BT

AmazonがDDoS防御のためのAWS Shieldを発表

| 作者: Kent Weare フォローする 11 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2017年1月4日. 推定読書時間: 4 分 |

原文(投稿日:2016/12/03)へのリンク

先日のAWS re:Invent 2016イベントでAmazonは,DDoS(Distributed Denial of Service)攻撃からの防御をユーザに提供する“AWS Shield”という新サービスを発表した

この発表は,Amazonが使用しているDNSプロバイダのDynamic Network Service(Dyn)に対するDDoS攻撃による影響をAmazonが受けてから,ちょうど1ヶ月後というタイミングになる。この攻撃では特に,バージニア北部およびアイルランドのデータセンタで稼働するAWSサービスのいくつかが影響を受けたため,Amazonはユーザに対する影響を制限すべく,別のDNSプロバイダへのトラフィックの再ルーティングを行なっている。

DDoS攻撃の数は増え続けている。Akamaiの第1四半期インターネットセキュリティレポートによると,

DDoS(分散型サービス拒否)攻撃は,毎年125パーセント増加しています。

先日のブログ記事では,AWSチーフエバンジェリストのJeff Barr氏が,企業に影響を与えるDDoS攻撃の3つのパターンについて説明した

  • アプリケーション層攻撃(Application-Layer Attacks)は,アプリケーションのリソースを消費するように設計された,正常だが悪意を持ったリクエスト(HTTP GETやDNSクエリが一般的)を使用するものです。例えば複数のHTTPコネクションをオープンして数秒間,場合によっては数分間にわたってレスポンスを読み取ることで,メモリを過度に消費し,正常なリクエストに対する応答を妨害します。
  • ステート枯渇攻撃(State-Exhaustion Attacks)は,ステートフルなプロトコルを悪用して,コネクション単位のリソースを多数消費することにより,ファイアウォールやロードバランサにストレスを引き起こします。
  • 量的攻撃(Volumetric Attacks)は,処理可能な量を越えるトラフィックや偽のクエリを発行することで,無防備な被害者を大量の低レベルの“surprise”レスポンスによって驚かせることによって,そのネットワークを混乱させるものです(反射攻撃/Reflection attacksとも呼ばれます)。

re:Inventの基調講演では,AmazonのCTOのWerner Vogels氏が,これらの攻撃を次のように分類した。

  • DDoS攻撃の64%は量的攻撃
  • 18%がアプリケーション層攻撃
  • 18%がステート枯渇攻撃

引用: (スクリーンショット) https://youtu.be/ZDScBNahsL4?t=52m

このようなタイプのDDoS攻撃からユーザを保護するため,Amazonは,以下の2層で構成されるマネージドサービスとしてAWS Shieldをリリースした。

  • AWS Shield Standardは追加料金なしで,すべてのユーザが利用可能。AmazonはAWS Shield Standardについて,“SYN/ACKフラッド,反射攻撃,HTTP遅延読み取りなど,今日最も一般的な攻撃の99%から保護する”,と主張している。“この保護機能はElastic Load Balancer,CloudFrontディストリビューション,Route 53リソースに対して,自動的かつ透過的に適用されます。”
  • AWS Shield AdvancedはAWS Shield Standardに加えて,ネットワーク層(レイヤ3),トランスポート層(レイヤ4),アプリケーション層(レイヤ7)用のインテリジェントなDDoS攻撃検出機能を提供する有償サービスである。さらにユーザは,DDoS攻撃時,およびその他のリアルタイムメトリクスとレポートに関して,24x7スタンバイのDDoS対応チームに対応を求めることが可能だ。さらにAdvanced Serviceでは,Elastic Load Balancingリソース,CloudFront,Amazon Route 53でホストされたゾーンに対するコスト保護も提供される。

引用: (スクリーンショット) https://youtu.be/ZDScBNahsL4?t=52m

Amazonはユーザに対して,適切なレベルのサービスに関するガイダンスを提供している。あなたが既存のセキュリティに関する専門知識を備えたユーザであって,多層防御戦略の一部としてWAF(Web Application Firewall)の追加運用に抵抗がないのであれば,AWS Shield Standardが適しているだろう。管理および通知プラットフォームを構築済みのユーザに対しても,適切な選択であるはずだ。

メディアやエンターテイメントのように,DDoS攻撃のターゲットになりやすい業界のユーザが,マネジメントサービスとしてさらなる保護を求めるのであれば,AWS Shield Advancedの方がよい選択かも知れない。このAdvancedサービスでは,WAFが追加費用なしで提供される。さらに同サービスのユーザは,広範な報告や通知に加えて,レイヤ3,レイヤ4,レイヤ7のDDoS攻撃に関する攻撃後の分析情報が提供されるとともに,DDoS攻撃に関連した予期しない利用費の発生を回避することができる。

 
 

この記事を評価

関連性
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT