はじめに
おはこんばんにちは。キティちゃんです。最近は突然の頭痛に悩まされたりしています。今回はAWS Shieldについて書いてみようと思います。
きっかけ
AWS Shieldはセキュリティ対策の一つとしてよく名前が挙げられるため書いておこうと思いました。
AWS Shieldとは
マネージド型のDDoS保護サービスで、AWSで実行しているアプリケーションを保護することを目的としています。
AWS WAFと何が違うの?
結論から言うと守備範囲、防御できる攻撃が異なるということです。AWS ShieldはAWSが提供しているDDoS攻撃対策サービスですが、AWS WAFはDDoS攻撃だけではなく、SQLインジェクションやクロスサイトスクリプティングといったアプリケーションへの攻撃に対しての防御が可能です。
AWS Shield StandardとAWS Shield Advancedの違い
AWS ShieldにはStandardとAdvancedの2つのタイプがあります。この2つの違いは防御範囲が異なることです。Standardの場合、OSI参照モデルでいうところの第3層、第4層が保護対象となります。AdvancedはStandardの上位プランであり、Standardの保護対象にプラスして第7層も保護対象となります。一見AWS WAFと大きな違いがないように思われますが、AWS WAFの場合は第7層のみが保護対象であり、かつ、アプリケーションに対しての攻撃全般の防御が可能となります。
AWS WAFとAWS Shieldのどちらを導入すべき?
よりセキュリティを強固するのであれば、どちらも導入することが望ましいと思います。上記でも述べましたが、それぞれ守備範囲、防御できる攻撃が異なります。AWS WAFだけを導入しても、第7層以外のレイヤーを守れません。AWS Shieldのみの場合、Advancedプランであったとして第3、4、7層は守備範囲ではありますが、防御できる攻撃はDDoS攻撃のみです。それぞれ一長一短であるため、どちらも導入することが推奨されると思います。
所感
AWS Shieldもプランによって、防御できる範囲を広げているとはいえ、サービス単体だけでベストなセキュリティ対策かと言われると微妙です。上記でも述べましたが、AWS WAFと併用してよりシステムの堅牢化を図ることが望ましいと思います。ですが、堅牢化するためには、それ相応の費用も発生してきます。セキュリティはどの企業にとっても重要事項ではありますが、予算の中でどこを優先的に防御するかを検討しなければいけませんね。
まとめ
今回はAWS Shieldについて書いてみましたが、AWS ShieldはあくまでもDDoS攻撃に対しての保護サービスとなります。AWS WAFと両方を導入することが望ましいですが、企業によって懐事情というのもあると思います。ただ、セキュリティというのは強固であるべきです。正しく運用できない場合、情報漏洩といった最悪のケースが考えられますので何が最適なのかは見極める必要がありそうです。
参考
・『AWS Shield マネージド DDoS 保護でアプリケーションの可用性と応答性を最大化する』
https://aws.amazon.com/jp/shield/
・『AWS WAFとAWS Shieldどちらを入れるべき?違いをわかりやすく解説!』
https://www.wafcharm.com/jp/blog/aws-waf-vs-aws-shield-for-beginners/#%25e3%2581%25be%25e3%2581%259a%25e7%25b5%2590%25e8%25ab%2596%25e3%2581%258b%25e3%2582%2589aws-waf%25e3%2581%25a8aws-shield%25e3%2581%25ae%25e9%2581%2595%25e3%2581%2584%25e3%2581%25a8%25e3%2581%25af