AWSエッジサービスでDDoS攻撃からインフラを守る

Pulisher : Managed & Support Center イ・スンヒ
Description : DDosから保護するAWSサービスの紹介

はじめに

OrganizationのネットワークインフラをDDoSイベントから保護する方法を知りたいと思い、セッションを申し込みました。

AWS Shield、AWS WAF、そしてAmazon CloudFrontを活用して、中断のない運用をサポートするDDoSに強い境界を構築する方法を学びたいと思います。AWS Shieldが使用する高度な緩和技術を活用し、総合的な保護を提供し、サービスの可用性を維持する方法を学びたいと考えています。

セッションの概要紹介

今回のセッションは上記のような流れで行われました。DDoSについてAWS側ではどのように対処しているのか、そしてDDoSを予防するためにはどのようなことを考慮する必要があるのか、さらにこれに対するベストプラクティスはどのようなものがあるのかを確認します。

AWS Shield Standardは、Webサイトやアプリケーションを標的とする最も一般的で頻繁に発生するネットワークおよびトランスポート層のDDoS攻撃を防御します。この保護機能は常にオンになっており、事前設定されており、静的なもので、レポートや分析機能を提供しません。 すべてのAWSサービスとすべてのAWSリージョンで提供されます。

DDoSに対処するためのAWSのアプローチについて説明します。

まず、AWS Shieldをネットワークに統合することでこれを行います。AWS Shieldはホスト保護製品です。

オペレーティングシステムに検出・緩和・学習機能を組み込み、エントリーポイントに関係なく異常な兆候を監視することができます。

Stateless SYN Flood mitigation技術は、受信接続を保護されたサービスに転送する前にプロキシをチェックします。これにより、有効な接続のみがアプリケーションに到達し、偽陽性からエンドユーザーを保護します。

大規模なボリュームメトリックDDoS攻撃の影響を分散または隔離する自動トラフィックエンジニアリングシステムです。 これらのサービスは、攻撃が顧客インフラに到達する前に攻撃を隔離します。これにより、サービスで保護されるシステムへの影響が軽減されます。

アプリケーションアーキテクチャ(AWS Regionまたは社内データセンター)を変更することなく、AWS WAFとの統合を通じてアプリケーション層を防御することができます。

23年11月14日、WAFコンソールから新しいダッシュボードにアクセスして、トラフィックをより効果的に監視できるようになりました。 これらのダッシュボードは、可視性を強化し、2つのタブ（「すべてのトラフィック」と「Bot Control」の2つのダッシュボードを見ることができます。

セッションを終えて

今回のセッションを通じて、AWSがDDoS攻撃に対処する方法と予防戦略について深く理解することができました。AWS Shield Standardの機能とAWS Shieldを通じたネットワーク保護方法、Automatic traffic engineeringシステムの攻撃隔離メカニズムとAWS WAFとの統合によるアプリケーション層の保護方法について学ぶことができました。

2023年11月14日に追加されたWAFコンソールの新しいダッシュボードは、トラフィック監視の可視性を高める上で重要な役割を果たすと思われます。この機能は、AWSサービスをより効果的に活用し、お客様のインフラを保護するのに役立つと期待されます。