エンタープライズクラウド事業部の黒野です。
AWS re:Invent 2023 に現地参加しており、普段も触る機会が多い DDoS 攻撃に対する AWS サービスのセッションに参加してきました!

スピーカー

  • Paul Bodmer
  • Tzoori Tamam

セッションレベル

  • 200 – Intermediate

セッション概要

It is crucial for organizations to protect their network infrastructure from DDoS events.
 Join this session to learn about defense strategy for safeguarding your critical assets
and how you can build a DDoS-resilient perimeter to support uninterrupted operations with
AWS Shield, AWS WAF, and Amazon CloudFront. Find out how you can use the advanced mitigation 
techniques employed by AWS Shield to provide comprehensive protection and offer uninterrupted service availability.
組織にとって、ネットワーク インフラストラクチャを DDoS イベントから保護することは非常に重要です。 
このセッションに参加して、重要な資産を保護するための防御戦略と、AWS Shield、AWS WAF、Amazon CloudFront を使用して
中断のない運用をサポートする DDoS 耐性のある境界を構築する方法について学びましょう。 
AWS Shield が採用する高度な緩和技術を使用して、包括的な保護を提供し、中断のないサービスの可用性を提供する方法をご覧ください。

セッション

世界中を流れるトラフィック量

  • 全体の56%がアプリケーション層のトラフィック
  • トラフィックが40%の前年比成長率

HTTP/2 Rapid Resetの脆弱性

この攻撃が Rapid Reset と呼ばれている理由は、リクエスト フレームを送信した後即座にエンドポイントが
RST_STREAM フレームを送信できる能力に依存して攻撃しているからになります。

  • HTTP/2 リクエストのフラッド
  • ピーク時は 1 億 5,500 万 RPS 以上
  • Amazon CloudFront の自動軽減

AWSの到達範囲と規模を活用して驚異の検出を行う

  • 60秒ごとに分析されるエクサバイトのデータ
  • 1日に処理される1,000億件以上の AWS 管理ルールのリクエスト
  • 毎日何千もの DDoS 攻撃が軽減されます
  • 50か国の100以上の都市に600以上の拠点

私たちのミッション

Amazon のインフラストラクチャと顧客を保護し、AWSをサイバー攻撃の魅力的なターゲットにしない

AWS WAF の動作について

AWS リソースへのアクセスがあった際に AWS WAF は動作をし、定義されたルールに基づいて通信の許可(Allow)および拒否(Deny)を行ないます。
定義されるルールは IP アドレスやヘッダーなど様々な条件に基づいて、設定をすることが可能です。

AWS WAF のダッシュボード

昨日のアップデートにより WAF のダッシュボードが新しくなっております。
不正アクセスや異常検知などの可視化を行なうために役立ちます。

Shield Advanced による DDos からの保護

Shield Advanced は24 時間365 日の DDoS サポートを含む DDoS 保護のアップグレードオプション (有料) となります。
料金は月額$3,000となり、親アカウントで契約している場合には子アカウントでに追加料金なしで有効化することができます。

  • ミッションクリティカルなアプリケーション向けのプレミアム L3-7 DDoS 保護
  • AWS Shield Response Team (SRT) による 24時間年中無休のサポート、アラート通知、脅威ダッシュボード
  • 適応型 L3~ 4保護、L7 異常検出、健全性ベースの検出、プロアクティブなイベント対応、およびL7自動緩和
  • AWS WAF、ファイアウォールマネージャー、攻撃時のスケーリングのコスト保護

DDoS 保護のベストプラクティス

  • AWS WAF
    • AWS WAF で IPレピュテーションベースのルールを有効にする
    • AWS WAF でレートベースのルールを有効にする
    • 該当する場合、地域ブロック/制限/チャレンジ
  • AWS Shield Advanced
    • AWS Shield Advanced によるプロアクティブなエンゲージメントを使用する
    • アプリケーションの実際のヘルスチェックを作成して使用する
    • L7自動ルール作成を有効にする (L7自動軽減策)

まとめ

  • 普段、なかなか聞くことのできない Shield Advanced についてのベストプラクティス等が聞けたので良かったです。
  • そして新しくなった AWS WAF のダッシュボードについてもまだ確認できてなかったので、詳しい情報を知れる良い機会となりました!