はじめに
AWSでは、DDoS攻撃やWebアプリケーションへの攻撃からシステムを保護するためのサービスが提供されています。本記事では、AWS Shield、AWS WAF、Firewall Managerの詳細な特徴、利用例、適用できるサービスについて解説します。
特徴
AWS Shield
AWS Shieldは、AWSリソースに対するDDoS攻撃を自動的に軽減するサービスで、StandardとAdvancedの2つのバージョンがあります。
-
AWS Shield Standard
すべてのAWSアカウントにデフォルトで有効になっている無料サービスで、ネットワーク層(Layer 3)やトランスポート層(Layer 4)のDDoS攻撃から自動的に保護します。 -
AWS Shield Advanced
有料のサービスで、アプリケーション層(Layer 7)のDDoS攻撃にも対応し、詳細な攻撃レポートや24時間365日のサポートが含まれます。被害に伴うコスト補填や緩和措置が適用されることもあります。
AWS Shieldが適用されるリソース
-
Elastic Load Balancer (ELB):
AWS ShieldはELBを通じて送信されるトラフィックに対してDDoS防御を提供します。 -
Amazon CloudFront:
CloudFrontを利用することで、分散型のグローバル防御を実現し、低レイテンシーかつ高可用性のサービスを提供できます。 -
Amazon Route 53:
DNSレベルでのDDoS攻撃からの保護を提供します。 -
AWS Global Accelerator:
グローバルトラフィックの最適化とともにDDoS保護が可能です。
AWS Shield StandardとAdvancedの違い
| 項目 | AWS Shield Standard | AWS Shield Advanced |
|---|---|---|
| 対応レイヤー | ネットワーク層(Layer 3)、トランスポート層(Layer 4) | アプリケーション層(Layer 7)も含む |
| コスト補填 | なし | 攻撃による追加のEC2/ELBコストを緩和 |
| サポート | なし | 24時間365日のDDoSレスポンスチーム(DRT)によるサポート |
| 攻撃レポート | 簡易的な情報のみ | 詳細な攻撃レポート、リアルタイムの可視化 |
| アラートと通知 | 一部アラート | CloudWatchと連携した詳細なアラート |
主な利用例
-
EコマースサイトのDDoS対策
AWS Shield Advancedを導入し、EC2インスタンスやCloudFrontディストリビューションでのアプリケーション層攻撃からの保護を強化します。- 設定方法:
AWSマネジメントコンソールでShield Advancedを有効化し、保護対象リソース(CloudFront、ELBなど)を登録します。 - 組み合わせ例:
AWS WAFと併用し、ルールベースのWebアプリケーション防御を追加することで、包括的な保護が可能です。
- 設定方法:
AWS WAF (Web Application Firewall)
AWS WAFは、Webアプリケーションに対する攻撃をブロックするサービスです。特定のルールを作成して、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を防ぎます。
AWS WAFを適用できるサービス
-
Amazon CloudFront:
CloudFrontのディストリビューションにWAFを適用することで、グローバルなWebアプリケーション防御が可能です。 -
Application Load Balancer (ALB):
ALBにWAFを適用することで、ALBを経由するWebアプリケーショントラフィックに対してルールを適用し、攻撃を防御します。 -
Amazon API Gateway:
API GatewayのエンドポイントにWAFを設定することで、API層のセキュリティを強化できます。 -
AWS App Runner:
App Runnerを利用するWebアプリケーションに対してもWAFを適用可能です。
主な利用例
-
APIのセキュリティ強化
API GatewayにWAFを設定し、APIへのSQLインジェクションやXSS攻撃を防ぎます。- 設定方法:
WAFを適用するAPI Gatewayのエンドポイントを指定し、コンソールからWAFルールを追加します。 - 組み合わせ例:
AWS Lambdaと連携することで、ルールベースのフィルタリングに加え、カスタムスクリプトを用いた高度な攻撃対策が可能です。
- 設定方法:
Firewall Manager
Firewall Managerは、AWS全体のセキュリティポリシーを一元管理するサービスです。
-
組織全体のポリシー適用:
AWS Organizationと連携することで、複数アカウントにまたがるWAFやShield Advancedのポリシーを一括で管理します。 -
自動ポリシー適用:
新規アカウントやリソース追加時に、セキュリティポリシーを自動的に適用できます。
主な利用例
-
企業全体へのWAFルール適用
Firewall Managerで、WAFルールを複数アカウントのWebアプリケーションに一括適用し、セキュリティポリシーの統一を実現します。- 設定方法:
Firewall Managerでポリシーを作成し、全アカウントに自動適用する設定を行います。 - 組み合わせ例:
AWS Security Hubと統合することで、異常検知や自動修正アクションを管理できます。
- 設定方法:
まとめ
- AWS ShieldはDDoS攻撃からAWSリソースを保護し、特にShield Advancedはアプリケーション層攻撃に対応します。
- AWS WAFは、CloudFront、ALB、API Gatewayなどに適用でき、Webアプリケーションの防御をルールベースで管理します。
- Firewall Managerは、AWS全体でのセキュリティポリシーの一元管理を可能にし、WAFやShieldのポリシーを効率的に適用します。
これらのサービスを適切に設定・組み合わせることで、包括的で強力なAWS環境の防御を実現できます。
|
|
