【JAWS-UG朝会】AWS ShieldAdvancedのTips

Transcript

1. © 2023 NTT DATA i CORPORATION Shield AdvancedのTips 2023年6月20日 JAWS-UG朝会#46

   株式会社NTTデータ・アイ 遠藤 大介

2. © 2023 NTT DATA i CORPORATION 2 自己紹介 プロフィール •

   遠藤 大介 • 社会人3年目 所属・業務内容 • 株式会社NTTデータ・アイ • AWS基盤の設計・開発 • 幅広く携わりましたがセキュリティサービスの経験が多いです 好きなAWSサービス • AWS CloudTrail • AWS WAF 一言 AWS Summit Tokyoに参加して、 社外の方との交流も重要と感じました。 積極的に社外のイベントにも参加していきたいと思います！

3. © 2023 NTT DATA i CORPORATION 3 © 2023 NTT

   DATA Corporation 3 サービスの説明

4. © 2023 NTT DATA i CORPORATION 4 AWS Shieldとは AWSでDDoSからアプリケーションを保護するサービス

5. © 2023 NTT DATA i CORPORATION 5 ShieldとShield Advancedの違い Shield

   Shield Advanced 保護対象のレイヤ L3, L4 L3, L4, L7 料金 無料 3,000ドル/月の年単位サブスクリプション (Organizations単位で契約可) 保護対象のサービス すべてのAWSリソース Elastic Load Balancing(ELB) Amazon CloudFront Amazon Route 53 Amazon EC2(Elastic IP) AWS Global Accelerator ※API Gatewayは対応していない セキュリティサービスとの連 携 なし AWS WAFとの統合 AWS Firewall Managerでのマルチアカウント管理 レポート・通知 なし WAFのルールと紐づけたリアルタイム通知 攻撃履歴の確認 攻撃自動緩和 L3, L4 L3, L4に加えてWAFルールでのL7の攻撃自動緩和 異常検知 なし 攻撃の統計情報から異常検知を行う サポート なし DDoS対応の専門チーム(SRT)から24/365のサポート ※ビジネスサポートかエンタープライズサポートが必要

6. © 2023 NTT DATA i CORPORATION 6 © 2023 NTT

   DATA Corporation 6 開発・運用を通して得られたShield AdvancedのTips集

7. © 2023 NTT DATA i CORPORATION 7 Tips1：SRTへの問い合わせは英語でやるべし 実際にDDoSを検知してアラートが発砲された際に、SRTに問い合わせを行おうとしたが、、、 日本語でのやりとりを希望する場合は以下のような制約があり恩恵があまり得られない

   制約1.SRTと直接やりとりはできず、日本のサポートエンジニア経由になる 制約2.平日の9:00~18:00までのベストエフォート対応になる DDoSを受けた際に即時でサポートを受けたい場合は、 英語で起票することで24/365の対応や直接のやり取りが可能になる もし運用側で英語でのやりとりが厳しくDDoSに対して即時で対応したい場合は、 サードパーティのWAF運用サービス(24/365日本語対応)の導入検討が必要

8. © 2023 NTT DATA i CORPORATION 8 Tips1：SRTへの問い合わせは英語でやるべし SRTチーム 英語サポート希望者

   日本語サポート希望者 日本語対応の サポートエンジニア • SRTチームと直接やりとり可能 • チャットと通話が可能 • SRTチームと直接やりとり不可 • サポートエンジニア経由になるので タイムラグあり

9. © 2023 NTT DATA i CORPORATION 9 Tips2：WAFログ用バケットの暗号化方式には気を付けるべし SRTチーム用のWAFアクセス権限を与えることで、DDoS時に対応するカスタムWAFルール作成のサポートを受けられる その際WAFログを保存するS3バケットで暗号化を行う場合はSSE-S3にする必要がある(SSE-KMS不可)

   SRTチーム SSE-KMS 暗号化バケット SSE-S3 暗号化バケット SRTチーム用IAMロール SRTチームがWAFログに アクセスできない

10. © 2023 NTT DATA i CORPORATION 10 Tips3：WAFのルールは惜しまず活用すべし Shield Advancedを有効にしているリソースは、統合しているWAFの基本料金が含まれる

    1500WCUまでは追加料金がかからないので、必要なルールは適用していくのがベスト ※1500WCUを超過したり、Bot Controlなどは別途料金がかかるので注意 サブスクリプション料金 3,000ドル/月 WAFの基本料金 • Web ACL：5ドル/月 • ルール数：1ドル/月 • リクエスト数：0.6ドル/100万件

11. © 2023 NTT DATA i CORPORATION 11 Tips4：API Gatewayは可能であればCloudFrontと統合して利用するべし API

    GatewayはWAFと統合することができるがShield Advancedとの統合はできない Shield Advancedの機能を利用したい場合はCloudFrontと統合して利用する API Gateway API Gateway CloudFront WAF WAF Shield Advancedとの統合不可 Shield Advancedとの統合可

12. © 2023 NTT DATA i CORPORATION 12 【Tips4】【参考】API Gatewayスロットリング機能との比較 API

    Gatewayのスロットリングを利用してDDoS対策を行うことも可能ですが、 Shield Advancedを有効化している場合はCloudFrontと統合することをオススメします 比較ポイント Shield Advanced API Gatewayスロットリング WAFの料金 Shield Advancedと統合しているので 基本料金は発生しない 基本料金が発生する 通知機能実装方式 Shield Advancedを設定する際に通知用 のSNSトピックを指定する (CloudWatchアラームは自動作成) CloudWatchのサブスクリプションフィルター を利用するためLambdaの開発が必要に なる サポート機能 Shield Advancedと統合しているので SRTによるサポートが受けられる Shield Advancedと統合していないので SRTによるサポートがない 制御する機能 • WAFのレートベースルール • 自動緩和ルール • SRTによるカスタムルール • APIキーと使用量に基づくスロットリング • リージョンごとのアカウントレベルの スロットリング • メソッドレベルでのスロットリング APIキーで有料プラン・無料プランでの異なるアクセス数制限などAPI Gateway特 有のカスタマイズはスロットリング機能のほうが便利かと思います。 目的がDDoS対策かつ、Organizations単位で有効化している場合やほかのリ ソースで大規模DDoS対策をするために有効化している場合は、API Gateway も併せてShield Advancedを利用するほうが実装が容易であったり、サポート機 能も充実しているのでオススメです。

13. © 2023 NTT DATA i CORPORATION 13 ご清聴ありがとうございました

14. © 2023 NTT DATA i CORPORATION 14 © 2023 NTT

    DATA Corporation 14 参考リンク集

15. © 2023 NTT DATA i CORPORATION 15 参考リンク集 • Shield

    Advancedの日本語サポートに関する制約 https://aws.amazon.com/jp/premiumsupport/jp_shield_support/ • SRTへWAFログアクセス権限を与える際の留意点について https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-srt-access.html • Shield Advancedの料金 https://aws.amazon.com/jp/shield/pricing/

16. © 2023 NTT DATA i CORPORATION