コンテンツにスキップ

AWS Shield

1. サービス概要

AWS Shield は、AWS で実行される Web アプリケーションやサービスを、DDoS(分散型サービス妨害)攻撃から保護するマネージドサービスである。
ユーザーは、インフラストラクチャの変更や追加のハードウェアの導入なしに、自動的に DDoS 攻撃から保護される。
AWS Shield は、アプリケーションの可用性とパフォーマンスを維持し、ビジネス継続性を確保するのに役立ちます。

主なユースケースとして、

  • Web サイトの保護
  • Web アプリケーションの保護
  • API の保護
  • DNS サービスの保護
  • ネットワークレイヤーでの DDoS 攻撃防御

などが挙げられます。
AWS Shield は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 Always-On Detection and Mitigation

AWS Shield は、DDoS 攻撃を常時監視し、自動的に緩和措置を適用する。
これにより、攻撃の兆候を早期に検出し、アプリケーションへの影響を最小限に抑えることができる。

2.2 ネットワークレイヤー保護

Shield は、ネットワークレイヤー(レイヤー 3 および 4)での DDoS 攻撃を防御する。
これにより、TCP SYN フラッド、UDP フラッドなどの攻撃からインフラを保護できる。

2.3 アプリケーションレイヤー保護

Shield Advanced は、アプリケーションレイヤー(レイヤー 7)での DDoS 攻撃を防御する。
これにより、HTTP フラッド、SQL インジェクションなどの攻撃からアプリケーションを保護できる。

2.4 攻撃の可視性

Shield は、攻撃に関する詳細な情報を提供する。
ユーザーは、攻撃の種類、規模、発生時間などを確認し、セキュリティインシデントの分析に利用できる。

2.5 統合されたサービス

Shield は、CloudFront, Elastic Load Balancing (ELB), Route 53 などの AWS の他のサービスと統合されており、これらのサービスを DDoS 攻撃から保護する。

2.6 カスタマイズ可能な保護

Shield Advanced では、カスタムルールを作成し、特定のアプリケーションのニーズに合わせた保護を構成できる。
これにより、特定の攻撃パターンに対する防御を強化できる。

2.7 DDoS Response Team

Shield Advanced のユーザーは、DDoS 攻撃が発生した場合に、AWS の DDoS 対応チームからサポートを受けることができる。
これにより、大規模な DDoS 攻撃に迅速に対応し、アプリケーションの可用性を維持できる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、AWS リソース(CloudFront, ELB, Route 53 など)を AWS Shield で保護。
  2. Shield は、常にネットワークトラフィックを監視し、DDoS 攻撃を検出。
  3. DDoS 攻撃が検出された場合、Shield は自動的に緩和策を適用し、攻撃を軽減。
  4. 攻撃に関する情報は、CloudWatch メトリクスやログとして提供。
  5. Shield Advanced のユーザーは、DDoS Response Team のサポートを受けることができる。

AWS Shield は、AWS のグローバルインフラストラクチャの一部であり、高い可用性とスケーラビリティを提供する。
DDoS 攻撃の検出と緩和は AWS が行うため、ユーザーはインフラの管理を意識する必要はありません。

4. セキュリティと認証・認可

AWS Shield は、DDoS 攻撃から AWS リソースを保護するためのセキュリティ機能を提供する:

  • ネットワークレイヤー保護: TCP SYN フラッド、UDP フラッドなどのネットワークレイヤーの攻撃を防御。
  • アプリケーションレイヤー保護: HTTP フラッド、SQL インジェクションなどのアプリケーションレイヤーの攻撃を防御 (Shield Advanced)。
  • トラフィック分析: ネットワークトラフィックを継続的に分析し、DDoS 攻撃を検出し、緩和。
  • アクセス制御: IAM ポリシーを使用して、AWS Shield へのアクセスを制御。
  • データ保護: Shield のログデータや設定データは暗号化される。

これらのセキュリティ対策により、AWS リソースを DDoS 攻撃から保護し、可用性と信頼性を確保する。

5. 料金形態

AWS Shield には、Standard と Advanced という 2 つのレベルがあり、料金体系が異なります。

  • AWS Shield Standard: AWS Shield Standard は、追加料金なしで利用できる。
  • AWS Shield Advanced: 月額料金と、保護対象のリソースの使用量に応じた料金が発生する。
  • データ転送: Shield Advanced で保護されたリソースに対するデータ転送量に応じて課金。

6. よくあるアーキテクチャ・設計パターン

AWS Shield は、様々なアプリケーションの DDoS 攻撃防御に利用できる。
一般的なパターンは以下の通りです:

  • Web サイトの保護: Web サイトを CloudFront や ELB で保護し、DDoS 攻撃から可用性を確保。
  • Web アプリケーションの保護: Web アプリケーションを ELB や API Gateway で保護し、アプリケーションレイヤーでの DDoS 攻撃を防御。
  • API の保護: API Gateway で公開されている API を保護し、DDoS 攻撃によるサービス停止を防止。
  • DNS サービスの保護: Route 53 で提供される DNS サービスを保護し、DNS 攻撃から可用性を確保。
  • ネットワークレイヤーでの DDoS 攻撃防御: VPC 内のリソースを Network Firewall と組み合わせて保護し、ネットワークレイヤーでの攻撃を防御。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS マネジメントコンソールから AWS Shield を開き、Shield Standard または Shield Advanced を有効化。
  2. 保護対象となるリソース(CloudFront、ELB、Route 53 など)を選択。
  3. Shield Advanced の場合は、必要に応じて、カスタムルールを設定。
  4. CloudWatch メトリクスやログで、攻撃状況と緩和状況を監視。

8. 試験で問われやすいポイント

8.1 Always-On Detection and Mitigation

  • 機能: DDoS 攻撃を常時監視し、自動的に緩和措置を適用。
  • 目的: 攻撃の兆候を早期に検出し、アプリケーションへの影響を最小限に抑制。
  • 試験対策: 常時監視の仕組み、メリットが問われる。

8.2 ネットワークレイヤー保護

  • 対象: レイヤー 3 および 4 での DDoS 攻撃。
  • : TCP SYN フラッド、UDP フラッド。
  • 試験対策: 保護対象のレイヤー、攻撃の種類が問われる。

8.3 アプリケーションレイヤー保護

  • 対象: レイヤー 7 での DDoS 攻撃。
  • : HTTP フラッド、SQL インジェクションなど。
  • 試験対策: 保護対象のレイヤー、攻撃の種類が問われる。

8.4 攻撃の可視性

  • 情報: 攻撃の種類、規模、発生時間など。
  • 利用: セキュリティインシデントの分析。
  • 試験対策: 提供される情報の種類、分析への活用が問われる。

8.5 料金体系

  • Shield Standard: 追加料金なし。
  • Shield Advanced: 月額料金、リソース使用量、データ転送量。
  • 試験対策: 各プランの料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較

  • AWS WAF: Web アプリケーションのレイヤー 7 の攻撃を防御するサービス。Shield は DDoS 攻撃に特化。
  • AWS Firewall Manager: 組織全体でのセキュリティポリシーを一元管理するサービス。Shield は DDoS 防御に特化。

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Shield は何を提供するサービスですか?
  • A: AWS で実行される Web アプリケーションやサービスを、DDoS(分散型サービス妨害)攻撃から保護するマネージドサービスである。
  • Q: AWS Shield Standard と AWS Shield Advanced の違いは何ですか?
  • A: Shield Standard は基本的な DDoS 攻撃保護を提供し、Shield Advanced はアプリケーションレイヤーでの保護、DDoS Response Team のサポートなど、より高度な機能を提供する。
  • Q: AWS Shield は、どのような種類の DDoS 攻撃から保護できるか?
  • A: ネットワークレイヤー(レイヤー 3 および 4)およびアプリケーションレイヤー(レイヤー 7)での DDoS 攻撃から保護できる。
  • Q: AWS Shield は、どのような AWS サービスと統合されていますか?
  • A: CloudFront, Elastic Load Balancing (ELB), Route 53 などのサービスと統合されています。
  • Q: AWS Shield の料金体系は?
  • A: AWS Shield Standard は無料、AWS Shield Advanced は月額料金とリソース使用量に応じた料金が発生する。