2回答
0
以下は私の個人的な想像が含まれるため、正確性には期待しないでください。
登録が必要なサイトのリンクで恐縮ですが、以下を参照すると外部との通信は必ず Transit Center を経由する物理構成になっているという事です。
https://codezine.jp/article/detail/9787?p=2
これはリージョン単位に設けられている設備なので、リージョン全ての AZ の全インスタンスの通信が集約されるという事は、一部に対する攻撃がリージョン全体に影響を及ぼす可能性があるという事になると考えられます。
そうなると、AWS のリージョンとしてサービスの継続性を考えたときに、この Transit Center に流れ込む前の段階でなんらかの対策を講じておかなければいけない必然が生じるのではないかと考えています。
上記の結果 Shield Standard が全ユーザーに適用されている、と考えるとネットワークACLやセキュリティグループより外側でも働く部分があるのではないかと認識しています。
回答済み 5年前
0
記事のご紹介ありがとうございました。
続きの記事の
https://codezine.jp/article/detail/9790
のMapping Serviceによるネットワーク仮想化の仕組みや、
https://codezine.jp/article/detail/9791
のBGPの誤広告による大規模通信障害の事例等もDDoSとは直接関係無いですが大変参考になりました。
セキュリティグループやネットワークACLによるブロックには少なくともMapping Serviceへの問い合わせの結果が必要になりそうですね。
回答済み 5年前
関連するコンテンツ
AWS公式更新しました 7ヶ月前- AWS公式更新しました 7ヶ月前
- AWS公式更新しました 1年前
- AWS公式更新しました 8ヶ月前