DDoS保護に、AWS Shield Standard + WAF を利用している方がほとんどではないでしょうか?
今回、AWS Shield Advanced + WAF を検討した結果、分かったことをまとめてみました。
AWS Shield なんのためのサービス?
マネージド型で、AWS で実行しているアプリケーションを DDoS 保護するサービスです。
[https://aws.amazon.com/jp/shield/:title]
何がAdvanced?
Advancedにすると何が嬉しいのか、Standardとの違いを表にしてみました。
【ポイント】
- L7も保護レイヤーに追加される(後ほど詳しく)
- DDoS攻撃を受けた際のコスト還元を受けられる
- 専門家によるサポートあり
注意点は?
下記3つ
- コミットメント: 12 か月間のサブスクリプションが必須
- 自動更新: サブスクリプションは 12 か月後に自動更新される。ただし、更新日の 30 日前までに更新をオプトアウトできる。
- 解約方法は、サポートに電話のみ
WAFとShield Advanced
L7のDDoS攻撃対策AWS WAF。
Advancedが保護対象としているL7のDDoS対策は、AWS WAF のレートベースのルールを利用します。
特定の条件に一致したリクエストだけを Block/Count 対象とする場合、
- WAF側でルールを作成
- Shield Advanced でルールとリソースを関連づける
という手順を踏むことでL7の保護を可能にしています。
つまり、AdvancedはWAFと統合することで、より便利な機能になるということです。
料金体系
Organizaions単位では、月額$3000が発生します。** ※アカウント単位ではないことに注意 **
アカウント単位で発生する費用は2つ「WAFのパートナールールの費用」「データ転送量課金」です。
Shield Advancedの保護対象になっているリソースにWAFが統合されている場合は、WAFの基本料金が発生しません。Shield Advancedの料金のみになります。
WAFの基本料金は以下の3つです。
ただし料金が発生しないのは上記基本料金のみのため、その他オプションを設定している場合は、引き続き料金が発生します。詳しくは公式サイトをご確認ください。
※参考URL:
https://aws.amazon.com/jp/shield/pricing/
https://aws.amazon.com/jp/waf/pricing/
最後に
「Shield Adcvancedって、料金めっちゃ高いよなー」という印象が強く、選択肢にいれないことが多いとは思います。(筆者がそうでした)
しかし、$3000/月のAdvancedサブスク料金は、Organizations単位で発生します。Organizationsを活用して複数アカウント管理をしている企業では、むしろ、Advancedを活用したほうが全体としては安くなることも十分あり得ると思います。これを機にぜひ「自社はどうなんだっけ?」などの見直しを行ってみてください。