Shield Standard で DDoS の攻撃を防ぐにはどうすればよいですか?

所要時間2分

AWS Shield Standard を使用して、アプリケーションを分散型サービス拒否 (DDoS) 攻撃から保護したいと考えています。

簡単な説明

AWS Shield Standard は、アプリケーションの境界を保護するマネージド型の脅威対策サービスです。Shield Standard では、追加料金なしで自動の脅威対策を利用できます。Shield Standard を使用すると、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 を使用して AWS ネットワークのエッジにあるアプリケーションを保護することができます。これらの AWS のサービスは、既知のすべてのネットワークおよびトランスポート層の攻撃から保護されます。レイヤー 7 の DDoS 攻撃を防ぐには、AWS WAF を使用できます。

Shield Standard を使用してアプリケーションを DDoS 攻撃から保護するには、アプリケーションアーキテクチャに関する次のガイドラインに従うことがベストプラクティスです。

攻撃対象領域を小さくする
規模の拡大によって攻撃を吸収する準備をする
公開されているリソースを保護する
アプリケーションの動作を監視する
攻撃計画を立てる

解決方法

攻撃対象領域を小さくする

想定されるトラフィックのみがアプリケーションに到達するようにするには、ネットワークアクセスコントロールリスト (ネットワーク ACL) とセキュリティグループを使用します。
CloudFront には AWS マネージドプレフィックスリストを使用します。HTTP または HTTPS のインバウンドトラフィックを、CloudFront オリジン側サーバーに属する IP アドレスのみからのオリジンに制限可能です。
アプリケーションをホストするバックエンドリソースをプライベートサブネット内にデプロイします。
悪意のあるトラフィックがアプリケーションに直接届く可能性を低くするために、バックエンドリソースには Elastic IP アドレスを割り当てないようにしてください。

詳しくは、「攻撃領域を小さくする」を参照してください。

規模の拡大によって DDoS 攻撃を吸収する準備をする

CloudFront、Global Accelerator、Route 53 を使用して、AWS ネットワークのエッジにあるアプリケーションを保護します。
Elastic Load Balancing で余分なトラフィックを吸収して分散します。
AWS Auto Scaling を使用してオンデマンドで水平スケーリングを行います。
アプリケーションに最適な Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタイプを使用して垂直スケーリングを行います。
Amazon EC2 インスタンスで拡張ネットワーキングを有効にします。
API キャッシュを有効にすると、応答性が向上します。
CloudFront でキャッシュを最適化します。
CloudFront オリジンシールドを使用すると、コンテンツをオリジンにキャッシュするリクエストをさらに削減できます。

詳細については、「低減するテクニック」を参照してください。

公開されているリソースを保護する

リクエストフラッド攻撃を防ぐために、ブロックモードで rate-based ルールを使用して AWS WAF を設定します。
注: AWS WAF を使用するには、CloudFront、Amazon API Gateway、Application Load Balancer、または AWS AppSync を設定する必要があります。
CloudFront の地理的制限を使用して、コンテンツにアクセスさせたくない国のユーザーのアクセスを禁止します。
API エンドポイントでリクエストが過剰になるのを防ぐために、Amazon API Gateway の REST API で各メソッドにバースト制限を使用します。
Amazon Simple Storage Service (Amazon S3) バケットにはオリジンアクセスアイデンティティ (OAI) を使用します。
Amazon API Gateway に直接アクセスできないようにするには、各受信リクエストの X-API-Key ヘッダーとして API キーを設定します。

アプリケーションの動作を監視する

Amazon CloudWatch ダッシュボードを作成して、トラフィックパターンやリソース使用量など、アプリケーションの主要メトリクスのベースラインを確立します。
一元的なロギングソリューションで CloudWatch ログの可視性を高めます。
DDoS 攻撃に対応してアプリケーションを自動的にスケーリングするように CloudWatch アラームを設定します。
Route 53 ヘルスチェックを作成して、アプリケーションの状態を監視し、DDoS 攻撃に対するアプリケーションのトラフィックフェイルオーバーを管理します。

詳細については、「AWS Application Auto Scaling 監視」を参照してください。

DDoS 攻撃に対するプランを作成する

DDoS 攻撃に効率的かつタイムリーに対応できるように、事前にランブックを作成します。ランブックの作成に関するガイダンスについては、「AWS セキュリティインシデント対応ガイド」を参照してください。こちらのサンプルランブックを確認することもできます。
aws-lambda-shield-engagement スクリプトを使用すると、影響の大きい DDoS 攻撃の際に AWS サポートへのチケットをすばやく記録できます。
Shield Standard は、OSI モデルのレイヤー 3 と 4 で発生するインフラストラクチャベースの DDoS 攻撃に対する保護を提供します。レイヤー 7 の DDoS 攻撃を防ぐには、AWS WAF を使用できます。

DDoS 攻撃からアプリケーションを保護する方法の詳細については、「DDoS 耐性を高めるための AWS のベストプラクティス」を参照してください。