はじめに
この記事はAWS SAA試験勉強のための、AWS Shieldに関する知識のまとめです。
AWS Shield
AWSではDDoS攻撃に対処するためのサービスとしてAWS Shieldを利用します。
クロスサイトスクリプティングや SQL インジェクションからは保護しません。
AWS ShieldはStandard版と Advanced版があり、Standard版はCloudFrontやRoute53に無料で自動的に適用されますが、Advanced版は有料となるためユーザー側で有効化する必要があります。Advanced版は有料サービスであるため、 DDoS 攻撃によって生じた可能性のある AWS 請求額の急増に対して、コスト面の保証をしてくれるなどの追加機能が付与されています。
AWS Shield以外のDDos攻撃対策
AWS WAF
AWS WAFは、Webアプリケーションへの不正なアクセスを検出し、ブロックするためのサービスです。WAFを使用して、不正なトラフィックや攻撃をフィルタリングし、アプリケーションへのアクセスを制御できます。
CloudFront
Amazon CloudFrontを使用して、コンテンツの配信を最適化し、DDoS攻撃から保護することができます。CloudFrontは、世界中のエッジロケーションにコンテンツをキャッシュし、攻撃を分散させることができます。
VPCのセキュリティグループとネットワークACL
VPのセキュリティグループとネットワークACLを適切に構成して、不正なトラフィックをブロックすることができます。セキュリティグループはインスタンスレベルで、ネットワークACLはサブネットレベルで動作します。
監視とアラート
AWS CloudWatchやAWS GuardDutyなどの監視サービスを使用して、不審なアクティビティや異常なトラフィックを検出し、即座に対処することが重要です。
Route53のシャッフルシャーディングと エニーキャスト ルーティング
DDoS 攻撃中にも適切なエンドユーザーがアプリケーションの利用を継続することができるように支援する機能。