws.amazon.com/jp/api-gateway/pricing/) – 呼び出し回数/データ送出量/キャッシュ容量 – 100万回の呼び出しにつき$3.5 – データ送出量に応じて$0.05/GB~$0.09/GB – キャッシュ容量に応じて$0.02/時~$3.8/時 Web APIの作成・保護・運用と公開を簡単に Mobile Apps Websites Services API Gateway AWS Lambda functions AWS API Gateway Cache Endpoints on Amazon EC2 / Amazon Elastic Beanstalk Any other publicly accessible endpoint Amazon CloudWatch Monitoring
  38. 38. AWSリソースの隠ぺい SG & NACL(BP5,6) 38 1. インスタンスを不必要に外部 公開しない 2. ポリシーに基づいたリソース の保護 3. 意図しない送信元IPやプロト コルの通信の遮断 1. ELBによるEC2のインター ネットからの隠ぺい 2. セキュリティグループによる 保護対象毎のアクセス制限 3. ネットワークACLによるIPア ドレス、ポート、プロトコル の基にしたアクセス制限 対策内容 対策例
  39. 39. [参考] セキュリティグループの例 39 • ELBからくるリクエストのみ受け付け • インスタンスにはVPCのサブネットのアドレスレンジから のプライベートIPアドレスしかアサインされない • ELB SGからのTCPポート80及び443とSSH踏み台SGから のTCPポート22だけを許可 • インターネットからのTCPポート80と443のみを 許可し、リクエストをウェブアプリケーション サーバー セキュリティグループのEC2インスタン スに送信可能に Web Application セキュリティグループELBセキュリティグループ
  40. 40. ベストプラクティス対応表 (対策種類 x 対策場所) 40 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  41. 41. 不正な通信の検知とブロック(BP1,2) 41 1. インフラへの不正通信の阻止 2. アプリケーションへの攻撃の 緩和 3. ポリシーに基づいた通信制御 1. AWS Shield Standardによる L3/L4防御 2. Amazon CloudFrontによる オリジンからエッジロケー ションへのオフロード 3. Amazon CloudFrontによる 地域指定。AWS WAFのルー ルによる防御 対策内容 対策例
  42. 42. • これまでのDDoS保護経験に基づき L3 / L4自動緩和システムを開発 • CloudFront、Route53エッジロケーション の前にインラインで配置され、すべての着 信パケットを検査 • DDoS攻撃の96%を自動軽減 • 追加設定や手数料なし • 利点 – スケーラビリティと低コスト – 常時保護 – 自動緩和 – AWSソリューション用に構築 Customer’s Origin Infrastructure (ELB, EC2, S3, etc). CloudFront Route 53 CloudFront Route 53 DDoS Attack User 自動緩和システム Edge Location AWS Region [参考] AWS Shield L3/L4 自動緩和システム 42
  43. 43. [参考] Amazon CloudFront GEOリストリクション • 地域指定によるアクセス制御 – 接続されるクライアントの地域情報を元に、エッジでアクセス判定 – BlacklistもしくはWhitelistで指定可能 – Distribution全体に対して適用される – 制限されたアクセスには403を応答 CloudFront Edge 接続クライアントの 地域情報をもとに判定 クライアント GEO Restriction有効 オリジンサーバ 403 43
  44. 44. [参考] エッジでの名前解決(BP3) 44 1. DNS要求への適切な応答 2. DDoS攻撃を受けた際の冗長性 と耐障害性の確保 1. Amazon Route 53のトラ フィックフロー、遅延ベース ルーティング、ヘルスチェッ ク、モニタリング機能による 最適な応答 2. Amazon Route 53のシャッ フルシャーディングによる冗 長性。Anycastルーティング のよる障害分離 対策内容 対策例
  45. 45. • AWS上で高可用性、低レイテンシなアーキテクチャを実現するツール – ポリシーベースの柔軟なトラフィックルーティング、フェイルオーバー、トラフィックフローなど の機能により、様々な条件に基づくルーティングが可能 – 100%の可用性のSLAを提供 • シャッフルシャーディング – 数多くのエンドポイントに DNS リクエストを分散させ、 アプリケーションの複数のパスとルートを提供 • Anycast ルーティング – 複数の PoP から同じ IP アドレスを通知することで冗長性を高める – DDoS 攻撃が 1 つのエンドポイントを攻略した場合、シャッフルシャーディングによって障害が分 離され、インフラストラクチャに追加のルートが提供される [参考] Amazon Route 53 (マネージドDNSサービス) 45
  46. 46. 大量トラフィックの負荷分散(BP6) 46 1. 1つのインスタンスの処理能力 では処理できない大量トラ フィックの分散 2. インフラへの不正通信の阻止 1. Elastic Load Balancingによる アプリケーションへの負荷の 低減 2. Elastic Load Balancingによ る不正TCP接続の拒否。SYN フラッドやUDP反射攻撃から の保護 対策内容 対策例
  47. 47. [参考] ELBとAuto Scalingとの連携 Auto scaling Group 増減 • Auto Scalingによるインスタンス増減時にELBへの追加・削除が可能 • ELBのヘルスチェックの結果をAuto Scalingに反映可能 • インスタンス削減時は、Connection Drainingでの処理中の接続を待つ • 利用例 – 一定間隔でレスポンスをチェックし、遅延が増加したらインスタンスを 自動追加 – ELBのヘルスチェックが成功したEC2インスタンスを常にX台以上 47
  48. 48. 大量トラフィックを捌くインスタンスの選択(BP7) 48 1. 垂直スケール 2. 水平スケール 3. 帯域の大きいネットワークイ ンターフェース 1. Amazon EC2のスケールアップ 2. Auto Scalingによるスケールア ウト 3. より大きな帯域のネットワーク インターフェース選択、拡張 ネットワーキング機能有効化 対策内容 対策例
  49. 49. [参考] Elastic Network Interfaces (ENI) • VPC上で実現する仮想ネットワークイ ンタフェース • 以下をENIに紐づけて維持可能 – Private IP – Elastic IP – MACアドレス – セキュリティグループ • インスタンスによって割り当て可能な 数が異なる eth0: 192.168.1.10 eth0:172.16.3.1 eth1:10.3.5.2 利用例2: 1インスタンスに複数NIC 利用例1: インスタンス障害時に待機インスタンスに NICを付け替え http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html49
  50. 50. [参考] 拡張ネットワーキング • Intel 82599 Virtual Function (VF) イ ンターフェイス – C3、C4、D2、I2、R3、M4 (m4.16xlarge を除く) インスタン スに対して最大 10 Gbps のネット ワーク速度をサポート • Elastic Network Adapter (ENA) – F1、G3、I3、P2、R4、X1 および m4.16xlarge インスタンスに対し て最大 20 Gbps のネットワーク速 度をサポート http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/enhanced-networking.html VMM NIC NIC VF1 VF2 VF3 Switch 通常 拡張ネットワーキング 50 パケット毎秒(PPS)が非常に大きく、ネットワーク遅延が小さくなるオプション
  51. 51. 回復力を考慮したリージョンの選択(BP7) 51 1. 要件に基づいた配備 2. 安定した回線環境 1. パフォーマンス・コスト・ データ統制要件に基づいた リージョン選択 2. 信頼度の高い通信キャリアと のInternet Exchangeが近い リージョン 対策内容 対策例
  52. 52. [参考] AWSグローバルインフラストラクチャー 52 16のリージョン, 44のアベイラビリティーゾーン AWS GovCloud (2) ※カッコ内の数はアベイラビリティゾーン 米国西部 オレゴン (3)、北カリフォルニア (3) 米国東部 バージニア北部 (6)、オハイオ (3) カナダ 中部 (2) 南米 サンパウロ (3) 欧州 アイルランド (3)、フランクフルト (3)、ロンドン (2) アジアパシフィック シンガポール (2)、シドニー (3)、東京 (3)、ソウル (2)、ムンバイ (2) 中国 北京 (2) 新しいリージョン (近日追加予定) パリ 寧夏 (Ningxia)、香港 ストックホルム AWS GovCloud (米国東部) https://aws.amazon.com/jp/about-aws/global-infrastructure/
  53. 53. ベストプラクティス対応表 (対策種類 x 対策場所) 53 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  54. 54. 運用による対策:攻撃の可視化 54 1. トラフィックの通常状態の把 握し、異常状態を検知できる ようにする 2. DDoS攻撃に関係するメトリク スを定義し、必要に応じて担 当者に通知する 1. VPC Flow Logsを用いてトラ フィック可視化する 2. Amazon CloudWatchメトリ クスを用いてログ記録し、事 前定義した閾値を超えたらイ ベントを飛ばす 対策内容 対策例
  55. 55. [参考] DDoS関連のCloudWatchメトリクス例 55 名前空間 メトリクス 説明 名前空間 メトリクス 説明 CloudFront Requests HTTP/Sリクエスト数 ELB BackendConne ctionErrors 失敗したコネクション数 CloudFront TotalError Rate 全リクエスト中HTTPステー タスコード4xx/5xxの割合 ELB SpilloverCount キュー飽和により拒否されたリ クエスト数 Route53 HealthChe ckStatus ヘルスチェックエンドポイン トのステータス Auto Scaling GroupMaxSize オートスケーリンググループの 最大サイズ ELB SurgeQueu eLength ロードバランサー でバックエンド応答を待って いるリクエスト数 EC2 CPUUtilization CPU使用率 ELB UnHealthy HostCount AZ中のunhealthyなインス タンス数 EC2 NetworkIn ネットワークインターフェース での受信バイト数 ELB RequestCo unt 登録インスタンスに転送した 処理済みリクエスト数 DDoSProt ection DDoSAttackBit sPerSecond DDoS攻撃の秒あたりビット数 (0より大はDDoS攻撃検知) ELB Latency ロードバランサーがリクエス トを転送してから応答までの 経過時間(秒) DDoSProt ection DDoSAttackRe questsPerSeco nd DDoS攻撃の秒あたりリクエスト 数(0より大はDDoS攻撃検知)
  56. 56. 運用による対策:計画とレビュー 56 1. アプリケーションを配備する 前に設計レビューを行う 2. 実際の攻撃が受けた場合のイ ンシデント対応フローを確立 する 3. インシデント対応後の運用レ ビューを行う 1. AWS Solutions Architect に よるWell-Architectedレビュー 2. DDoS Response Teamの設計 レビュー、インシデント対応フ ロー(ランブック)の共有 3. AWS Technical Account Manager による運用レビュー 対策内容 対策例
  57. 57. [参考] AWS Shield Advanced DDoS Response Team 24x7でDDoS Response Team(DRT)へアクセス可能 57 AWSとAmazon.comを保護する知識と経験 を持ったDDoSの専門家チーム サポートケース経由でのアクセス • 事前の構成相談対応 • クリティカルで緊急の優先順位のケースはす ぐに回答され、DRTに直接ルーティング • 複雑なケースは、DRTにエスカレーションするこ ともできます
  58. 58. 58 AWS Shield A Managed DDoS Protection Service
  59. 59. AWS Shield Standard Protection Advanced Protection 全てのAWSユーザに適用 無料 より大規模な、より洗練された 攻撃からの防御を提供する 有料 59
  60. 60. AWS Shield Standard Layer 3/4 protection 一般的な攻撃(SYN/UDP フラッド、反射攻撃等)から防御 自動検知&自動緩和 AWSサービスにビルトイン済 Layer 7 protection Layer 7のDDoS攻撃への緩和は AWS WAFで行う セルフサービス 使った分だけの支払い 60 https://aws.amazon.com/jp/shield/tiers/ http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-overview.html#types-of-ddos-attacks
  61. 61. AWS Shield Advanced Shield Standardによる保護に加え、以下の機能による 包括的なDDoS対策ソリューションを提供 • DDoS Response Team • L7 DDoS Protection • Cost Protection • Advanced Mitigation • Reporting 61 AWS Black Belt Online Seminar AWS Shield https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2017-aws-shield/ *詳細は、以下AWS Shield Black Belt Online Seminar 資料をご参照ください
  62. 62. Shield Standard対応表 (対策層 x 対策場所) 62 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 第7層 攻撃緩和 ✓ ✓ ✓ ✓ 第6層 攻撃緩和 ✓ N/A ✓ ✓ 第4層 攻撃緩和 ✓ ✓ ✓ ✓ 第3層 攻撃緩和 ✓ ✓ ✓ ✓ ✓
  63. 63. Shield Standard対応表 (対策種類 x 対策場所) 63 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
  64. 64. Shield Advanced対応表 (対策種類 x 対策場所) 64 AWSエッジロケーション AWSリージョン Amazon CloudFront with AWS WAF (BP1, BP2) Amazon Route 53 (BP3) Amazon API Gateway (BP4) Amazon VPC (BP5) Elastic Load Balancing (BP6) Amazon EC2 with Auto Scaling (BP7) 地理的 分離分散 ✓ ✓ ✓ 攻撃対象 隠ぺい ✓ ✓ ✓ ✓ ✓ 攻撃吸収 ・緩和 ✓ ✓ ✓ ✓ ✓ ✓ 計画・監視 ✓ ✓ ✓ ✓ ✓ ✓ より高度な検知能力 設計レビューによる支援 ランブックによる支援
  65. 65. まとめ 65 全ての企業・組織にとってDDoS対策の重要性 は増してきている DDoS対策を「対策層 x 対策場所 x 対策種類」 の軸で考える AWSクラウドにおけるDDoS対策のベストプラ クティスを参考にして対策を実施する
  66. 66. 参考資料 • AWS Best Practices for DDoS Resiliency Whitepaper – https://d0.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf/ • Denial of Service Attack Mitigation on AWS – https://aws.amazon.com/jp/answers/networking/aws-ddos-attack- mitigation/ • AWS Black Belt Online Seminar AWS Shield – https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt- online-seminar-2017-aws-shield/ 66
  67. 67. Q&A 67
  68. 68. オンラインセミナー資料の配置場所 • AWS クラウドサービス活用資料集 – http://aws.amazon.com/jp/aws-jp-introduction/ • AWS Solutions Architect ブログ – 最新の情報、セミナー中のQ&A等が掲載されています – http://aws.typepad.com/sajp/ 68
  69. 69. 公式Twitter/Facebook AWSの最新情報をお届けします 69 @awscloud_jp 検索 最新技術情報、イベント情報、お役立ち情報、 お得なキャンペーン情報などを日々更新しています! もしくは http://on.fb.me/1vR8yWm
  70. 70. AWSの導入、お問い合わせのご相談 AWSクラウド導入に関するご質問、お見積り、資料請求を ご希望のお客様は以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact-us/aws-sales/ ※「AWS 問い合わせ」で検索してください
  71. 71. 71

×