ELBを設定していて「そういえばDDoS攻撃対策ってどうするのだっけ?」となっていろいろ調べた際の覚書です。多分こうですよね、という程度の理解なので間違ってたらまた訂正します。ごめんなさい。
公式資料は以下のとおり。
AWS Shield StandardとAWS Shield Advancedの説明※AWS Shield Standardの説明がフワッと書いてあります。
https://aws.amazon.com/jp/shield/features/
AWS Best Practices for DDoS Resiliency※英語版のみの公開ですが、普通にDeepLでまるっと翻訳できます。
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
AWS Best Practices for DDoS ResiliencyのWhite Paper※PDFとだいたい同じ内容のようです。ただしこちらの方が日付が浅いため、細かな部分はこちらで確認した方がよさそうです。
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices-ddos-resiliency/welcome.html
AWS Shield Standardはレイヤー3、4に対するDDoS耐性用マネージドサービス
結論から書くと、AWS Shield Standardはレイヤー3(ネットワーク層)とレイヤー4(トランスポート層)のDDoS耐性用のマネージドサービスと理解するのが分かりやすそうです。公式資料の書きっぷりからすると、そう言い切るのは多分ちょっと違うんですけど、大枠でいうなら合っていると思います。
ドキュメントをちょろっと読んだ際の誤ったイメージはこんなでした。
ですが、特定のAWSサービスに依存していないので、イメージとしてこちらに近そうです。
まぁ、Shieldって言ってるんだから最初の絵より下の絵の方がイメージ近いのは当然かもですね。
あと、AWS Shield Standardで防いだ攻撃のログ取りなどは難しそうです。どうも各種マネージドサービスの前にAWS Shield Standardが機能しているようなので、そこをすり抜けた攻撃は各マネージドサービスでログ取り出来そうですが、AWS Shield Standardが防御した攻撃はログ取り出来なさそうです。
レイヤー7は対象外っぽい
ドキュメントに明記されていないので対象外とみて間違いないでしょう。AWS Shield Advancedを利用すると保護されそうですが、充実したサービスに加えていかんせんお値段がお値段(3000USD/年)なので世に知れたサービスでないと費用対効果を得られそうにないです。
おわりに
AWS Shield Advancedの資料やDDoS耐性のベストプラクティスの資料はあったんですけど、AWS Shield Standardについてのパリっとした資料を見つけられなかったので、覚書でした。レイヤー3とレイヤー4についてはマネージドサービスの種類に関わらずAWS Shield Standardでナチュラルにある程度ガードされていると考えて大丈夫そうです(でも漏れちゃうこともある)。また特に大規模な基盤を構築する場合はAWS Shield Standardにのみ頼ることなくDDoS耐性を考えた方が良さそうです。