DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey

by becominn

Slide 1

Slide 1 text

DDoS攻撃をAWSサービスだけで緩和する⽅法をまとめてみた 2024.7.11 AWS事業本部サービス開発室べこみん

Slide 2

Slide 2 text

Xへの投稿の際は、ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

Slide 3

Slide 3 text

3 自己紹介べこみん（ X: @beco_minn） 2024 Japan AWS Top Engineers (Security) 2023/2024 Japan AWS All Certifications Engineers • 好きなAWSサービス: AWS Security Hub、AWS WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと

Slide 4

Slide 4 text

⽬次 1. 本セッションについて 2. DDoS攻撃とは 3. AWSにおけるDDoS攻撃耐性の上げ⽅ 3.1. AWS Shield 3.2. AWS Best Practices for DDoS Resiliency 4. まとめ 4

Slide 5

Slide 5 text

本セッションについて 5

Slide 6

Slide 6 text

本セッションについて話すこと ● DDoS攻撃とは何か ● AWSにおいて、DDoS攻撃からサービスを守るためには何をすれば良いのか ○ AWSのホワイトペーパー「AWS Best Practices for DDoS Resiliency」をベースに話さないこと ● DDoS攻撃対応サービスの具体的な設定 6

Slide 7

Slide 7 text

DDoS攻撃とは 7

Slide 8

Slide 8 text

皆さん、 DDoS攻撃って知ってますか？ 8

Slide 9

Slide 9 text

DDoS攻撃とは Distributed Denial of Service Attack →分散型サービス拒否攻撃そもそものDoS攻撃 9 引⽤元: AWS Best Practices for DDoS Resiliency サービス停⽌

Slide 10

Slide 10 text

DDoS攻撃とは 10 引⽤元: AWS Best Practices for DDoS Resiliency サービス停⽌

Slide 11

Slide 11 text

DDoS攻撃とは⼀⼝にDDoS攻撃といっても攻撃⼿法は様々 ● インフラストラクチャ層(L3, L4)を狙った攻撃 ○ e.g.) SYNフラッド、UDPフラッド ● アプリケーション層(L6, L7)を狙った攻撃 ○ e.g.) HTTPフラッド(GET/POST) ● DNSサーバーを狙った攻撃 ○ e.g.) DNSフラッドなど 11

Slide 12

Slide 12 text

DDoS攻撃の⽬的 ● 競合サイトへの営業妨害 ● 愉快犯による嫌がらせ ○ EDoS（Economic Denial of Sustainability Attack） ● ⾝代⾦要求（ランサムDDoS） ● 他のサイバー攻撃のための⽬隠し 12

Slide 13

Slide 13 text

最近のDDoS攻撃の特徴各セキュリティベンダーのDDoSレポートによると ● Mirai派⽣型のボットネット ○ 2016年頃に流⾏ったIoTマルウェア（Mirai）の派⽣型が未だに利⽤されている ● 地政学的な紛争などにより増加する ○ 近年だとウクライナとロシア、イスラエルとパレスチナ間でDDoSのようなリクエストが増加している 13

Slide 14

Slide 14 text

AWSにおける DDoS攻撃耐性の上げ⽅ 14

Slide 15

Slide 15 text

AWSのホワイトペーパー 15 AWS Best Practices for DDoS Resiliency

Slide 16

Slide 16 text

その前に... 16

Slide 17

Slide 17 text

AWS Shield AWSでDDoS対策といえば ● AWS Shield Standard ● AWS Shield Advanced 17

Slide 18

Slide 18 text

AWS Shield Standard ● 透過的に有効化されている、無料のインフラ層 (L3, L4) DDoS攻撃緩和サービス ● ユーザーは特に意識する必要無し 18

Slide 19

Slide 19 text

AWS Shield Standard ⼀応ダッシュボードがあります。 ● グローバルにおける直近2週間までのL3, L4 DDoS攻撃の傾向 19

Slide 20

Slide 20 text

AWS Shield Standard ⼀応ダッシュボードがあります。 ● ⾃分のアカウント全体へのL3, L4 DDoS攻撃回数など 20 ブログはこちら

Slide 21

Slide 21 text

AWS Shield Advanced ● AWS最強のL7 DDoS攻撃緩和サービス ● DDoS対策専⾨のチームが24/365で対応 ● AWS WAFのルール作成、運⽤もやってくれる ● ⽉額約45万円の年間契約必須 ○ つまり年間約600万円 ○ ただし、この料⾦に保護するAWS WAFの料⾦も含まれる ○ そのためWAFの料⾦が上記を超えるような⼤規模なサービスの場合、導⼊は勿論あり ○ DDoS攻撃によって発⽣したEC2, ELB, CloudFront, Global Accelerator, Route53の⾼騰料⾦を吸収してくれる 21

Slide 22

Slide 22 text

改めまして、 AWSにおける DDoS攻撃耐性の上げ⽅ 22

Slide 23

Slide 23 text

AWSのホワイトペーパー 23 AWS Best Practices for DDoS Resiliency

Slide 24

Slide 24 text

どういう対策があるのか⼤きく分けて2つ ● 攻撃対象領域(アタックサーフェス)の縮⼩ ○ そもそも攻撃(アクセス)させない ● 攻撃の緩和 ○ DDoS攻撃を完全に防ぐのは難しい ○ なので、可能な限り緩和する 24

Slide 25

Slide 25 text

EC2 インスタンス ALB アクセスポイントの制限、リソースの難読化攻撃対象領域の縮⼩ 25 例えば...

Slide 26

Slide 26 text

攻撃対象領域の縮⼩ 1. Security Group、Network ACLの利⽤ 2. CloudFrontを利⽤したオリジンの保護 ● カスタムヘッダーを活⽤して、CloudFrontディストリビューションからのみオリジンへアクセス 3. API Gatewayを利⽤したAPIエンドポイントの保護 ● API フロントエンドのための独⾃サーバーが不要 ● 他のコンポーネントの難読化 26

Slide 27

Slide 27 text

攻撃の緩和⼤きく3つに分類 1. DDoS緩和のベストプラクティス 2. エッジロケーションを活⽤したスケーリング 3. アプリケーション層の防御 27

Slide 28

Slide 28 text

1. DDoS緩和のベストプラクティス可⽤性を⾼める A. EC2 インスタンスのスケールアップ ● ネットワークスループット性能の⾼いインスタンスタイプへの変更 ● ハードウェア専有インスタンスの利⽤ B. Auto Scalingを利⽤したスケーリング C. Elastic Load Balancerを利⽤した負荷分散 ● アプリケーションに応じてALB, NLB, CLBを検討 28

Slide 29

Slide 29 text

2. エッジロケーションを活⽤したスケーリング AWS Shield Standardの恩恵を最⼤限に享受する A. CloudFrontを利⽤したWebアプリ配信 B. Global Acceleratorによるネットワークの保護 C. Route53を利⽤する ● Route53は⾼可⽤でスケーラブル ○ Route53はAWS唯⼀のSLA 100%サービス ● NXDOMAIN攻撃対策として、Aレコードを利⽤してDNSクエリの料⾦を抑える 29

Slide 30

Slide 30 text

2. エッジロケーションを活⽤したスケーリング AWS Shield Standardの恩恵を最⼤限に享受する 30 Shield Standard AWS はすべての顧客を保護するのに役立ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、可用性についての包括的な保護を受けます。引⽤元: https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-standard-summary.html Shield Standard AWS はすべての顧客を保護するのに役⽴ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、可⽤性についての包括的な保護を受けます。

Slide 31

Slide 31 text

3. アプリケーション層の防御悪意のあるL7 リクエストの緩和、防御 A. CloudFrontの利⽤ ● CDNとしてコンテンツをキャッシュ B. AWS WAFによるフィルタリング ● レートベースのルール ● IPレピュテーションのルール ● 地理的⼀致のルール ● Bot Controlルールやアカウント周りのインテリジェントなルール C. AWS Shield Advanced 31

Slide 32

Slide 32 text

AWS WAFのIP評価ルールグループ AWSManagedRulesAmazonIpReputationList ● Amazon 内部脅威インテリジェンスに基づくルールグループ ● ボットやその他の脅威に関連付けられている IP アドレス ● DDoS アクティビティにアクティブに関与していると識別された IP アドレス「AWSManagedIPDDoSList」 AWSManagedRulesAnonymousIpList ● 匿名 IP リストのルールグループ ● アプリケーションからIDを隠そうとする、VPN、プロキシ、Tor ノード、ウェブホスティングプロバイダーなどからのリクエストを⾏うIPアドレス ● ボットを緩和出来るかも 32

Slide 33

Slide 33 text

＋運⽤も勿論⼤事！ 1. 負荷テスト ※ DDoSのテストを実施する場合のポリシーを遵守しましょう 2. メトリクスとアラーム ● AWS WAFやCloudFrontなどのメトリクスを⾒ることで、異常を検知 ● ホワイトペーパーには各サービスにおける推奨メトリクスが記載 3. ログ記録 ● 事後対応のためにも、CloudTrailやWAFのログなどは記録しておきましょう 33

Slide 34

Slide 34 text

＋運⽤も勿論⼤事！ 4. マルチアカウントにおける可視性と保護の管理 ● 複数のアカウントで⼤規模なコンポーネントを保護する場合、 Firewall ManagerやSecurity Hubで集中監視を⾏って運⽤の負荷を下げよう 5. インシデント対応戦略、⼿順書の作成 ● 証拠の収集、緩和、回復、事後分析など 6. AWSサポートの活⽤ ● サポートプランの変更など 34

Slide 35

Slide 35 text

まとめ 35

Slide 36

Slide 36 text

活⽤サービスまとめ ● このAWSサービス、機能を使おう！(ラベリングは個⼈の意⾒です) ○ MUST ■ Security Group、Network ACL ■ Auto Scaling ■ ELB(ALB, NLB, CLB) ○ SHOULD (ほぼMUST) ■ Amazon Route53 ■ Amazon API Gateway ■ Amazon CloudFront ■ AWS WAF ○ MAY ■ AWS Global Accelerator ■ AWS Shield Advanced 36

Slide 37

Slide 37 text

まとめ ● DDoS攻撃の種類は1つじゃない ○ インフラ層(L3, L4)、アプリケーション層(L6, L7)など ○ それぞれに合わせた対応が必要 ■ L3, L4の防御はAWS Shield Standardが透過的にやってくれている ● DDoS攻撃を完全に防ぐ対策なんて無い ○ 耐えるシステム作り ○ 攻撃対象領域の縮⼩やリクエストの緩和が⼤事 ○ インシデント発⽣後の対応など、運⽤の整備も⼤事 ● ビジネスへの影響や予算との兼ね合いを考慮しながら、AWSのホワイトペーパーを参考に出来ることから取り組みましょう ○ https://docs.aws.amazon.com/whitepapers/latest/aws-best-practi ces-ddos-resiliency/aws-best-practices-ddos-resiliency.html 37