先日のAWS re:Invent 2016イベントでAmazonは,DDoS(Distributed Denial of Service)攻撃からの防御をユーザに提供する“AWS Shield”という新サービスを発表した。
この発表は,Amazonが使用しているDNSプロバイダのDynamic Network Service(Dyn)に対するDDoS攻撃による影響をAmazonが受けてから,ちょうど1ヶ月後というタイミングになる。この攻撃では特に,バージニア北部およびアイルランドのデータセンタで稼働するAWSサービスのいくつかが影響を受けたため,Amazonはユーザに対する影響を制限すべく,別のDNSプロバイダへのトラフィックの再ルーティングを行なっている。
DDoS攻撃の数は増え続けている。Akamaiの第1四半期インターネットセキュリティレポートによると,
DDoS(分散型サービス拒否)攻撃は,毎年125パーセント増加しています。
先日のブログ記事では,AWSチーフエバンジェリストのJeff Barr氏が,企業に影響を与えるDDoS攻撃の3つのパターンについて説明した。
- アプリケーション層攻撃(Application-Layer Attacks)は,アプリケーションのリソースを消費するように設計された,正常だが悪意を持ったリクエスト(HTTP GETやDNSクエリが一般的)を使用するものです。例えば複数のHTTPコネクションをオープンして数秒間,場合によっては数分間にわたってレスポンスを読み取ることで,メモリを過度に消費し,正常なリクエストに対する応答を妨害します。
- ステート枯渇攻撃(State-Exhaustion Attacks)は,ステートフルなプロトコルを悪用して,コネクション単位のリソースを多数消費することにより,ファイアウォールやロードバランサにストレスを引き起こします。
- 量的攻撃(Volumetric Attacks)は,処理可能な量を越えるトラフィックや偽のクエリを発行することで,無防備な被害者を大量の低レベルの“surprise”レスポンスによって驚かせることによって,そのネットワークを混乱させるものです(反射攻撃/Reflection attacksとも呼ばれます)。
re:Inventの基調講演では,AmazonのCTOのWerner Vogels氏が,これらの攻撃を次のように分類した。
- DDoS攻撃の64%は量的攻撃
- 18%がアプリケーション層攻撃
- 18%がステート枯渇攻撃
引用: (スクリーンショット) https://youtu.be/ZDScBNahsL4?t=52m
このようなタイプのDDoS攻撃からユーザを保護するため,Amazonは,以下の2層で構成されるマネージドサービスとしてAWS Shieldをリリースした。
- AWS Shield Standardは追加料金なしで,すべてのユーザが利用可能。AmazonはAWS Shield Standardについて,“SYN/ACKフラッド,反射攻撃,HTTP遅延読み取りなど,今日最も一般的な攻撃の99%から保護する”,と主張している。“この保護機能はElastic Load Balancer,CloudFrontディストリビューション,Route 53リソースに対して,自動的かつ透過的に適用されます。”
- AWS Shield AdvancedはAWS Shield Standardに加えて,ネットワーク層(レイヤ3),トランスポート層(レイヤ4),アプリケーション層(レイヤ7)用のインテリジェントなDDoS攻撃検出機能を提供する有償サービスである。さらにユーザは,DDoS攻撃時,およびその他のリアルタイムメトリクスとレポートに関して,24x7スタンバイのDDoS対応チームに対応を求めることが可能だ。さらにAdvanced Serviceでは,Elastic Load Balancingリソース,CloudFront,Amazon Route 53でホストされたゾーンに対するコスト保護も提供される。
引用: (スクリーンショット) https://youtu.be/ZDScBNahsL4?t=52m
Amazonはユーザに対して,適切なレベルのサービスに関するガイダンスを提供している。あなたが既存のセキュリティに関する専門知識を備えたユーザであって,多層防御戦略の一部としてWAF(Web Application Firewall)の追加運用に抵抗がないのであれば,AWS Shield Standardが適しているだろう。管理および通知プラットフォームを構築済みのユーザに対しても,適切な選択であるはずだ。
メディアやエンターテイメントのように,DDoS攻撃のターゲットになりやすい業界のユーザが,マネジメントサービスとしてさらなる保護を求めるのであれば,AWS Shield Advancedの方がよい選択かも知れない。このAdvancedサービスでは,WAFが追加費用なしで提供される。さらに同サービスのユーザは,広範な報告や通知に加えて,レイヤ3,レイヤ4,レイヤ7のDDoS攻撃に関する攻撃後の分析情報が提供されるとともに,DDoS攻撃に関連した予期しない利用費の発生を回避することができる。
この記事を評価
- 編集者評
- 編集長アクション