DDoS攻撃への対策できてますか？

Transcript

1. DDoS攻撃への対策できてますか？ NRIグループre:Cap 2024 ～NRIネットコム TECH AND DESIGN STUDY #53～ 2024年12月23日

   NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原 航

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

   ⚫ 梅原 航（うめはら こう） ⚫ NRIネットコム株式会社 Webインテグレーション事業部（@大阪） ⚫ AWSを使ったシステムのインフラ開発･運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃への対策できてますか？ #nncstudy

   転載、複製、改変等、および許諾のない二次利用を禁止します

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは 01

   ベストプラクティス構成の紹介 02 各サービス紹介 03 最後に 04 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは？ ◼

   DDoS攻撃とは？ ⚫ 大量のIPアドレスからパブリックなエンドポイントに対して、大量にリクエストを送信する攻撃 ⚫ 攻撃されると正常ユーザへの影響が発生 • アプリケーションの処理遅延 • 5XXエラー増加 • レイテンシー増加 • 名前解決不可 ⚫ 攻撃対象はネットワークレイヤよりアプリケーションレイヤへの攻撃が多い #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃者 一般ユーザ AWS Cloud

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. ベストプラクティス構成の紹介 #nncstudy

   転載、複製、改変等、および許諾のない二次利用を禁止します

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 基本的なことは省略 #nncstudy

   転載、複製、改変等、および許諾のない二次利用を禁止します ②ELBを使った 負荷分散 ①Route53を 使ったDNS ③Auto Scaling でスケールアウト

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 本日お話する部分 #nncstudy

   転載、複製、改変等、および許諾のない二次利用を禁止します

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（Amazon CloudFront）

   #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ コンテンツキャッシュの利用

    ⚫ エッジロケーションからレスポンスを返してくれる ◼ エラーコードのキャッシュ ⚫ オリジンから出されたエラーコードをCloudFront側でキャッシュできる ◼ 地理的制限を使ったブロック ⚫ サービス提供を想定していない国のブロックする ⚫ WAFの地理的一致ルールを優先して利用する • WAFでブロックされたCloudFrontへの通信料金が課金されなくなった（new） サービス紹介（Amazon CloudFront） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ CloudFrontのオリジン保護

    ⚫ ALBのSGでCloudFrontのみを通すようにプレフィックスを設定 ⚫ VPCオリジン機能でプライベートサブネット内のALBへの接続も可能（new） サービス紹介（Amazon CloudFront） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Managed Prefix Listsで CloudFrontのIPアドレスからのみ許可 VPCオリジン機能で Private subnet内のLBと接続

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（AWS WAF）

    #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ カウントモードで検知してからブロックに移行

    ⚫ どのようなリクエストをブロックできるかをカウントモードで検証してからブロック ◼ AWSマネージドルールの利用 ⚫ AWSManagedRulesCommonRuleSetはOWASP TOP10に関するルールが含まれてる ⚫ IPReputationListは悪意あるIPをブロックしてくれる ◼ レートベースブロックを使う ⚫ X分間でY回以上のリクエストをブロックすることができる ◼ 地理的ブロックやbot controlを必要に応じて利用 ⚫ ログを有効化し、悪意あるリクエストの傾向を把握する サービス紹介（AWS WAF） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. サービス紹介（AWS Shield）

    #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ AWS

    Shield Standard ⚫ インターネットに面したAWSリソースに対して、追加料金無しで自動的に保護してくれる ⚫ クライアントからのリクエストがAWSのインフラに入る際にモニタリング ⚫ L3とL4のネットワークレイヤやトランスポートレイヤに対する攻撃に有効 ◼ AWS Shield Advanced ⚫ マネージドなDDoS対策のサービス ⚫ 24/265でAWS Shieldチーム（SRT）が付いてくれる ⚫ SRTがWAFのルールカスタマイズもしてくれるので、L7へのDDoS緩和も可能 ⚫ 月額3000$（1年契約縛り） サービス紹介（AWS Shield） #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの 処理性能を上げる 悪意あるユーザをブロックし、 オリジンの負荷を軽減させる

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 実際にDDoS攻撃されているときは体制も大事

    ◼ インシデント報告書作成のための記録を残す ⚫ CloudTrailログの保管（行動履歴） ⚫ 各AWSサービスのメトリクスやログの保管（前後の状況把握） ◼ どういう基準でインシデントを終了とするか？ セッションで話されてた他の内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ホワイトペーパー https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices- ddos-resiliency/aws-best-practices-ddos-resiliency.html
18. None