はじめに
こんにちは。
本日はre:Invent2024のブレイクアウトセッションで紹介されたAWSアップデートについてのご紹介をします。
re:Inventは初参加で、日本に帰ってきてから無事(?)体調不良になりました。帰国1週間後に39度の熱が出て、さらその1週間後再び38度の熱が出ました。参加予定だった忘年会や行きたかったライブなど、軒並み参加できませんでした。12月は何かと忙しくなると思うので、今後参加される皆さんはくれぐれも体調管理だけはしておくことをオススメします。あとは熱が引いても油断しないことです。
本題に戻すと、re:Inventで「You are under a DDOS attack! Are you ready to respond? (CDN306)」というBreakout Sessionに参加しました。
そこで紹介されていた
- CloudFrontのVPCオリジン機能
- CloudFrontのWAFによってブロックされたリクエストの課金対象外に
の2つのアップデートについて本ブログで紹介します。
ちなみに両方予選落ちアップデートで11月に発表されたものです。
CloudFrontのVPCオリジン機能
CloudFrontのVPCオリジン機能は、CloudFrontのオリジンに「プライベートサブネット」のALB、NLBやEC2インスタンスを直接繋げる事ができるようになった機能です。
これまではALBなどをパブリックサブネットに立てて、CloudFrontディストリビューション側でパブリックなエンドポイントをオリジンと設定する必要がありましたが、今後はその必要がなくなりました。
従来ALBなどをオリジンとする場合は、セキュリティグループのマネージドプレフィックスリストでCloudFront側が利用するIP郡を穴あけすることでもオリジン保護ができましたが、それも必要なくシンプルにすることができるようになりました。VPCオリジンの裏側では、CloudFrontマネージドのENIが作成され、そのENIがCloudFrontのマネージドプレフィックスリストを持っているようです。
パブリックなエンドポイントがないので
- オリジン保護強化
- パブリックIPアドレスが不要
などの利点を得ることができます。
なおVPCオリジンを使うにはInternet GateWayが必要なので、そこは留意ください。
CloudFrontのWAFによってブロックされたリクエストの課金対象外に
こちらは書いてる通りですが、WAFでブロックされたリクエストはCloudFrontのリクエスト料金やデータ転送料金がかからなくなります。
実はWAFでブロックしたリクエストは、WAFではなく、CloudFrontがエラーレスポンスを返しています。なのでWAFでブロックしていてもCloudFrontにリクエストが通っていました。
今回のアップデートで、WAFでブロックしたリクエストのCloudFront料金はかからなくなるという、非常に嬉しいアップデートです。
なのでCloudFrontでもWAFでも地理的制限機能を使うことができますが、WAFに寄せるようにしましょう。ちなみにWAFの地理的制限の方が、東京都のような詳細なエリアまで指定することができます。
最後に
今回参加したセッションの本題はDDoS攻撃に対してどのように対処するか?といった内容ですので、気になる方はぜひYouTubeも見てみてください。
またAWS公式で、DDoS対策のベストプラクティスのホワイトペーパーも出ています。
これだけでも参考になるので読んでみてください。