AWS Shieldのご紹介 Managed DDoS Protection

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Introduction to the Service: December 21, 2016
アマゾンウェブサービスジャパン
技術本部シニアマネージャープリンシパルソリューションアーキテクト
荒木靖宏（yasuarak@amazon.co.jp)
AWS Shieldのご紹介
Managed DDoS Protection

DDoSとは？
Distributed Denial Of Service

DDoS攻撃の種別
Volumetric DDoS attacks
UDP反射攻撃のように処理出来る能力
を超えたトラフィックを送りつける

DDoS攻撃の種別
State-exhaustion DDoS attacks
TCP SYN flood等。
ファイヤウォールや、IPS,ロードバランサ
などの状態を管理しなければならないプ
ロトコルに負荷をかける

DDoS攻撃の種別
Application-layer DDoS attacks
一見、適切に構成されているが悪意
のある要求を使用して、アプリケー
ションリソースを消費する
例えば、HTTP GET、DNSクエリフ
ラッド

DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%
Volumetric
20%
State exhaustion
15%
Application layer

DDoS攻撃の種別
SSDP reflectionが一番多い
反射攻撃はSignatureが明確だが、
トラフィックは一番使う
65%
Volumetric
20%
State exhaustion
15%
Application layer

DDoS攻撃の種別
65%
Volumetric
20%
State exhaustion
15%
Application layer他に頻回に観測されるもの:
NTP reflection, DNS
reflection, Chargen reflection,
SNMP reflection

DDoS攻撃の種別
SYN floods は実際の接続としての
振る舞いに見える
平均ボリュームは大きく、実際のユー
ザーが接続を確立できなくする
65%
Volumetric
20%
State exhaustion
15%
Application layer

DDoS攻撃の種別
DNSクエリ溢れは、リアルなDNSリクエスト
数時間に渡り続けることで、DNSサーバのリソー
ス枯渇させることができる
65%
Volumetric
20%
State exhaustion
15%
Application layer

DDoS攻撃の種別
65%
Volumetric
20%
State exhaustion
15%
Application layer
他に頻回に観測されるもの:
HTTP GET flood, Slowloris

DDoS攻撃を緩和する取り組み

DDoS攻撃の緩和における課題
むずかしさはどこにある？
複雑な前準備事前の帯域確保アプリケーションの見直し

Traditional
Datacenter
マニュアルでの対策
緩和を開始するには
オペレータの関与が
必須
離れたスクライビング場所
からどうやってトラフィック
を誘導する？
軽減のための時間増
加

Traditional
Datacenter
トラフィックリルート = ユーザにとってはレイテンシ増加

AWS approach to
DDoS protection

AWSにおけるゴール
差別化要素にならないこと
の肩代わり
可用性の確保
ありきたりの攻撃の自動保護 AWS上のサービスは
高可用である

DDoS防御はAWSに予め組み込まれている
AWSのグローバルインフラストラクチャに統合
外部ルーティングなしで常時オン、高速
AWSデータセンターで冗長インターネット接続

 一般的なインフラストラクチャ
攻撃に対する保護
 SYN / ACK flood、UDP flood、
反射攻撃など
 追加費用なし
DDoS mitigation
systems
DDoS Attack
Users
DDoS防御はAWSに予め組み込まれている

こんなお客様の声
AWSはDDoSからまもってく
れるのか？
大きなDDoSによって
何が起こるのか？
どんな攻撃をうけているの
かしることができるのか？
AWSはアプリレイヤの
DDoS攻撃からもまもっ
てくれるのか？
DDoS攻撃へのス
ケーリングは金が
かかりすぎる
DDoSのエキスパー
トと話をしたい

AWS Shield
A Managed DDoS Protection Service

AWS Shield
Standard Protection Advanced Protection
全てのAWSユーザに
適用
無料
より大規模な、より洗練された
攻撃からの防御を提供する
有料のサービス

AWS Shield Standard
Layer 3/4 protection
よくある攻撃（SYN/UDPフ
ラッド、反射攻撃等）からの
防御
自動検知＆自動緩和
AWSサービスにビルトイン
済
Layer 7 protection
Layer 7のDDoS攻撃への
緩和はAWS WAFで行う
セルフサービス
使った分だけの支払い

AWS Shield Standard
AWSでアプリケーションを動かすことで得るもの
 プロプライエタリのBlackWatchシステムをつかった緩和策追
加
 緩和のためのキャパシティ追加
 検知と緩和を継続的に改善する
 追加コスト無し

AWS Shield Advanced
Managed DDoS Protection

AWS Shield Advanced
AWSへの統
合
インフラ変更なく
DDoS対策でき
る
手頃な価格
コストと品質のト
レードオフ無し
柔軟
アプリのために
カスタマイズされ
た保護
Allways-On
アプリへのレイテン
シは最小限
４つの柱

AWS Shield Advanced
Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53
現在提供中のサービス

AWS Shield Advanced
Always-on monitoring &
detection
Advanced L3/4 & L7 DDoS
protection
Attack notification and
reporting
24x7 access to DDoS
Response Team
AWS bill protection

常時の監視と検知
異常検出に使う属性
ソースIP
ソースASN
トラフィックレベル
検証されたソース
ヒューリスティックに基づく異常検出

常時の監視と検知
通常のトラフィックパターンを継続的に
ベースライン化
HTTPリクエスト/秒
送信元IPアドレス
URL
ユーザーエージェント
Baselining

Advanced DDoS protection
Layer 7
application
protection
Layer 3/4
infrastructure
protection

Layer 3/4 infrastructure protection
決定論的フィル
タリング
スコアリングに基づくトラ
フィックの優先順位付け
高度なルーティング
ポリシー
高度な軽減技術の採用

不正な形式のTCPパケットを自動
的にフィルタリング
 IP checksum
 TCP valid flags
 UDP ペイロード長
 DNS 要求の検証
決定論的フィルタリング

疑わしくない
通常のパケット、リクエストヘッダ
ソーストラフィックの内容、量は典
型的
デスティネーションが適切
疑わしい
疑わしいパケットまたは要求ヘッダー
ヘッダ属性によるトラフィックのエントロピー
トラフィックソースとボリュームでエントロピー
トラフィックソースの評判が悪い
宛先に無効なトラフィック
キャッシュ無効化属性によるリクエスト
スコアリングに基づくトラフィックの優先順位付け

• インライン検査とスコアリング
• 優先度の低い（攻撃）トラフィックを優先的に破棄
• 偽陽性は回避され、正当な利用は保護
High-suspicion
packets dropped
Low-suspicion
packets retained
スコアリングに基づくトラフィックの優先順位付け

分散スクラビングと余裕をもった帯域幅
大規模な攻撃を吸収する自動ルーティン
グポリシー
手動トラフィックエンジニアリング
大規模で洗練されたDDoS攻撃のための
追加の容量をインラインを提供
高度なルーティングポリシー

Advanced DDoS protection
Layer 7
Application
protection
Layer 3/4
Infrastructure
protection

AWS WAF – Layer 7 application protection
カスタムルールによ
るWebトラフィック
フィルタ
悪意のあるリクエス
トのブロック
アクティブな監視と
チューニング

Self-service DDoSエキスパートによ
る対応積極的なDRTの関与
運用は3形態

AWS WAFが追加費用な
しで含まれます
Self-service

1. AWS DDoS Response Team (DRT)を依頼
2. DRTは攻撃に優先度を付ける
3. DRTは、AWS WAFルールの作成を支援
DDoS エキスパートによる対応

1. Always-OnモニタリングがDRTを呼び出す
2. DRTが積極的に分類（トリアージ）
3. DRTがAWS WAFルールを作成（事前承認
が必要です）
積極的なDRT関与

攻撃通知とレポート
Attack monitoring
and detection
 CloudWatchを経由してリアルタイム通知
 ニアリアルタイムメトリクスと攻撃のフォレンジクスのため
のパケットキャプチャ
 時系列の攻撃レポート

24x7でのDDoS Response Teamへのアクセス
クリティカルで緊急の優先順位のケースは
すぐに回答され、DDoSの専門家に直接
ルーティングされます
複雑なケースは、AWSだけでなく、
Amazon.comやその子会社の保護に深い経験
を持つAWS DDoS Response Team（DRT）に
エスカレーションすることができます

24x7でのDDoS Response Teamへのアクセス
Before Attack
コンサルテーションとベスト
プラクティス提供
During Attack
攻撃からの緩和
After Attack
事後分析

AWS cost protection
DDoS攻撃によるスケーリングコスト
は請求しません
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• Amazon Route 53

 No commitment
 No additional cost
AWS DDoS Shield: 価格
 1年の利用コミット
 月額費用: $3,000
 ＋Data transfer fees
Data Transfer Price ($ per GB)
CloudFront ELB
First 100 TB $0.025 0.050
Next 400 TB $0.020 0.040
Next 500 TB $0.015 0.030
Next 4 PB $0.010 Contact Us
Above 5 PB Contact Us Contact Us

一般的なDDoS攻撃から
保護し、AWS上でDDoS
に強いアーキテクチャを
構築するためのツールと
ベストプラクティスを提供
AWS DDoS Shield: 使い分け
大規模で洗練された攻撃
に対するさらなる防御、攻
撃に対する可視性、複雑
なケースでのDDoSエキ
スパートへの24時間365
日のアクセスを提供

AWS Shieldのご紹介 Managed DDoS Protection

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (8)

Similar a AWS Shieldのご紹介 Managed DDoS Protection

Similar a AWS Shieldのご紹介 Managed DDoS Protection (11)

Más de Amazon Web Services Japan

Más de Amazon Web Services Japan (20)

Último

Último (12)

AWS Shieldのご紹介 Managed DDoS Protection