[AWS Certified SAP] DDoS攻撃の軽減に関するベストプラクティス

本稿は、AWS Solution Architect Professional に出題される DDoS 攻撃を回避する手法についてまとめた記事です。
( 引用 : https://aws.amazon.com/jp/answers/networking/aws-ddos-attack-mitigation/ )

DDoS攻撃の軽減に関するシナリオ

DDoS 攻撃を軽減するための最良の手法は次のうちどれですか？という正しい方法を複数個選択する問題がだされます。

ベストプラクティス

DDoS セキュリティについて考えるときは、次のベストプラクティスを念頭に置いてください。

スケールできる構成であること
攻撃対象領域を最小化すること
正常な通信 / 異常な通信が何かを知っていること
AWSの共有責任モデルを理解し、アプリケーションの保護に役立つサービスと機能を活用すること

スケールできる構成であること

規模に合わせたインフラストラクチャの構築は、適切に設計されたシステムの基本ですが、効果的な DDoS 軽減手法でもあります。有効なトラフィックであろうと DDoS 攻撃によるトラフィックであろうと、追加のトラフィック量に合わせてスケーリングすることで、アプリケーションの実行能力が向上します。

具体的には、[ Route53 ] – [ CloudFront ] – [ ALB / ELB ] – [ EC2 ] の構成にすることです。

また、 AWS Shield Advanced には、 DDoS 攻撃中のスケーリングに起因する Amazon EC2 、 ELB 、 Amazon CloudFront 、および Amazon Route 53 の使用スパイクに対するコスト保護が含まれています。

攻撃対象領域を最小化すること

インフラストラクチャを分離します。たとえば、公開Webサイトを実行する場合、データベースと、可能であればメディアと静的コンテンツからアプリケーションを分離します。分離されたアプリケーションは、重要なシステムコンポーネントへのインターネットアクセスを制限し、それらを攻撃から保護します。

正常な通信 / 異常な通信が何かを知っていること

たとえば、ウェブサイトがメディアの注目を集め、突然のトラフィックに圧倒された場合、そのトラフィックが異常な通信としてブロックしてしまうと、良いよりも害が大きくなる可能性があります。インフラストラクチャの継続的なログ記録と監視は、攻撃を迅速に特定することに役立ちます。 Amazon EC2 、 CloudFront 、および ELB リソースに対する攻撃の可視性を拡張するには、 AWS Shield Advanced を使用して、高度なリアルタイムの Amazon CloudWatch メトリックスとレポートへの排他的アクセスを利用することです。

AWSの共有責任モデルを理解し、アプリケーションの保護に役立つサービスと機能を活用すること

AWS Shield Standard を Amazon CloudFront および Amazon Route 53 と併用すると、既知のすべてのインフラストラクチャレイヤー（レイヤー3およびレイヤー4）攻撃に対する包括的な保護が提供されます。アプリケーションレイヤー（レイヤー7）攻撃に対する保護を強化するには、AWS WAF を使用してカスタム緩和ルールを適用します。

AWS Shield

マネージド DDoS 保護サービスであり、Standard と Advanced の2つの層で利用できます。 AWS Shield Standard は、確定的なパケットフィルタリングや優先度ベースのトラフィックシェーピングなど、常時オンの検出およびインライン緩和技術を適用して、アプリケーションのダウンタイムとレイテンシを最小限に抑えます。 AWS Shield Standard は、 ELB 、Amazon CloudFront ディストリビューション、および Amazon Route 53 リソースに追加コストなしで自動的かつ透過的に含まれています。 AWS Shield Standard を含むこれらのサービスを使用すると、既知のすべてのインフラストラクチャレイヤー攻撃に対する包括的な可用性保護が提供されます。アプリケーションレイヤー攻撃の監視と緩和を管理する場合は、 AWS WAF を併用することで対応できます。
( https://cpu100per.aminchu.net/aws/aws-csap-aws-shield/ )

Amazon CloudFront

複数のエッジロケーションにトラフィックを分散し、リクエストをフィルタリングして、有効な HTTP（S）リクエストのみがバックエンドホストに転送されるようにします。 CloudFront はジオブロッキングもサポートしています。これを使用して、特定の地理的場所からのリクエストが処理されないようにすることができます。

Amazon Route 53

DDoS 攻撃の最も一般的な標的の1つは、ドメインネームシステム（ DNS ）です。 Amazon Route 53 は、 AWS の内部または外部で実行されているインフラストラクチャにエンドユーザーをルーティングするように設計された、可用性が高くスケーラブルな DNS サービスです。 Route 53 は、さまざまなルーティングタイプを介してグローバルにトラフィックを管理することを可能にし、すぐに使用できるシャッフルシャーディングおよび Anycast ルーティング機能を提供して、 DNS ベースの DDoS 攻撃からドメイン名を保護します。

AWS WAF

アプリケーションの可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なWebエクスプロイトからWebアプリケーションを保護するのに役立つWebアプリケーションファイアウォールです。 AWS WAF を使用して、Web アプリケーションにアクセスするトラフィックを制御するカスタマイズ可能な Web セキュリティルールを定義できます。 AWS Shield Advanced を使用する場合、保護されたリソースに対して追加費用なしで AWS WAF を使用でき、 DRT を利用して WAF ルールを作成できます。

ELB / ALB

着信アプリケーショントラフィックを Amazon EC2 インスタンス、コンテナ、 IP アドレスなどの複数のターゲット、および複数のアベイラビリティーゾーンに自動的に分散し、単一のリソースの過負荷のリスクを最小限に抑えます。 ELB は有効な TCP リクエストのみをサポートしているため、 UDP や SYN フラッドなどの DDoS 攻撃は EC2 インスタンスに到達できません。また、単一の管理ポイントを提供し、インターネットとバックエンドのプライベート EC2 インスタンス間の防衛線として機能します。 Elastic Load Balancing には Application Load Balancer も含まれています。ALB は HTTP および HTTPS トラフィックの負荷分散に最適であり、 AWS WAF を直接サポートします。

VPCとセキュリティグループ

Amazon VPC を使用すると、顧客はサブネットルート、パブリック IP アドレス、セキュリティグループ、およびネットワークアクセスコントロールリストを構成して、アプリケーションの攻撃対象を最小限に抑えることができます。ロードバランサーと EC2 インスタンスのセキュリティグループを設定して、 CloudFront や AWS WAF などの特定の IP アドレスのみからのトラフィックを許可し、直接攻撃からバックエンドアプリケーションコンポーネントを保護できます。