AWSには、AWS WAF(Web Application Firewall)とAWS Shieldという2つのセキュリティサービスがありますが、それぞれ役割や機能が異なります。違いをわかりやすくまとめました。
AWS WAF と AWS Shield の比較
| 特徴 | AWS WAF | AWS Shield |
|---|---|---|
| 主な目的 | アプリケーションレベルの攻撃から保護 | DDoS(分散型サービス拒否)攻撃から保護 |
| 対応する脅威 | - クロスサイトスクリプティング(XSS) - SQLインジェクション(SQLi) - その他のアプリケーション層攻撃 |
- DDoS攻撃 (レイヤー3/4攻撃および一部レイヤー7攻撃) |
| 保護対象 | HTTP/HTTPSリクエスト | ネットワーク層とアプリケーション層のDDoS攻撃 |
| レイヤー | アプリケーション層(レイヤー7) | レイヤー3(ネットワーク層) レイヤー4(トランスポート層) レイヤー7(アプリケーション層) |
| カスタマイズ可能なルール | - リクエストのヘッダー、IP、クエリ文字列に基づいたカスタムルールを作成可能 | カスタムルールは作成不可。 Shield Advancedではより高度な保護機能あり |
| 自動保護 | 手動でルール作成が必要 | AWS Shield Standardは自動でDDoS保護を提供(無料) Shield Advancedではより強化されたDDoS対策(有料) |
| 使用例 | - Webアプリケーションの攻撃防止 - XSSやSQLインジェクションの防止 |
- DDoS攻撃によるサービスダウンの防止 - サービス遅延の防止 |
| 料金 | 使用したルールの数やトラフィック量に基づいて課金 | - Shield Standardは無料 - Shield Advancedは有料、アカウント単位で課金 |
1. AWS WAFとは?
AWS WAFは、Webアプリケーションに対するアプリケーション層の攻撃を防ぐためのファイアウォールです。特に以下のような攻撃に対して有効です:
- クロスサイトスクリプティング(XSS)
- SQLインジェクション(SQLi)
AWS WAFでは、特定のリクエストパターンやIPアドレス、クエリ文字列に基づいたルールを作成し、それに基づいて攻撃をフィルタリングします。アプリケーション層(レイヤー7)のセキュリティを強化するためのツールであり、カスタムルールを使って細かい制御が可能です。
主な特徴
- カスタムルールの作成: ヘッダーやIP、パスに基づいた細かいルールを設定可能。
- 使用例: XSSやSQLインジェクションなど、アプリケーション層の攻撃からの保護。
2. AWS Shieldとは?
AWS Shieldは、DDoS攻撃からAWSリソースを保護するためのサービスです。DDoS攻撃は、大量のトラフィックを発生させてサービスを停止させる攻撃で、Shieldはこれを防ぐために設計されています。
Shieldには2つのプランがあります:
- Shield Standard(無料): 全てのAWSアカウントで標準的なDDoS保護を提供。
- Shield Advanced(有料): より高度なDDoS対策とサポートを提供。
主な特徴
- 自動DDoS防御: Shield Standardは自動的にDDoS攻撃を防ぎます。
- 使用例: EC2やELB、CloudFrontなどのリソースをDDoS攻撃から保護。
3. どちらを使うべきか?
-
アプリケーション層の攻撃(XSS、SQLインジェクション)を防ぎたい場合は、AWS WAFが適しています。自分でカスタムルールを設定して、細かいリクエストのフィルタリングが可能です。
-
DDoS攻撃に対して強固な保護を行いたい場合は、AWS Shieldが適しています。特に、サービスのダウンタイムを最小限に抑えたい場合は、Shield Advancedの利用も検討しましょう。
まとめ
AWS WAFとAWS Shieldは、それぞれ異なる攻撃に対応するセキュリティサービスです。アプリケーション層の攻撃に対する防御が必要ならWAF、DDoS攻撃からの防御が必要ならShieldを使う。
あるいは両方を使うのも良いです。