Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【JAWS-UG朝会】AWS ShieldAdvancedのTips
Search
Daisuke Endo
June 20, 2023
Technology
1
640
【JAWS-UG朝会】AWS ShieldAdvancedのTips
JAWS-UG朝会#46で発表させていただいた内容になります。
誤った情報があればご指摘いただけますと幸いです。
Daisuke Endo
June 20, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
「自動テストのプラクティスを効果的に学ぶためのカードゲーム」 ( #sqip2024 )
teyamagu
PRO
1
130
EitherT_with_Future
aoiroaoino
1
1k
AI でアップデートする既存テクノロジーと、クラウドエンジニアの生きる道
soracom
PRO
2
380
エンジニア視点で見る、 組織で運用されるデザインシステムにするには
shunya078
1
290
忙しい人のためのLangGraph概要まとめ
__ymgc__
1
150
強いチームを夢見て-PMからSREに転身して1年の振り返り / 20240906_bengo4_sre
bengo4com
2
830
PDF Viewer作成の今までとこれから
hunachi
0
260
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
2
170
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
40k
DuckDB雑紹介(1.1対応版)@DuckDB座談会
ktz
5
1k
Monitor GraalVM Native Apps with OpenTelemetry
logico_jp
0
120
手軽に始める? おうちサーバーのすゝめ
nyagasan
0
200
Featured
See All Featured
Designing with Data
zakiwarfel
98
5k
A Modern Web Designer's Workflow
chriscoyier
691
190k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
26
1.9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
103
48k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
29
2.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
28
1.6k
Happy Clients
brianwarren
96
6.6k
Thoughts on Productivity
jonyablonski
66
4.2k
Done Done
chrislema
180
16k
Clear Off the Table
cherdarchuk
91
320k
How to Think Like a Performance Engineer
csswizardry
16
940
10 Git Anti Patterns You Should be Aware of
lemiorhan
653
58k
Transcript
© 2023 NTT DATA i CORPORATION Shield AdvancedのTips 2023年6月20日 JAWS-UG朝会#46
株式会社NTTデータ・アイ 遠藤 大介
© 2023 NTT DATA i CORPORATION 2 自己紹介 プロフィール •
遠藤 大介 • 社会人3年目 所属・業務内容 • 株式会社NTTデータ・アイ • AWS基盤の設計・開発 • 幅広く携わりましたがセキュリティサービスの経験が多いです 好きなAWSサービス • AWS CloudTrail • AWS WAF 一言 AWS Summit Tokyoに参加して、 社外の方との交流も重要と感じました。 積極的に社外のイベントにも参加していきたいと思います!
© 2023 NTT DATA i CORPORATION 3 © 2023 NTT
DATA Corporation 3 サービスの説明
© 2023 NTT DATA i CORPORATION 4 AWS Shieldとは AWSでDDoSからアプリケーションを保護するサービス
© 2023 NTT DATA i CORPORATION 5 ShieldとShield Advancedの違い Shield
Shield Advanced 保護対象のレイヤ L3, L4 L3, L4, L7 料金 無料 3,000ドル/月の年単位サブスクリプション (Organizations単位で契約可) 保護対象のサービス すべてのAWSリソース Elastic Load Balancing(ELB) Amazon CloudFront Amazon Route 53 Amazon EC2(Elastic IP) AWS Global Accelerator ※API Gatewayは対応していない セキュリティサービスとの連 携 なし AWS WAFとの統合 AWS Firewall Managerでのマルチアカウント管理 レポート・通知 なし WAFのルールと紐づけたリアルタイム通知 攻撃履歴の確認 攻撃自動緩和 L3, L4 L3, L4に加えてWAFルールでのL7の攻撃自動緩和 異常検知 なし 攻撃の統計情報から異常検知を行う サポート なし DDoS対応の専門チーム(SRT)から24/365のサポート ※ビジネスサポートかエンタープライズサポートが必要
© 2023 NTT DATA i CORPORATION 6 © 2023 NTT
DATA Corporation 6 開発・運用を通して得られたShield AdvancedのTips集
© 2023 NTT DATA i CORPORATION 7 Tips1:SRTへの問い合わせは英語でやるべし 実際にDDoSを検知してアラートが発砲された際に、SRTに問い合わせを行おうとしたが、、、 日本語でのやりとりを希望する場合は以下のような制約があり恩恵があまり得られない
制約1.SRTと直接やりとりはできず、日本のサポートエンジニア経由になる 制約2.平日の9:00~18:00までのベストエフォート対応になる DDoSを受けた際に即時でサポートを受けたい場合は、 英語で起票することで24/365の対応や直接のやり取りが可能になる もし運用側で英語でのやりとりが厳しくDDoSに対して即時で対応したい場合は、 サードパーティのWAF運用サービス(24/365日本語対応)の導入検討が必要
© 2023 NTT DATA i CORPORATION 8 Tips1:SRTへの問い合わせは英語でやるべし SRTチーム 英語サポート希望者
日本語サポート希望者 日本語対応の サポートエンジニア • SRTチームと直接やりとり可能 • チャットと通話が可能 • SRTチームと直接やりとり不可 • サポートエンジニア経由になるので タイムラグあり
© 2023 NTT DATA i CORPORATION 9 Tips2:WAFログ用バケットの暗号化方式には気を付けるべし SRTチーム用のWAFアクセス権限を与えることで、DDoS時に対応するカスタムWAFルール作成のサポートを受けられる その際WAFログを保存するS3バケットで暗号化を行う場合はSSE-S3にする必要がある(SSE-KMS不可)
SRTチーム SSE-KMS 暗号化バケット SSE-S3 暗号化バケット SRTチーム用IAMロール SRTチームがWAFログに アクセスできない
© 2023 NTT DATA i CORPORATION 10 Tips3:WAFのルールは惜しまず活用すべし Shield Advancedを有効にしているリソースは、統合しているWAFの基本料金が含まれる
1500WCUまでは追加料金がかからないので、必要なルールは適用していくのがベスト ※1500WCUを超過したり、Bot Controlなどは別途料金がかかるので注意 サブスクリプション料金 3,000ドル/月 WAFの基本料金 • Web ACL:5ドル/月 • ルール数:1ドル/月 • リクエスト数:0.6ドル/100万件
© 2023 NTT DATA i CORPORATION 11 Tips4:API Gatewayは可能であればCloudFrontと統合して利用するべし API
GatewayはWAFと統合することができるがShield Advancedとの統合はできない Shield Advancedの機能を利用したい場合はCloudFrontと統合して利用する API Gateway API Gateway CloudFront WAF WAF Shield Advancedとの統合不可 Shield Advancedとの統合可
© 2023 NTT DATA i CORPORATION 12 【Tips4】【参考】API Gatewayスロットリング機能との比較 API
Gatewayのスロットリングを利用してDDoS対策を行うことも可能ですが、 Shield Advancedを有効化している場合はCloudFrontと統合することをオススメします 比較ポイント Shield Advanced API Gatewayスロットリング WAFの料金 Shield Advancedと統合しているので 基本料金は発生しない 基本料金が発生する 通知機能実装方式 Shield Advancedを設定する際に通知用 のSNSトピックを指定する (CloudWatchアラームは自動作成) CloudWatchのサブスクリプションフィルター を利用するためLambdaの開発が必要に なる サポート機能 Shield Advancedと統合しているので SRTによるサポートが受けられる Shield Advancedと統合していないので SRTによるサポートがない 制御する機能 • WAFのレートベースルール • 自動緩和ルール • SRTによるカスタムルール • APIキーと使用量に基づくスロットリング • リージョンごとのアカウントレベルの スロットリング • メソッドレベルでのスロットリング APIキーで有料プラン・無料プランでの異なるアクセス数制限などAPI Gateway特 有のカスタマイズはスロットリング機能のほうが便利かと思います。 目的がDDoS対策かつ、Organizations単位で有効化している場合やほかのリ ソースで大規模DDoS対策をするために有効化している場合は、API Gateway も併せてShield Advancedを利用するほうが実装が容易であったり、サポート機 能も充実しているのでオススメです。
© 2023 NTT DATA i CORPORATION 13 ご清聴ありがとうございました
© 2023 NTT DATA i CORPORATION 14 © 2023 NTT
DATA Corporation 14 参考リンク集
© 2023 NTT DATA i CORPORATION 15 参考リンク集 • Shield
Advancedの日本語サポートに関する制約 https://aws.amazon.com/jp/premiumsupport/jp_shield_support/ • SRTへWAFログアクセス権限を与える際の留意点について https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-srt-access.html • Shield Advancedの料金 https://aws.amazon.com/jp/shield/pricing/
© 2023 NTT DATA i CORPORATION