AWS初心者向けWebinar「AWS上でのDDoS対策」資料およびQA公開
こんにちは、ソリューションアーキテクトの舟崎です。
2016年2月9日に開催いたしましたAWS初心者向けWebinar「AWS上でのDDoS対策の」資料が公開されております。
また、本Webinarで頂いたご質問とその回答が以下です。公開可能な回答のみとなります。予めご了承ください。
Q1: 資料 P.18の構成例の考え方が詳細に説明されているホワイトペーパーはありますか?
はい、こちらのDDoSに関するブログをご参考にしていただければ幸いです。
http://aws.typepad.com/sajp/2015/08/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface.html
Q2: セキュリティグループとネットワークACLで同じ設定になる場合もあるかと思いますが、両方に設定する必要性はあるでしょうか?
同じ設定をそれぞれに施す必要は必ずしもありませんが、多層防御という観点で必ず制限すべき設定はそれぞれで実施することが望ましいかと思われます。また、大きくサブネット単位でネットワークACLによりアクセス制御を行い、細かい制御をセキュリティグループによる施す、という方法があります。また、それぞれの管理の一例としましては、ネットワークACLはネットワーク管理者に任せて、セキュリティグループはサーバ管理者に任せるという方法があります。こちらであれば、どちらかが信用おけない状態になっても、防御することが可能です。
一方で、 セキュリティグループはステートフルで、ルールに関係なく返されたトラフィックが自動的に許可されますが、ネットワークACLはステートレスで、返されたトラフィックおよびルールによっては遮断されることにご注意ください。セキュリティグループとネットワークACLの違いについては以下をご覧ください。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Security.html
Q3: 資料のP.19 送信元IPが固定されない場合の理想方法は何でしょうか?
単純にDDoS攻撃対策への目的というわけではないですが、利用時間の制限などを設定し、接続が必要な時だけ利用することは可能です。
Q4: ELB で SYN flood が防げる理由が良く分からなかったのですが、ELB に IDS/IPS のような機能が付いているのでしょうか?
ELBは有効なTCPリクエストのみをバックエンドに転送することになり、サーバインスタンスへの到達を防ぎます。
Q5: AWS WAFはFQDN単位で動作するものでしょうか?
AWS WAFはCloudFrontのDistributionと関連付けて動作するものになります。
Q6: AWS WAFはSSL(HTTPS)であっても利用できますか?
はい。AWS WAF は HTTP または HTTPS で転送されるリクエストを検査し、Amazon CloudFront で実行されているアプリケーションを保護するのに役立ちます。
コメント