Slide 1

Slide 1 text

DDoS攻撃への対策できてますか? NRIグループre:Cap 2024 ~NRIネットコム TECH AND DESIGN STUDY #53~ 2024年12月23日 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原 航

Slide 2

Slide 2 text

1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報 ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 3

Slide 3 text

2 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃への対策できてますか? #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 4

Slide 4 text

3 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは 01 ベストプラクティス構成の紹介 02 各サービス紹介 03 最後に 04 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 5

Slide 5 text

4 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは? ◼ DDoS攻撃とは? ⚫ 大量のIPアドレスからパブリックなエンドポイントに対して、大量にリクエストを送信する攻撃 ⚫ 攻撃されると正常ユーザへの影響が発生 • アプリケーションの処理遅延 • 5XXエラー増加 • レイテンシー増加 • 名前解決不可 ⚫ 攻撃対象はネットワークレイヤよりアプリケーションレイヤへの攻撃が多い #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃者 一般ユーザ AWS Cloud

Slide 6

Slide 6 text

5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ベストプラクティス構成の紹介 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 7

Slide 7 text

6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 基本的なことは省略 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ②ELBを使った 負荷分散 ①Route53を 使ったDNS ③Auto Scaling でスケールアウト

Slide 8

Slide 8 text

7 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話する部分 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 9

Slide 9 text

8 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 10

Slide 10 text

9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ コンテンツキャッシュの利用 ⚫ エッジロケーションからレスポンスを返してくれる ◼ エラーコードのキャッシュ ⚫ オリジンから出されたエラーコードをCloudFront側でキャッシュできる ◼ 地理的制限を使ったブロック ⚫ サービス提供を想定していない国のブロックする ⚫ WAFの地理的一致ルールを優先して利用する • WAFでブロックされたCloudFrontへの通信料金が課金されなくなった(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 11

Slide 11 text

10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ CloudFrontのオリジン保護 ⚫ ALBのSGでCloudFrontのみを通すようにプレフィックスを設定 ⚫ VPCオリジン機能でプライベートサブネット内のALBへの接続も可能(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Managed Prefix Listsで CloudFrontのIPアドレスからのみ許可 VPCオリジン機能で Private subnet内のLBと接続

Slide 12

Slide 12 text

11 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS WAF) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 13

Slide 13 text

12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ カウントモードで検知してからブロックに移行 ⚫ どのようなリクエストをブロックできるかをカウントモードで検証してからブロック ◼ AWSマネージドルールの利用 ⚫ AWSManagedRulesCommonRuleSetはOWASP TOP10に関するルールが含まれてる ⚫ IPReputationListは悪意あるIPをブロックしてくれる ◼ レートベースブロックを使う ⚫ X分間でY回以上のリクエストをブロックすることができる ◼ 地理的ブロックやbot controlを必要に応じて利用 ⚫ ログを有効化し、悪意あるリクエストの傾向を把握する サービス紹介(AWS WAF) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 14

Slide 14 text

13 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS Shield) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 15

Slide 15 text

14 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ AWS Shield Standard ⚫ インターネットに面したAWSリソースに対して、追加料金無しで自動的に保護してくれる ⚫ クライアントからのリクエストがAWSのインフラに入る際にモニタリング ⚫ L3とL4のネットワークレイヤやトランスポートレイヤに対する攻撃に有効 ◼ AWS Shield Advanced ⚫ マネージドなDDoS対策のサービス ⚫ 24/265でAWS Shieldチーム(SRT)が付いてくれる ⚫ SRTがWAFのルールカスタマイズもしてくれるので、L7へのDDoS緩和も可能 ⚫ 月額3000$(1年契約縛り) サービス紹介(AWS Shield) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

Slide 16

Slide 16 text

15 Copyright(C) NRI Netcom, Ltd. All rights reserved. まとめ #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの 処理性能を上げる 悪意あるユーザをブロックし、 オリジンの負荷を軽減させる

Slide 17

Slide 17 text

16 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 実際にDDoS攻撃されているときは体制も大事 ◼ インシデント報告書作成のための記録を残す ⚫ CloudTrailログの保管(行動履歴) ⚫ 各AWSサービスのメトリクスやログの保管(前後の状況把握) ◼ どういう基準でインシデントを終了とするか? セッションで話されてた他の内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ホワイトペーパー https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices- ddos-resiliency/aws-best-practices-ddos-resiliency.html

Slide 18

Slide 18 text

No content