Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【JAWS-UG朝会】AWS ShieldAdvancedのTips
Search
Daisuke Endo
June 20, 2023
Technology
1
860
【JAWS-UG朝会】AWS ShieldAdvancedのTips
JAWS-UG朝会#46で発表させていただいた内容になります。
誤った情報があればご指摘いただけますと幸いです。
Daisuke Endo
June 20, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
生成AIでセキュリティ運用を効率化する話
sakaitakeshi
0
360
MCPで変わる Amebaデザインシステム「Spindle」の開発
spindle
PRO
3
3.1k
ZOZOマッチのアーキテクチャと技術構成
zozotech
PRO
3
1.3k
2025年夏 コーディングエージェントを統べる者
nwiizo
0
120
COVESA VSSによる車両データモデルの標準化とAWS IoT FleetWiseの活用
osawa
1
220
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
ganota
1
170
なぜSaaSがMCPサーバーをサービス提供するのか?
sansantech
PRO
8
2.7k
DDD集約とサービスコンテキスト境界との関係性
pandayumi
2
270
テストを軸にした生き残り術
kworkdev
PRO
0
190
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
10k
dbt開発 with Claude Codeのためのガードレール設計
10xinc
1
830
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
3
170
Featured
See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
368
19k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
The Cult of Friendly URLs
andyhume
79
6.6k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Testing 201, or: Great Expectations
jmmastey
45
7.6k
Documentation Writing (for coders)
carmenintech
74
5k
Unsuck your backbone
ammeep
671
58k
Art, The Web, and Tiny UX
lynnandtonic
302
21k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Transcript
© 2023 NTT DATA i CORPORATION Shield AdvancedのTips 2023年6月20日 JAWS-UG朝会#46
株式会社NTTデータ・アイ 遠藤 大介
© 2023 NTT DATA i CORPORATION 2 自己紹介 プロフィール •
遠藤 大介 • 社会人3年目 所属・業務内容 • 株式会社NTTデータ・アイ • AWS基盤の設計・開発 • 幅広く携わりましたがセキュリティサービスの経験が多いです 好きなAWSサービス • AWS CloudTrail • AWS WAF 一言 AWS Summit Tokyoに参加して、 社外の方との交流も重要と感じました。 積極的に社外のイベントにも参加していきたいと思います!
© 2023 NTT DATA i CORPORATION 3 © 2023 NTT
DATA Corporation 3 サービスの説明
© 2023 NTT DATA i CORPORATION 4 AWS Shieldとは AWSでDDoSからアプリケーションを保護するサービス
© 2023 NTT DATA i CORPORATION 5 ShieldとShield Advancedの違い Shield
Shield Advanced 保護対象のレイヤ L3, L4 L3, L4, L7 料金 無料 3,000ドル/月の年単位サブスクリプション (Organizations単位で契約可) 保護対象のサービス すべてのAWSリソース Elastic Load Balancing(ELB) Amazon CloudFront Amazon Route 53 Amazon EC2(Elastic IP) AWS Global Accelerator ※API Gatewayは対応していない セキュリティサービスとの連 携 なし AWS WAFとの統合 AWS Firewall Managerでのマルチアカウント管理 レポート・通知 なし WAFのルールと紐づけたリアルタイム通知 攻撃履歴の確認 攻撃自動緩和 L3, L4 L3, L4に加えてWAFルールでのL7の攻撃自動緩和 異常検知 なし 攻撃の統計情報から異常検知を行う サポート なし DDoS対応の専門チーム(SRT)から24/365のサポート ※ビジネスサポートかエンタープライズサポートが必要
© 2023 NTT DATA i CORPORATION 6 © 2023 NTT
DATA Corporation 6 開発・運用を通して得られたShield AdvancedのTips集
© 2023 NTT DATA i CORPORATION 7 Tips1:SRTへの問い合わせは英語でやるべし 実際にDDoSを検知してアラートが発砲された際に、SRTに問い合わせを行おうとしたが、、、 日本語でのやりとりを希望する場合は以下のような制約があり恩恵があまり得られない
制約1.SRTと直接やりとりはできず、日本のサポートエンジニア経由になる 制約2.平日の9:00~18:00までのベストエフォート対応になる DDoSを受けた際に即時でサポートを受けたい場合は、 英語で起票することで24/365の対応や直接のやり取りが可能になる もし運用側で英語でのやりとりが厳しくDDoSに対して即時で対応したい場合は、 サードパーティのWAF運用サービス(24/365日本語対応)の導入検討が必要
© 2023 NTT DATA i CORPORATION 8 Tips1:SRTへの問い合わせは英語でやるべし SRTチーム 英語サポート希望者
日本語サポート希望者 日本語対応の サポートエンジニア • SRTチームと直接やりとり可能 • チャットと通話が可能 • SRTチームと直接やりとり不可 • サポートエンジニア経由になるので タイムラグあり
© 2023 NTT DATA i CORPORATION 9 Tips2:WAFログ用バケットの暗号化方式には気を付けるべし SRTチーム用のWAFアクセス権限を与えることで、DDoS時に対応するカスタムWAFルール作成のサポートを受けられる その際WAFログを保存するS3バケットで暗号化を行う場合はSSE-S3にする必要がある(SSE-KMS不可)
SRTチーム SSE-KMS 暗号化バケット SSE-S3 暗号化バケット SRTチーム用IAMロール SRTチームがWAFログに アクセスできない
© 2023 NTT DATA i CORPORATION 10 Tips3:WAFのルールは惜しまず活用すべし Shield Advancedを有効にしているリソースは、統合しているWAFの基本料金が含まれる
1500WCUまでは追加料金がかからないので、必要なルールは適用していくのがベスト ※1500WCUを超過したり、Bot Controlなどは別途料金がかかるので注意 サブスクリプション料金 3,000ドル/月 WAFの基本料金 • Web ACL:5ドル/月 • ルール数:1ドル/月 • リクエスト数:0.6ドル/100万件
© 2023 NTT DATA i CORPORATION 11 Tips4:API Gatewayは可能であればCloudFrontと統合して利用するべし API
GatewayはWAFと統合することができるがShield Advancedとの統合はできない Shield Advancedの機能を利用したい場合はCloudFrontと統合して利用する API Gateway API Gateway CloudFront WAF WAF Shield Advancedとの統合不可 Shield Advancedとの統合可
© 2023 NTT DATA i CORPORATION 12 【Tips4】【参考】API Gatewayスロットリング機能との比較 API
Gatewayのスロットリングを利用してDDoS対策を行うことも可能ですが、 Shield Advancedを有効化している場合はCloudFrontと統合することをオススメします 比較ポイント Shield Advanced API Gatewayスロットリング WAFの料金 Shield Advancedと統合しているので 基本料金は発生しない 基本料金が発生する 通知機能実装方式 Shield Advancedを設定する際に通知用 のSNSトピックを指定する (CloudWatchアラームは自動作成) CloudWatchのサブスクリプションフィルター を利用するためLambdaの開発が必要に なる サポート機能 Shield Advancedと統合しているので SRTによるサポートが受けられる Shield Advancedと統合していないので SRTによるサポートがない 制御する機能 • WAFのレートベースルール • 自動緩和ルール • SRTによるカスタムルール • APIキーと使用量に基づくスロットリング • リージョンごとのアカウントレベルの スロットリング • メソッドレベルでのスロットリング APIキーで有料プラン・無料プランでの異なるアクセス数制限などAPI Gateway特 有のカスタマイズはスロットリング機能のほうが便利かと思います。 目的がDDoS対策かつ、Organizations単位で有効化している場合やほかのリ ソースで大規模DDoS対策をするために有効化している場合は、API Gateway も併せてShield Advancedを利用するほうが実装が容易であったり、サポート機 能も充実しているのでオススメです。
© 2023 NTT DATA i CORPORATION 13 ご清聴ありがとうございました
© 2023 NTT DATA i CORPORATION 14 © 2023 NTT
DATA Corporation 14 参考リンク集
© 2023 NTT DATA i CORPORATION 15 参考リンク集 • Shield
Advancedの日本語サポートに関する制約 https://aws.amazon.com/jp/premiumsupport/jp_shield_support/ • SRTへWAFログアクセス権限を与える際の留意点について https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-srt-access.html • Shield Advancedの料金 https://aws.amazon.com/jp/shield/pricing/
© 2023 NTT DATA i CORPORATION