Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

VPC内のEC2サービスに対するShield Standardの適用について

0

VPC内のEC2サービスに対するDDoS対策について確認したいと思います。

まず、Shield Standardによる基本的なDDoS防御は、EC2インスタンスに割り当てられたグローバルIPにも適用されている認識です。
参考:https://forums.aws.amazon.com/thread.jspa?messageID=758266

この場合、Shield StandardによるDDoS防御は、ネットワークACLやセキュリティグループより内側で働く認識で間違いないでしょうか?

Edited by: matsushy on Mar 21, 2018 8:52 PM

Edited by: matsushy on Mar 22, 2018 1:34 AM

Themen
Vernetzung & Bereitstellung von InhaltenSicherheit, Identität & KonformitätKalkulationAWS Framework mit guter Struktur
Tags
Amazon VPCAWS ShieldAmazon EC2Sicherheit
Sprache
日本語
matsushy
gefragt vor 6 Jahren277 Aufrufe
2 Antworten
0

以下は私の個人的な想像が含まれるため、正確性には期待しないでください。

登録が必要なサイトのリンクで恐縮ですが、以下を参照すると外部との通信は必ず Transit Center を経由する物理構成になっているという事です。

https://codezine.jp/article/detail/9787?p=2

これはリージョン単位に設けられている設備なので、リージョン全ての AZ の全インスタンスの通信が集約されるという事は、一部に対する攻撃がリージョン全体に影響を及ぼす可能性があるという事になると考えられます。
そうなると、AWS のリージョンとしてサービスの継続性を考えたときに、この Transit Center に流れ込む前の段階でなんらかの対策を講じておかなければいけない必然が生じるのではないかと考えています。

上記の結果 Shield Standard が全ユーザーに適用されている、と考えるとネットワークACLやセキュリティグループより外側でも働く部分があるのではないかと認識しています。

semnil
beantwortet vor 6 Jahren
0

記事のご紹介ありがとうございました。

続きの記事の
https://codezine.jp/article/detail/9790
のMapping Serviceによるネットワーク仮想化の仕組みや、
https://codezine.jp/article/detail/9791
のBGPの誤広告による大規模通信障害の事例等もDDoSとは直接関係無いですが大変参考になりました。

セキュリティグループやネットワークACLによるブロックには少なくともMapping Serviceへの問い合わせの結果が必要になりそうですね。

matsushy
beantwortet vor 6 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt