AWS Shieldのご紹介 Managed DDoS Protection
-
Upload
amazon-web-services-japan -
Category
Technology
-
view
1.151 -
download
0
Transcript of AWS Shieldのご紹介 Managed DDoS Protection
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Introduction to the Service: December 21, 2016
アマゾンウェブサービスジャパン
技術本部 シニアマネージャー プリンシパルソリューションアーキテクト
荒木靖宏 ([email protected])
AWS Shieldのご紹介Managed DDoS Protection
DDoS攻撃の種別
State-exhaustion DDoS attacks
TCP SYN flood等。ファイヤウォールや、IPS,ロードバランサ
などの状態を管理しなければならないプロトコルに負荷をかける
DDoS攻撃の種別
Application-layer DDoS attacks
一見、適切に構成されているが悪意のある要求を使用して、アプリケー
ションリソースを消費する例えば、HTTP GET、DNSクエリフ
ラッド
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%Volumetric
20%State exhaustion
15%Application layer
DDoS攻撃の種別
Volumetric State exhaustion Application layer
SSDP reflectionが一番多い反射攻撃はSignatureが明確だが、
トラフィックは一番使う
65%Volumetric
20%State exhaustion
15%Application layer
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%Volumetric
20%State exhaustion
15%Application layer他に頻回に観測されるもの:
NTP reflection, DNS
reflection, Chargen reflection,
SNMP reflection
DDoS攻撃の種別
Volumetric State exhaustion Application layer
SYN floods は実際の接続としての振る舞いに見える
平均ボリュームは大きく、実際のユーザーが接続を確立できなくする
65%Volumetric
20%State exhaustion
15%Application layer
DDoS攻撃の種別
Volumetric State exhaustion Application layer
DNSクエリ溢れは、リアルなDNSリクエスト
数時間に渡り続けることで、DNSサーバのリソース枯渇させることができる
65%Volumetric
20%State exhaustion
15%Application layer
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%Volumetric
20%State exhaustion
15%Application layer
他に頻回に観測されるもの:
HTTP GET flood, Slowloris
DDoS攻撃の緩和における課題
Traditional
Datacenter
マニュアルでの対策
緩和を開始するにはオペレータの関与が
必須
離れたスクライビング場所からどうやってトラフィック
を誘導する?
軽減のための時間増加
一般的なインフラストラクチャ攻撃に対する保護
SYN / ACK flood、UDP flood、反射攻撃など
追加費用なし
DDoS mitigation
systems
DDoS Attack
Users
DDoS防御はAWSに予め組み込まれている
こんなお客様の声
AWSはDDoSからまもってくれるのか?
大きなDDoSによって何が起こるのか?
どんな攻撃をうけているのかしることができるのか?
AWSはアプリレイヤのDDoS攻撃からもまもってくれるのか?
DDoS攻撃へのスケーリングは金がかかりすぎる
DDoSのエキスパートと話をしたい
AWS Shield
Standard Protection Advanced Protection
全てのAWSユーザに適用
無料
より大規模な、より洗練された攻撃からの防御を提供する
有料のサービス
AWS Shield Standard
Layer 3/4 protection
よくある攻撃(SYN/UDPフ
ラッド、反射攻撃等)からの
防御
自動検知&自動緩和
AWSサービスにビルトイン
済
Layer 7 protection
Layer 7のDDoS攻撃への
緩和はAWS WAFで行う
セルフサービス
使った分だけの支払い
AWS Shield Standard
AWSでアプリケーションを動かすことで得るもの
プロプライエタリのBlackWatchシステムをつかった緩和策追加
緩和のためのキャパシティ追加
検知と緩和を継続的に改善する
追加コスト無し
AWS Shield Advanced
AWSへの統合
インフラ変更なくDDoS対策でき
る
手頃な価格コストと品質のトレードオフ無し
柔軟アプリのためにカスタマイズされ
た保護
Allways-On
アプリへのレイテンシは最小限
4つの柱
AWS Shield Advanced
Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53
現在提供中のサービス
AWS Shield Advanced
Always-on monitoring &
detection
Advanced L3/4 & L7 DDoS
protection
Attack notification and
reporting
24x7 access to DDoS
Response Team
AWS bill protection
Layer 3/4 infrastructure protection
不正な形式のTCPパケットを自動的にフィルタリング
IP checksum
TCP valid flags
UDP ペイロード長
DNS 要求の検証
決定論的フィルタリング
疑わしくない
通常のパケット、リクエストヘッダ
ソーストラフィックの内容、量は典型的
デスティネーションが適切
疑わしい
疑わしいパケットまたは要求ヘッダーヘッダ属性によるトラフィックのエントロピートラフィックソースとボリュームでエントロピートラフィックソースの評判が悪い宛先に無効なトラフィックキャッシュ無効化属性によるリクエスト
Layer 3/4 infrastructure protection
スコアリングに基づくトラフィックの優先順位付け
Layer 3/4 infrastructure protection
• インライン検査とスコアリング
• 優先度の低い(攻撃)トラフィックを優先的に破棄
• 偽陽性は回避され、正当な利用は保護
High-suspicion
packets dropped
Low-suspicion
packets retained
スコアリングに基づくトラフィックの優先順位付け
Layer 3/4 infrastructure protection
分散スクラビングと余裕をもった帯域幅大規模な攻撃を吸収する自動ルーティングポリシー手動トラフィックエンジニアリング
大規模で洗練されたDDoS攻撃のための追加の容量をインラインを提供
高度なルーティングポリシー
1. AWS DDoS Response Team (DRT)を依頼
2. DRTは攻撃に優先度を付ける
3. DRTは、AWS WAFルールの作成を支援
AWS WAF – Layer 7 application protection
DDoS エキスパートによる対応
AWS WAF – Layer 7 application protection
1. Always-OnモニタリングがDRTを呼び出す
2. DRTが積極的に分類(トリアージ)
3. DRTがAWS WAFルールを作成(事前承認が必要です)
積極的なDRT関与
攻撃通知とレポート
Attack monitoring
and detection
CloudWatchを経由してリアルタイム通知
ニアリアルタイムメトリクスと攻撃のフォレンジクスのため
のパケットキャプチャ
時系列の攻撃レポート
24x7でのDDoS Response Teamへのアクセス
クリティカルで緊急の優先順位のケースはすぐに回答され、DDoSの専門家に直接ルーティングされます
複雑なケースは、AWSだけでなく、Amazon.comやその子会社の保護に深い経験を持つAWS DDoS Response Team(DRT)にエスカレーションすることができます
24x7でのDDoS Response Teamへのアクセス
Before Attack
コンサルテーションとベストプラクティス提供
During Attack
攻撃からの緩和
After Attack
事後分析
AWS cost protection
DDoS攻撃によるスケーリングコストは請求しません
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• Amazon Route 53
No commitment
No additional cost
AWS DDoS Shield: 価格
1年の利用コミット
月額費用: $3,000
+Data transfer fees
Data Transfer Price ($ per GB)
CloudFront ELB
First 100 TB $0.025 0.050
Next 400 TB $0.020 0.040
Next 500 TB $0.015 0.030
Next 4 PB $0.010 Contact Us
Above 5 PB Contact Us Contact Us
Standard Protection Advanced Protection