AWS Shield概要
- DDoS攻撃からリソースを保護(被害を最小限化)するマネージドサービス
- 常時モニタリングを実施し、攻撃の検出・通知を行うことが可能
- 利用を開始する場合、リージョンごとに有効化する必要がある点に注意
- AWS Shield Standard と AWS Shield Advancedの2プランが存在する
AWS Shield StandardとAWS Shield Advancedの違い
| AWS Shield Standard | AWS Shield Advanced | |
|---|---|---|
| 料金 | 無料! | 有料(基本料金として3,000USD+α) |
| 対象レイヤ | L3、L4 | L3 , L4 , L7(HTTPやSSH、DNSなど) |
| 機能 | DDoSの緩和 | DDoSの緩和、過去13ヶ月の攻撃履歴確認など |
| ユースケース | 小~中規模のシステム | ECサイトなどサービス継続が重要な環境 |
AWS WAFとの棲み分け
- AWS WAFはL7にのみ対応している
- SQLiやXSSなど広く一般的な脆弱性を突く攻撃からリソースを保護することが可能
- L3とL4での"量"に物を言わせるDoS(SYN Floodなど)またはDDoS(Smurf攻撃など)に対してAWS WAFは無力
補足
基本的なセキュリティ設計においては、AWS ShieldとAWS WAFを併用することがベター。