Shield Standard で DDoS の攻撃を防ぐにはどうすればよいですか?

所要時間2分
0

AWS Shield Standard を使用して、アプリケーションを分散型サービス拒否 (DDoS) 攻撃から保護したいと考えています。

簡単な説明

AWS Shield Standard は、アプリケーションの境界を保護するマネージド型の脅威対策サービスです。Shield Standard では、追加料金なしで自動の脅威対策を利用できます。Shield Standard を使用すると、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 を使用して AWS ネットワークのエッジにあるアプリケーションを保護することができます。これらの AWS のサービスは、既知のすべてのネットワークおよびトランスポート層の攻撃から保護されます。レイヤー 7 の DDoS 攻撃を防ぐには、AWS WAF を使用できます。

Shield Standard を使用してアプリケーションを DDoS 攻撃から保護するには、アプリケーションアーキテクチャに関する次のガイドラインに従うことがベストプラクティスです。

  • 攻撃対象領域を小さくする
  • 規模の拡大によって攻撃を吸収する準備をする
  • 公開されているリソースを保護する
  • アプリケーションの動作を監視する
  • 攻撃計画を立てる

解決方法

攻撃対象領域を小さくする

詳しくは、「攻撃領域を小さくする」を参照してください。

規模の拡大によって DDoS 攻撃を吸収する準備をする

詳細については、「低減するテクニック」を参照してください。

公開されているリソースを保護する

  • リクエストフラッド攻撃を防ぐために、ブロックモードで rate-based ルールを使用して AWS WAF を設定します。
    注: AWS WAF を使用するには、CloudFront、Amazon API Gateway、Application Load Balancer、または AWS AppSync を設定する必要があります。
  • CloudFront の地理的制限を使用して、コンテンツにアクセスさせたくない国のユーザーのアクセスを禁止します。
  • API エンドポイントでリクエストが過剰になるのを防ぐために、Amazon API Gateway の REST API で各メソッドにバースト制限を使用します。
  • Amazon Simple Storage Service (Amazon S3) バケットにはオリジンアクセスアイデンティティ (OAI) を使用します。
  • Amazon API Gateway に直接アクセスできないようにするには、各受信リクエストの X-API-Key ヘッダーとして API キーを設定します。

アプリケーションの動作を監視する

詳細については、「AWS Application Auto Scaling 監視」を参照してください。

DDoS 攻撃に対するプランを作成する

  • DDoS 攻撃に効率的かつタイムリーに対応できるように、事前にランブックを作成します。ランブックの作成に関するガイダンスについては、「AWS セキュリティインシデント対応ガイド」を参照してください。こちらのサンプルランブックを確認することもできます。
  • aws-lambda-shield-engagement スクリプトを使用すると、影響の大きい DDoS 攻撃の際に AWS サポートへのチケットをすばやく記録できます。
  • Shield Standard は、OSI モデルのレイヤー 3 と 4 で発生するインフラストラクチャベースの DDoS 攻撃に対する保護を提供します。レイヤー 7 の DDoS 攻撃を防ぐには、AWS WAF を使用できます。

DDoS 攻撃からアプリケーションを保護する方法の詳細については、「DDoS 耐性を高めるための AWS のベストプラクティス」を参照してください。

関連情報

CloudFront と Route 53 を使用して動的ウェブアプリケーションを DDoS 攻撃から保護する方法

Route 53 と外部コンテンツ配信ネットワークを使用して DDoS 攻撃からウェブアプリケーションを保護する方法

AWS Global Accelerator と AWS Shield Advanced を使用して自己管理型 DNS サービスを DDoS 攻撃から保護する方法

AWS WAF 保護のテストとチューニング

Shield Advanced をテストするために DDoS 攻撃をシミュレートするにはどうすればいいですか?

AWS公式
AWS公式更新しました 2年前