DDoS攻撃への対策できてますか？ NRIグループre:Cap 2024 ～NRIネットコム TECH AND DESIGN STUDY #53～ 2024年12月23日 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原 航

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 基本情報 ⚫ 梅原 航（うめはら こう） ⚫ NRIネットコム株式会社 Webインテグレーション事業部（@大阪） ⚫ AWSを使ったシステムのインフラ開発･運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃への対策できてますか？ #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは 01 ベストプラクティス構成の紹介 02 各サービス紹介 03 最後に 04 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは？ ◼ DDoS攻撃とは？ ⚫ 大量のIPアドレスからパブリックなエンドポイントに対して、大量にリクエストを送信する攻撃 ⚫ 攻撃されると正常ユーザへの影響が発生 • アプリケーションの処理遅延 • 5XXエラー増加 • レイテンシー増加 • 名前解決不可 ⚫ 攻撃対象はネットワークレイヤよりアプリケーションレイヤへの攻撃が多い #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃者 一般ユーザ AWS Cloud

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. ベストプラクティス構成の紹介 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 基本的なことは省略 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ②ELBを使った 負荷分散 ①Route53を 使ったDNS ③Auto Scaling でスケールアウト

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 本日お話する部分 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（Amazon CloudFront） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ コンテンツキャッシュの利用 ⚫ エッジロケーションからレスポンスを返してくれる ◼ エラーコードのキャッシュ ⚫ オリジンから出されたエラーコードをCloudFront側でキャッシュできる ◼ 地理的制限を使ったブロック ⚫ サービス提供を想定していない国のブロックする ⚫ WAFの地理的一致ルールを優先して利用する • WAFでブロックされたCloudFrontへの通信料金が課金されなくなった（new） サービス紹介（Amazon CloudFront） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ CloudFrontのオリジン保護 ⚫ ALBのSGでCloudFrontのみを通すようにプレフィックスを設定 ⚫ VPCオリジン機能でプライベートサブネット内のALBへの接続も可能（new） サービス紹介（Amazon CloudFront） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Managed Prefix Listsで CloudFrontのIPアドレスからのみ許可 VPCオリジン機能で Private subnet内のLBと接続

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（AWS WAF） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ カウントモードで検知してからブロックに移行 ⚫ どのようなリクエストをブロックできるかをカウントモードで検証してからブロック ◼ AWSマネージドルールの利用 ⚫ AWSManagedRulesCommonRuleSetはOWASP TOP10に関するルールが含まれてる ⚫ IPReputationListは悪意あるIPをブロックしてくれる ◼ レートベースブロックを使う ⚫ X分間でY回以上のリクエストをブロックすることができる ◼ 地理的ブロックやbot controlを必要に応じて利用 ⚫ ログを有効化し、悪意あるリクエストの傾向を把握する サービス紹介（AWS WAF） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（AWS Shield） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ AWS Shield Standard ⚫ インターネットに面したAWSリソースに対して、追加料金無しで自動的に保護してくれる ⚫ クライアントからのリクエストがAWSのインフラに入る際にモニタリング ⚫ L3とL4のネットワークレイヤやトランスポートレイヤに対する攻撃に有効 ◼ AWS Shield Advanced ⚫ マネージドなDDoS対策のサービス ⚫ 24/265でAWS Shieldチーム（SRT）が付いてくれる ⚫ SRTがWAFのルールカスタマイズもしてくれるので、L7へのDDoS緩和も可能 ⚫ 月額3000$（1年契約縛り） サービス紹介（AWS Shield） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの 処理性能を上げる 悪意あるユーザをブロックし、 オリジンの負荷を軽減させる

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 実際にDDoS攻撃されているときは体制も大事 ◼ インシデント報告書作成のための記録を残す ⚫ CloudTrailログの保管（行動履歴） ⚫ 各AWSサービスのメトリクスやログの保管（前後の状況把握） ◼ どういう基準でインシデントを終了とするか？ セッションで話されてた他の内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ホワイトペーパー https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices- ddos-resiliency/aws-best-practices-ddos-resiliency.html

No content