【AWS re:Invent 2023】NET201 | AWS エッジサービスでDDoS攻撃からインフラストラクチャを保護

エンタープライズクラウド事業部の黒野です。
AWS re:Invent 2023 に現地参加しており、普段も触る機会が多い DDoS 攻撃に対する AWS サービスのセッションに参加してきました！

スピーカー

Paul Bodmer
Tzoori Tamam

セッションレベル

200 – Intermediate

セッション概要

It is crucial for organizations to protect their network infrastructure from DDoS events.
 Join this session to learn about defense strategy for safeguarding your critical assets
and how you can build a DDoS-resilient perimeter to support uninterrupted operations with
AWS Shield, AWS WAF, and Amazon CloudFront. Find out how you can use the advanced mitigation 
techniques employed by AWS Shield to provide comprehensive protection and offer uninterrupted service availability.

組織にとって、ネットワーク インフラストラクチャを DDoS イベントから保護することは非常に重要です。 
このセッションに参加して、重要な資産を保護するための防御戦略と、AWS Shield、AWS WAF、Amazon CloudFront を使用して
中断のない運用をサポートする DDoS 耐性のある境界を構築する方法について学びましょう。 
AWS Shield が採用する高度な緩和技術を使用して、包括的な保護を提供し、中断のないサービスの可用性を提供する方法をご覧ください。

セッション

世界中を流れるトラフィック量

全体の56%がアプリケーション層のトラフィック
トラフィックが40%の前年比成長率

HTTP/2 Rapid Resetの脆弱性

この攻撃が Rapid Reset と呼ばれている理由は、リクエストフレームを送信した後即座にエンドポイントが
RST_STREAM フレームを送信できる能力に依存して攻撃しているからになります。

HTTP/2 リクエストのフラッド
ピーク時は 1 億 5,500 万 RPS 以上
Amazon CloudFront の自動軽減

AWSの到達範囲と規模を活用して驚異の検出を行う

60秒ごとに分析されるエクサバイトのデータ
1日に処理される1,000億件以上の AWS 管理ルールのリクエスト
毎日何千もの DDoS 攻撃が軽減されます
50か国の100以上の都市に600以上の拠点

私たちのミッション

Amazon のインフラストラクチャと顧客を保護し、AWSをサイバー攻撃の魅力的なターゲットにしない

AWS WAF の動作について

AWS リソースへのアクセスがあった際に AWS WAF は動作をし、定義されたルールに基づいて通信の許可(Allow)および拒否(Deny)を行ないます。
定義されるルールは IP アドレスやヘッダーなど様々な条件に基づいて、設定をすることが可能です。

AWS WAF のダッシュボード

昨日のアップデートにより WAF のダッシュボードが新しくなっております。
不正アクセスや異常検知などの可視化を行なうために役立ちます。

Shield Advanced による DDos からの保護

Shield Advanced は24 時間365 日の DDoS サポートを含む DDoS 保護のアップグレードオプション (有料) となります。
料金は月額$3,000となり、親アカウントで契約している場合には子アカウントでに追加料金なしで有効化することができます。

ミッションクリティカルなアプリケーション向けのプレミアム L3-7 DDoS 保護
AWS Shield Response Team (SRT) による 24時間年中無休のサポート、アラート通知、脅威ダッシュボード
適応型 L3～ 4保護、L7 異常検出、健全性ベースの検出、プロアクティブなイベント対応、およびL7自動緩和
AWS WAF、ファイアウォールマネージャー、攻撃時のスケーリングのコスト保護

DDoS 保護のベストプラクティス

AWS WAF
- AWS WAF で IPレピュテーションベースのルールを有効にする
- AWS WAF でレートベースのルールを有効にする
- 該当する場合、地域ブロック/制限/チャレンジ
AWS Shield Advanced
- AWS Shield Advanced によるプロアクティブなエンゲージメントを使用する
- アプリケーションの実際のヘルスチェックを作成して使用する
- L7自動ルール作成を有効にする (L7自動軽減策)

まとめ

普段、なかなか聞くことのできない Shield Advanced についてのベストプラクティス等が聞けたので良かったです。
そして新しくなった AWS WAF のダッシュボードについてもまだ確認できてなかったので、詳しい情報を知れる良い機会となりました！

2023年12月7日 (木)「AWS re:Invent 2023」のポイントを解説する「AWS re:Invent 2023 re:Cap presented by iret」を開催します。

詳細はこちら：https://cloudpack.jp/lp/aws-reinvent-recap-2023/

この記事を書いた人

黒野雄稀

2020年からインフラ設計・構築や運用構築に従事してます。 IaCを使ったインフラ構築が得意です。 2022/2023 Japan AWS All Certifications Engineers 2023 Japan AWS Top Engineers 休みの日はバイクいじってます。黒野雄稀が書いた記事

【AWS re:Invent 2023】NET201 | AWS エッジサービスでDDoS攻撃からインフラストラクチャを保護

スピーカー

セッションレベル

セッション概要

セッション

世界中を流れるトラフィック量

HTTP/2 Rapid Resetの脆弱性

AWSの到達範囲と規模を活用して驚異の検出を行う

私たちのミッション

AWS WAF の動作について

AWS WAF のダッシュボード

Shield Advanced による DDos からの保護

DDoS 保護のベストプラクティス

まとめ

アイレット中途採用グループに特化した独自の『リスキリング研修』

RHEL9にPHP8.3系をインストールする

X (旧 Twitter) を複数人で安全に運用する方法

Roblox BlenderからのImport

海外アプリの動作確認

【AWS re:Invent 2023】NET201 | AWS エッジサービスでDDoS攻撃からインフラストラクチャを保護

スピーカー

セッションレベル

セッション概要

セッション

世界中を流れるトラフィック量

HTTP/2 Rapid Resetの脆弱性

AWSの到達範囲と規模を活用して驚異の検出を行う

私たちのミッション

AWS WAF の動作について

AWS WAF のダッシュボード

Shield Advanced による DDos からの保護

DDoS 保護のベストプラクティス

まとめ

関連記事Related Articles

【AWS re:Invent 2023】AWS で稼働する Microsoft ワークロードのコスト最適化の推奨事項について[ENT211]

【AWS re:Invent 2023】アーキテクチャ主導のポートフォリオ移行とモダナイゼーション[ENT236]

【AWS re:Invent 2023】Monday Night Live サマリ（Aurora Limitless Database、Redshift serverless AI-driven scaling and optimizations、etc）

【AWS re:Invent 2023】Amazon ElastiCache Serverless for Redis and Memcached is now available

【AWS re:Invent 2023】AIM333 | Amazon Bedrockでトップユースケースのテキスト生成FMを探る