DDoS保護サービスのAWS Shieldを勉強してみた。
はじめに
1台のPCから大量の通信を投げるDoS攻撃
はFireWallを用いてそのIPアドレスを遮断するだけで問題ないですが、大量のPCから攻撃するDDoS攻撃
はIPアドレスが大量にありすぎてFireWallだけの制御では対処ができません。
そのようなDDoS攻撃への対処の一つにAWSが提供しているマネージド型のDDoS保護サービスに『AWS Shield』というものがあります。
AWS Shieldとは
AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに依頼する必要はありません。AWS Shield にはスタンダードとアドバンストの 2 つの階層があります。 AWS公式ページ(AWS Shield)より引用
AWS ShieldはStandardとAdvancedと2つの種類があります。
Standard
StandardはAWSを利用している時点で自動的に導入されています。 主にネットワーク層、トランスポート層のDDoS攻撃を防御します。
Advanced
以下のサービスを用いている場合、AWS Shield Advancedの使用が可能になります。
- Amazon Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB)
- Amazon CloudFront
- AWS Global Accelerator
- Amazon Route 53
AWS Shield Advancedを用いるとStandardとは異なり、以下が可能になります。
- ネットワーク層、トランスポート層のDDoS攻撃の可視性
- より大規模で高度なDDoS攻撃に対する緩和策の検出および緩和策
- リアルタイムの可視性
- 24時間365日のAWS Shieldレスポンスチームへの問い合わせ
おわりに
ざっくりした感じではありますが頭に入れておこうと思います。