AWS Shield Standardってそういう仕様?

By | 2018年9月15日

会社のシステムがDDoS攻撃を受けたのですが、その時にAWS Shieldってあったよなと思い出して調べたので備忘録として残します。

 間違って解釈していないのであれば、基本的にAWS Shield Standardはエンジニア側で設定をせずとも機能しており、このプランである限りはそもそも操作できない気がします。

AWSのセキュリティサービス


 AWSのセキュリティサービスとして「AWS WAF & Shield」があります。AWS WAFは簡単にいうと防火壁です。IPアドレスでのアクセス制限や国外からのアクセスを禁止したり、特定のアクセスが連続で発生した場合に遮断したりできます。CloudFrontやALBにWAFの設定を反映することができ、基本的には検査したIPアドレスの数に応じて料金が発生します。

AWS WAF は、お客様のウェブアプリケーションを、アプリケーションの可用性、セキュリティの侵害、リソースの過剰な消費などに影響を与えかねない一般的なウェブの弱点から保護するウェブアプリケーションファイアウォールです。AWS WAF を使用すると、カスタマイズ可能なウェブセキュリティルールを指定することによって、どのトラフィックをウェブアプリケーションに許可またはブロックするかを制御できます。
引用元:https://aws.amazon.com/jp/waf/

 コストが安価で、例え100万リクエストを検査したとしても$0.60で済んでしまいます。アクセス制御のルールについてもある程度コントロールすることができるので、DoS攻撃を始めとした不正なアクセスを制御することができます。

 …が、DDoS攻撃のようにIP帯やアクセス元ポートを多彩に変化させた攻撃に関して、WAFだけでは制御のための条件パターンが追いつけなくなります。精々、海外からのアクセスを拒否する設定をつけるくらいでしょう。

DDoSにも立ち向かえるのがAWS Shield


 そう思っていた時期が私にもありました。AWS ShieldはDDoS攻撃に対する保護サポートで、Route 53、CloudFront、ELB、インスタンスそれぞれで保護の機能が働いてくれます。AWS Shiledには2種類のプランが存在します。スタンダードプランは基本的なDDoS攻撃からの保護を行ってくれるようで、しかも無料です。

 そして有料のアドバンスドプランは月額$3,000かかりますが、詳細なルールをカスタマイズできる他、24時間体制のサポートチームがいつでも利用できるようです。そのため、AWSのサポートチーム側に泣きつけばあちらですぐさま攻撃を防ぐ手配をしてくれる…という認識でいいのかな。

 とりあえずAWS Shieldは「実は気がつかないところで既に作動していて攻撃を防いでくれている。」ようです。しかしスタンダードプランでも防ぎきれない攻撃に関してはWAFなどの別のサービスを利用するかAWS Shiled Advancedへプランを変更しなければならないという感じでしょうか。

結局DDoS攻撃にはどうすればいいか

 AWS Shield Standardがどの程度機能しているのかわかりませんが、既にAWSからの保護を受けているにも関わらず突き抜けて来る攻撃があるのであれば、こちらからできる対策は少ないと思います。いっそのことWAFの設定で海外からのアクセスを一切遮断してしまうか、素直にAWS Shiled Advancedへアップグレードするしかないでしょう。

終わりに

 会社のシステムがDDoS攻撃を受けたことで関心を持ったAWS Shieldですが月額コストが結構かかります。一人のインフラエンジニアが勝手に利用を決断できるような機能ではないことは確かです。

 明日は我が身と思うのであれば、WAFで海外からのアクセスを遮断する設定を前もって用意しておくか、攻撃を受けたときにどう対応するのか、Advancedを契約するのかをしっかりと上司と決めておく必要がありそうですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)