[AWS Black Belt Online Seminar] DDoS 対策 資料及びQA公開
こんにちは、パートナーソリューションアーキテクト(PSA)の相澤です。
先日開催致しました [AWS Black Belt Online Seminar] DDoS 対策の資料を公開いたしました。当日参加者の皆様から頂いたQAの回答と併せてご紹介致します。
今後のAWS Black Belt Online Seminarのスケジュールは こちら です。皆様のご参加をお待ちしております。
過去の資料や、動画もこちらから視聴可能ですので、そちらもご参照ください。
Q1: DDoS対策以外で、AWS全体としてもデフォルトで必要最低限の対策をしているものと推測しております。そのあたり、開示可能な範囲で内容をご教示いただきたく思います。
A1:本Black Belt Online Seminarでご紹介したDDoS対策以外で、AWSが全てのお客様に無償で自動的に保護を適用しているものとしてAWS Shield Standardがございます。
下記サイトのAWS Shield Standardの列をご参照ください。
https://aws.amazon.com/jp/shield/tiers/
Q2:L5における対策は、必要に応じてDeepSecurityなどのAWS標準外のソフトウェア導入が必要ということでしょうか
A2:通常、DDoS攻撃の対象となるOSI参照スタックの層は、第3層、第4層、第6層、第7層になります。(以下、ホワイトペーパー参照)
https://d0.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
よって、第5層におけるDDoS対策はそもそも言及しません。
Q3:BP1対策をしている場合、BP5の対策は不要かどうかという観点で知りたいです。
A3 :対策の要不要は全体アーキテクチャーに依存するため、一義的な回答は難しいですが、「高さ」「深さ」「幅」のいずれかで異なる内容の対策をするのであれば、多層防御の観点でDDoS攻撃を緩和できる可能性は高まると言えます。
Q4:CloudFront + WAF の高さ/深さ/幅の対応は ALB + WAF の状態でも同様だと考えてよろしいでしょうか?
A4:CloudFront+WAFのようにエッジロケーションで対策を取ることと、ALB+WAFのようにリージョンで対策を取ることは、「深さ」の観点で対策内容が異なります。
Q5:CloudFrontでオリジンがELBやAPI Gatewayの場合に、オリジンへの直接アクセス(DNS名、IPアドレス指定)を拒否する・DDoS攻撃を緩和する方法はありますか?
A5 :ELBに関しては、AWS WAFを利用して、CloudFrontで付与したカスタムヘッダーに基づいたアクセス制限が可能です。
API Gatewayに関しては、AWS認証情報かカスタムオーソライザーを使用して、API認証を要求することでオリジンを保護することができます。
https://aws.amazon.com/jp/api-gateway/faqs/#security
Q6 :shiledはALBでは適用されない認識で良いでしょうか?
A6:いいえ、AWS Shield AdvancedはElastic Load Balancing(ELB)に適応されます。Application Load Balancer (ALB) はELBの一種です。以下、ご参照ください。
https://aws.amazon.com/jp/elasticloadbalancing/
Q7:phpmyadminなどへの攻撃などアクセス先のURLがある程度推測できる場合、具体的に対策を取りたい場合どのようなサービスを活用すればよいのでしょうか。
A7:AWS WAFにて、URIやクエリ文字列の文字列マッチングの条件に基づいたフィルタを用いることが可能です。
Q8:TCPハーフスキャンなどの攻撃が行われていることを調べたい場合、どのように調べればよいのでしょうか
A8:AWS Shield Advancedにて、SYN floodのCloudWatchメトリクスから参照できます。以下、AWS ShieldのBlack Belt Online Seminar資料が参考になります。
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2017-aws-shield/57
Q9:VPC Flow Logs の見方は、便利な可視化ツールがあればご紹介いただきたいです。
A9:VPC Flow Logsの可視化として、たとえば以下のような方法があります。
Amazon Elasticsearch Service + Kibana
https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/
Amazon Athena + Amazon QuickSight
以上です。
コメント