なぜこの記事を書いたのか?
AWS が提供する脅威検知・防御サービスにおいて、AWS Shield、AWS WAF、GuardDuty、Inspector、Macie の名前とサービス内容が一致しないので、AWS-SAA の問題文に書かれている要件に対する正解がわかりませんでした。これらをはっきりと区別するために書きました。
脅威検知・防御サービス比較表
| サービス | 主な機能 | 保護対象 | 脅威の種類 | 検知方法 | 対応方法 |
|---|---|---|---|---|---|
| AWS Shield | DDoS 攻撃に対する防御 | インターネットに接続された AWS リソース | ボリューム型 DDoS 攻撃、アプリケーション層攻撃 | ネットワークトラフィックの監視、異常検知 | 自動的な攻撃軽減 |
| AWS WAF | Web アプリケーションに対する攻撃防御 | AWS 上の Web アプリケーション | SQL インジェクション、クロスサイトスクリプティング、リモートコード実行 | 事前定義されたルールとカスタムルールに基づくリクエストの検査 | 自動的なリクエストブロック、手動によるチャレンジ |
| GuardDuty | 脅威の検知と対応 | AWS リソース | マルウェア、ネットワーク攻撃、アカウントの不正利用 | ログとイベントの監視、異常検知 | 脅威インジケーターの提供、自動的な対応アクションの実行 |
| Inspector | コンピューティング環境の脆弱性検知 | EC2 インスタンス | ソフトウェアの脆弱性、設定の誤り | エージェントによるインスタンスの脆弱性スキャン | 脆弱性レポートの作成、修復推奨事項の提供 |
| Macie | 機密情報の検出と保護 | S3 バケット、EBS ボリューム、RDS インスタンス | 個人情報、医療情報、知的財産情報 | 機密情報パターンマッチング、機械学習による異常検知 | データの暗号化、アクセス制御の強化 |
消去法の考え方
- AWS Shield はDDoS攻撃に対する防御です。大規模なDDoS 攻撃が予測される場合、AWS Shield とAmazon CloudFront を組み合わせてウェブサービスを保護するときに有用です
- AWS Shield とAWS WAF の使い分け
- DDoS 攻撃全般から保護したい場合は AWS Shield を使用する
- Web アプリケーション固有の攻撃から保護したい場合は AWS WAF を使用する
- より強固な防御体制を構築したい場合は、AWS Shield と AWS WAF を組み合わせます
- GuardDuty はAWS のログなどから脅威を検出するサービスです。検出した脅威に対してCloudWatch Events へイベントを通知して、SNS への通知やLambda を呼び出すことができます。 GuardDuty 自体に攻撃や脅威からAWS のリソースを守る力がないので、問題文の要件に明確な攻撃や脅威に対処が必要なときは不正解の可能性が高いですが、CryptoCurrency 攻撃からの防御は可能です
- Amazon Inspector は、Amazon EC2 インスタンス、コンテナ、Lambda 関数などに使われる脆弱性検出サービスです。要件で「脆弱性の検出」などとあればAmazon Inspector のことを思い出します
- Macie は機密情報を検出して保護する、機械学習を使った異常検知サービスです。個人情報(PII) の検出についての問題で、Lambda の他にMacie があれば、こちらの方が管理工数を削減しやすいです