前書き
AWSのセキュリティ対策の一環としてAWS Shieldを利用するが、StandardとAdvancedの違いをきちんと理解できていなかったので自分向けにまとめておこうと思ったのがきっかけ。
AWS Shieldとは
AWSの説明では以下のように記載している。
AWS Shield は、AWS で実行されるアプリケーションを Distributed Denial of Service (DDoS) 攻撃から保護するマネージド型のサービスです。
AWS Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化されます。
AWS Shield Advanced は任意で利用できる有料サービスです。
AWS Shield Advanced により、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 で実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化されます。
つまりAWS ShieldはStandardであれば自動で有効化されて無料でDDoS対策のできるサービスであり、Advancedはオプションで特定のサービスに対して適用し利用可能なサービスであることがわかる。
Advancedが適用可能なAWSサービス
- Amazon Route 53
- Amazon CloudFront
- Elastic Load Balancing
- AWS Global Accelerator
- Elastic IP
Advancedでできること
自動化された攻撃緩和機能
- L3,L4のDDoS攻撃の自動緩和
- WAFと組み合わせたL7の攻撃緩和
- Shield Advanced の防御対象リソースは AWS WAFの費用は発生しない
Anormaly Detection(異常検知)機能
- 攻撃の統計情報からベースラインを策定し異常検知を行う
可視性レポート機能
- L3,L4,L7の攻撃に関する通知および履歴レポート
- 過去13ヶ月分の攻撃の履歴が確認可能
SLAの有無
- AdvancedではSLAが存在するため、SLAを満たさなければサービスクレジットが発行される
Shield Response Team(SRT)によるサポート
- 設定の見直し
- シグネチャの更新
- 攻撃時のカスタム緩和
- 攻撃後の分析
- 自動防御で対処しきれない攻撃への対処
- 事前にWAFへのアクセス権をSRTに付与することでL7攻撃緩和を実施してくれる
Shield Response Team(SRT)とは?
AWS と Amazon.com を保護する知識と経験を持った DDoS 対策の専門家チーム
- AWSサポート経由での対応
- 利用するにはビジネスサポートまたはエンタープライズサポートを契約している必要がある
- 24時間365日のサポート体制
Advancedを利用するメリット(個人的感想)
- SRTによる24,365のサポートが受けられる
- 料金形態がOrganization単位なのでアカウント毎にサブスクリプション契約をする必要がない
- AWS WAFとFirewall Managerもサブスクリプション契約の料金で無料利用可能
- Firewall Managerを利用することによってマルチアカウントのリソースへのDDoS対策が可能
参考
-
AWS Shield
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/shield-chapter.html -
AWS Shield の開始方法
https://aws.amazon.com/jp/shield/getting-started/ -
AWS Shield のよくある質問(JP)
https://aws.amazon.com/jp/shield/faqs/#:~:text=AWS%20Shield%20%E3%81%AF%E3%80%81AWS%20%E3%81%A7,%E3%81%AB%E6%9C%89%E5%8A%B9%E5%8C%96%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82 -
AWS Shield Advanced(AWS Black Belt)
https://d1.awsstatic.com/webinars/jp/pdf/services/20200818_AWS_BlackBelt_AWS_Shield_Advanced.pdf -
Shield Response Team
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/get-started-fms-shield-authorize-DRT.html