Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【JAWS-UG朝会】AWS ShieldAdvancedのTips
Search
Daisuke Endo
June 20, 2023
Technology
1
550
【JAWS-UG朝会】AWS ShieldAdvancedのTips
JAWS-UG朝会#46で発表させていただいた内容になります。
誤った情報があればご指摘いただけますと幸いです。
Daisuke Endo
June 20, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
コードや知識を組み込む / Incorporate Code and knowledge
ks91
PRO
0
180
データ基盤を支える技術
chanyou0311
5
2.8k
知識と実践を紡ぐGenAI / Connecting Knowledge and experience with GenAI
aki_moon
2
110
【基本】データベース設計
oracle4engineer
PRO
2
300
開発スピードの維持向上を支える、テスト設計の 漸進的進化への取り組み / Continuous Test Design Development for Speed of Product Development
ropqa
0
170
高専で制御を、大学でセンシングを学び、次は脳みそ
satoshirobatofujimoto
0
120
TypeScript の抽象構文木を用いた、数百を超える API の大規模リファクタリング戦略
yanaemon
4
960
CockroachDB はどのくらい「しぶとい」のか? / How tough is CockroachDB?
kota2and3kan
13
4.7k
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
4k
LLM評価の落とし穴~開発者目線で気をつけるポイント~
rishigami
7
1.7k
Max out Local LLM in Challenging Environments
sashimimochi
2
230
Amplify 🩷 Bedrock 〜生成AI入門〜
minorun365
PRO
10
1.2k
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k
Writing Fast Ruby
sferik
622
60k
It's Worth the Effort
3n
180
27k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.7k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Fireside Chat
paigeccino
22
2.7k
Web development in the modern age
philhawksworth
203
10k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
245
20k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
80
44k
Transcript
© 2023 NTT DATA i CORPORATION Shield AdvancedのTips 2023年6月20日 JAWS-UG朝会#46
株式会社NTTデータ・アイ 遠藤 大介
© 2023 NTT DATA i CORPORATION 2 自己紹介 プロフィール •
遠藤 大介 • 社会人3年目 所属・業務内容 • 株式会社NTTデータ・アイ • AWS基盤の設計・開発 • 幅広く携わりましたがセキュリティサービスの経験が多いです 好きなAWSサービス • AWS CloudTrail • AWS WAF 一言 AWS Summit Tokyoに参加して、 社外の方との交流も重要と感じました。 積極的に社外のイベントにも参加していきたいと思います!
© 2023 NTT DATA i CORPORATION 3 © 2023 NTT
DATA Corporation 3 サービスの説明
© 2023 NTT DATA i CORPORATION 4 AWS Shieldとは AWSでDDoSからアプリケーションを保護するサービス
© 2023 NTT DATA i CORPORATION 5 ShieldとShield Advancedの違い Shield
Shield Advanced 保護対象のレイヤ L3, L4 L3, L4, L7 料金 無料 3,000ドル/月の年単位サブスクリプション (Organizations単位で契約可) 保護対象のサービス すべてのAWSリソース Elastic Load Balancing(ELB) Amazon CloudFront Amazon Route 53 Amazon EC2(Elastic IP) AWS Global Accelerator ※API Gatewayは対応していない セキュリティサービスとの連 携 なし AWS WAFとの統合 AWS Firewall Managerでのマルチアカウント管理 レポート・通知 なし WAFのルールと紐づけたリアルタイム通知 攻撃履歴の確認 攻撃自動緩和 L3, L4 L3, L4に加えてWAFルールでのL7の攻撃自動緩和 異常検知 なし 攻撃の統計情報から異常検知を行う サポート なし DDoS対応の専門チーム(SRT)から24/365のサポート ※ビジネスサポートかエンタープライズサポートが必要
© 2023 NTT DATA i CORPORATION 6 © 2023 NTT
DATA Corporation 6 開発・運用を通して得られたShield AdvancedのTips集
© 2023 NTT DATA i CORPORATION 7 Tips1:SRTへの問い合わせは英語でやるべし 実際にDDoSを検知してアラートが発砲された際に、SRTに問い合わせを行おうとしたが、、、 日本語でのやりとりを希望する場合は以下のような制約があり恩恵があまり得られない
制約1.SRTと直接やりとりはできず、日本のサポートエンジニア経由になる 制約2.平日の9:00~18:00までのベストエフォート対応になる DDoSを受けた際に即時でサポートを受けたい場合は、 英語で起票することで24/365の対応や直接のやり取りが可能になる もし運用側で英語でのやりとりが厳しくDDoSに対して即時で対応したい場合は、 サードパーティのWAF運用サービス(24/365日本語対応)の導入検討が必要
© 2023 NTT DATA i CORPORATION 8 Tips1:SRTへの問い合わせは英語でやるべし SRTチーム 英語サポート希望者
日本語サポート希望者 日本語対応の サポートエンジニア • SRTチームと直接やりとり可能 • チャットと通話が可能 • SRTチームと直接やりとり不可 • サポートエンジニア経由になるので タイムラグあり
© 2023 NTT DATA i CORPORATION 9 Tips2:WAFログ用バケットの暗号化方式には気を付けるべし SRTチーム用のWAFアクセス権限を与えることで、DDoS時に対応するカスタムWAFルール作成のサポートを受けられる その際WAFログを保存するS3バケットで暗号化を行う場合はSSE-S3にする必要がある(SSE-KMS不可)
SRTチーム SSE-KMS 暗号化バケット SSE-S3 暗号化バケット SRTチーム用IAMロール SRTチームがWAFログに アクセスできない
© 2023 NTT DATA i CORPORATION 10 Tips3:WAFのルールは惜しまず活用すべし Shield Advancedを有効にしているリソースは、統合しているWAFの基本料金が含まれる
1500WCUまでは追加料金がかからないので、必要なルールは適用していくのがベスト ※1500WCUを超過したり、Bot Controlなどは別途料金がかかるので注意 サブスクリプション料金 3,000ドル/月 WAFの基本料金 • Web ACL:5ドル/月 • ルール数:1ドル/月 • リクエスト数:0.6ドル/100万件
© 2023 NTT DATA i CORPORATION 11 Tips4:API Gatewayは可能であればCloudFrontと統合して利用するべし API
GatewayはWAFと統合することができるがShield Advancedとの統合はできない Shield Advancedの機能を利用したい場合はCloudFrontと統合して利用する API Gateway API Gateway CloudFront WAF WAF Shield Advancedとの統合不可 Shield Advancedとの統合可
© 2023 NTT DATA i CORPORATION 12 【Tips4】【参考】API Gatewayスロットリング機能との比較 API
Gatewayのスロットリングを利用してDDoS対策を行うことも可能ですが、 Shield Advancedを有効化している場合はCloudFrontと統合することをオススメします 比較ポイント Shield Advanced API Gatewayスロットリング WAFの料金 Shield Advancedと統合しているので 基本料金は発生しない 基本料金が発生する 通知機能実装方式 Shield Advancedを設定する際に通知用 のSNSトピックを指定する (CloudWatchアラームは自動作成) CloudWatchのサブスクリプションフィルター を利用するためLambdaの開発が必要に なる サポート機能 Shield Advancedと統合しているので SRTによるサポートが受けられる Shield Advancedと統合していないので SRTによるサポートがない 制御する機能 • WAFのレートベースルール • 自動緩和ルール • SRTによるカスタムルール • APIキーと使用量に基づくスロットリング • リージョンごとのアカウントレベルの スロットリング • メソッドレベルでのスロットリング APIキーで有料プラン・無料プランでの異なるアクセス数制限などAPI Gateway特 有のカスタマイズはスロットリング機能のほうが便利かと思います。 目的がDDoS対策かつ、Organizations単位で有効化している場合やほかのリ ソースで大規模DDoS対策をするために有効化している場合は、API Gateway も併せてShield Advancedを利用するほうが実装が容易であったり、サポート機 能も充実しているのでオススメです。
© 2023 NTT DATA i CORPORATION 13 ご清聴ありがとうございました
© 2023 NTT DATA i CORPORATION 14 © 2023 NTT
DATA Corporation 14 参考リンク集
© 2023 NTT DATA i CORPORATION 15 参考リンク集 • Shield
Advancedの日本語サポートに関する制約 https://aws.amazon.com/jp/premiumsupport/jp_shield_support/ • SRTへWAFログアクセス権限を与える際の留意点について https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-srt-access.html • Shield Advancedの料金 https://aws.amazon.com/jp/shield/pricing/
© 2023 NTT DATA i CORPORATION