AWS Shieldのご紹介 Managed DDoS Protection

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Introduction to the Service: December 21, 2016

アマゾンウェブサービスジャパン

技術本部シニアマネージャープリンシパルソリューションアーキテクト

荒木靖宏（[email protected])

AWS Shieldのご紹介Managed DDoS Protection

DDoSとは?

DDoS 101

DDoSとは？

Distributed Denial Of Service

DDoS攻撃の種別

DDoS攻撃の種別

Volumetric DDoS attacks

UDP反射攻撃のように処理出来る能力を超えたトラフィックを送りつける

DDoS攻撃の種別

State-exhaustion DDoS attacks

TCP SYN flood等。ファイヤウォールや、IPS,ロードバランサ

などの状態を管理しなければならないプロトコルに負荷をかける

DDoS攻撃の種別

Application-layer DDoS attacks

一見、適切に構成されているが悪意のある要求を使用して、アプリケー

ションリソースを消費する例えば、HTTP GET、DNSクエリフ

ラッド

DDoS攻撃の種別

Volumetric State exhaustion Application layer

65%Volumetric

20%State exhaustion

15%Application layer

DDoS攻撃の種別


SSDP reflectionが一番多い反射攻撃はSignatureが明確だが、

トラフィックは一番使う

65%Volumetric

20%State exhaustion


DDoS攻撃の種別


65%Volumetric

20%State exhaustion

15%Application layer他に頻回に観測されるもの:

NTP reflection, DNS

reflection, Chargen reflection,

SNMP reflection

DDoS攻撃の種別


SYN floods は実際の接続としての振る舞いに見える

平均ボリュームは大きく、実際のユーザーが接続を確立できなくする

65%Volumetric

20%State exhaustion


DDoS攻撃の種別


DNSクエリ溢れは、リアルなDNSリクエスト

数時間に渡り続けることで、DNSサーバのリソース枯渇させることができる

65%Volumetric

20%State exhaustion


DDoS攻撃の種別


65%Volumetric

20%State exhaustion


他に頻回に観測されるもの:

HTTP GET flood, Slowloris

DDoS攻撃を緩和する取り組み

DDoS攻撃の緩和における課題

むずかしさはどこにある？

複雑な前準備事前の帯域確保アプリケーションの見直し


Traditional

Datacenter

マニュアルでの対策

緩和を開始するにはオペレータの関与が

必須

離れたスクライビング場所からどうやってトラフィック

を誘導する？

軽減のための時間増加


Traditional

Datacenter

トラフィックリルート = ユーザにとってはレイテンシ増加

AWS approach to

DDoS protection

AWSにおけるゴール

差別化要素にならないことの肩代わり

可用性の確保

ありきたりの攻撃の自動保護 AWS上のサービスは

高可用である

DDoS防御はAWSに予め組み込まれている

AWSのグローバルインフラストラクチャに統合

外部ルーティングなしで常時オン、高速

AWSデータセンターで冗長インターネット接続

一般的なインフラストラクチャ攻撃に対する保護

SYN / ACK flood、UDP flood、反射攻撃など

追加費用なし

DDoS mitigation

systems

DDoS Attack

Users

DDoS防御はAWSに予め組み込まれている

こんなお客様の声

AWSはDDoSからまもってくれるのか？

大きなDDoSによって何が起こるのか？

どんな攻撃をうけているのかしることができるのか？

AWSはアプリレイヤのDDoS攻撃からもまもってくれるのか？

DDoS攻撃へのスケーリングは金がかかりすぎる

DDoSのエキスパートと話をしたい

AWS ShieldA Managed DDoS Protection Service

AWS Shield

Standard Protection Advanced Protection

全てのAWSユーザに適用

無料

より大規模な、より洗練された攻撃からの防御を提供する

有料のサービス

AWS Shield Standard

AWS Shield Standard

Layer 3/4 protection

よくある攻撃（SYN/UDPフ

ラッド、反射攻撃等）からの

防御

自動検知＆自動緩和

AWSサービスにビルトイン

済

Layer 7 protection

Layer 7のDDoS攻撃への

緩和はAWS WAFで行う

セルフサービス

使った分だけの支払い

AWS Shield Standard

AWSでアプリケーションを動かすことで得るもの

プロプライエタリのBlackWatchシステムをつかった緩和策追加

緩和のためのキャパシティ追加

検知と緩和を継続的に改善する

追加コスト無し

AWS Shield Advanced

Managed DDoS Protection

AWS Shield Advanced

AWSへの統合

インフラ変更なくDDoS対策でき

る

手頃な価格コストと品質のトレードオフ無し

柔軟アプリのためにカスタマイズされ

た保護

Allways-On

アプリへのレイテンシは最小限

４つの柱

AWS Shield Advanced

Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53

現在提供中のサービス

AWS Shield Advanced

Always-on monitoring &

detection

Advanced L3/4 & L7 DDoS

protection

Attack notification and

reporting

24x7 access to DDoS

Response Team

AWS bill protection

常時の監視と検知

異常検出に使う属性

ソースIP

ソースASN

トラフィックレベル検証されたソース

ヒューリスティックに基づく異常検出

常時の監視と検知

通常のトラフィックパターンを継続的にベースライン化

HTTPリクエスト/秒送信元IPアドレスURL

ユーザーエージェント

Baselining

Advanced DDoS protection

Layer 7

application

protection

Layer 3/4

infrastructure

protection

Layer 3/4 infrastructure protection

決定論的フィルタリング

スコアリングに基づくトラフィックの優先順位付け

高度なルーティングポリシー

高度な軽減技術の採用


不正な形式のTCPパケットを自動的にフィルタリング

IP checksum

TCP valid flags

UDP ペイロード長

DNS 要求の検証

決定論的フィルタリング

疑わしくない

通常のパケット、リクエストヘッダ

ソーストラフィックの内容、量は典型的

デスティネーションが適切

疑わしい

疑わしいパケットまたは要求ヘッダーヘッダ属性によるトラフィックのエントロピートラフィックソースとボリュームでエントロピートラフィックソースの評判が悪い宛先に無効なトラフィックキャッシュ無効化属性によるリクエスト




• インライン検査とスコアリング

• 優先度の低い（攻撃）トラフィックを優先的に破棄

• 偽陽性は回避され、正当な利用は保護

High-suspicion

packets dropped

Low-suspicion

packets retained



分散スクラビングと余裕をもった帯域幅大規模な攻撃を吸収する自動ルーティングポリシー手動トラフィックエンジニアリング

大規模で洗練されたDDoS攻撃のための追加の容量をインラインを提供

高度なルーティングポリシー

Advanced DDoS protection

Layer 7

Application

protection

Layer 3/4

Infrastructure

protection

AWS WAF – Layer 7 application protection

カスタムルールによるWebトラフィック

フィルタ

悪意のあるリクエストのブロック

アクティブな監視とチューニング


Self-service DDoSエキスパートによる対応積極的なDRTの関与

運用は3形態


AWS WAFが追加費用なしで含まれます

Self-service

1. AWS DDoS Response Team (DRT)を依頼

2. DRTは攻撃に優先度を付ける

3. DRTは、AWS WAFルールの作成を支援


DDoS エキスパートによる対応


1. Always-OnモニタリングがDRTを呼び出す

2. DRTが積極的に分類（トリアージ）

3. DRTがAWS WAFルールを作成（事前承認が必要です）

積極的なDRT関与

攻撃通知とレポート

Attack monitoring

and detection

CloudWatchを経由してリアルタイム通知

ニアリアルタイムメトリクスと攻撃のフォレンジクスのため

のパケットキャプチャ

時系列の攻撃レポート

24x7でのDDoS Response Teamへのアクセス

クリティカルで緊急の優先順位のケースはすぐに回答され、DDoSの専門家に直接ルーティングされます

複雑なケースは、AWSだけでなく、Amazon.comやその子会社の保護に深い経験を持つAWS DDoS Response Team（DRT）にエスカレーションすることができます

24x7でのDDoS Response Teamへのアクセス

Before Attack

コンサルテーションとベストプラクティス提供

During Attack

攻撃からの緩和

After Attack

事後分析

AWS cost protection

DDoS攻撃によるスケーリングコストは請求しません

• Amazon CloudFront

• Elastic Load Balancer

• Application Load Balancer

• Amazon Route 53

No commitment

No additional cost

AWS DDoS Shield: 価格

1年の利用コミット

月額費用: $3,000

＋Data transfer fees

Data Transfer Price ($ per GB)

CloudFront ELB

First 100 TB $0.025 0.050

Next 400 TB $0.020 0.040

Next 500 TB $0.015 0.030

Next 4 PB $0.010 Contact Us

Above 5 PB Contact Us Contact Us


https://aws.amazon.com/contact-us/aws-sales/



一般的なDDoS攻撃から保護し、AWS上でDDoS

に強いアーキテクチャを構築するためのツールとベストプラクティスを提供

AWS DDoS Shield: 使い分け

大規模で洗練された攻撃に対するさらなる防御、攻撃に対する可視性、複雑なケースでのDDoSエキスパートへの24時間365

日のアクセスを提供


AWS Shieldのご紹介 Managed DDoS Protection

Technology

Transcript of AWS Shieldのご紹介 Managed DDoS Protection