[アップデート]AWS Shield Advancedが自動でアプリケーションDDoS緩和できるようになりました! #reinvent

AWS Shield Advancedがついに自動的にアプリケーションDDoSを緩和できるようになりました!AWS WAFと連携して自動的に緩和できます。
2021.12.02

こんにちは、臼田です。

みなさん、re:Inventエキサイトしてますか!?(挨拶

re:Invent 2021で以下の機能が発表されました。

AWS Shield Advanced introduces automatic application-layer DDoS mitigation

概要

AWS ShieldはAWSのプラットフォームほぼ全体で自動的に適用されているDDoS保護の仕組みです。低レイヤーのDDoSは全てのAWSユーザーが意識することなく、費用が発生することなく自動的に保護されています。

しかしDDoSはアプリケーションレイヤーでも発生します。高度なアプリケーションDDoSを防ぐことは簡単ではありません。DDoS保護のベストプラクティスに従いつつ運用する必要があります。

しかしそれだけでもいざという時には大変なので、AWS Shield Advancedという追加サービスがあります。

月額$3,000を支払う代わりに、AWSのShield Response Team(SRT / 旧DDoS Response Teams(DRT))が24365でDDoS対応を支援してくれます。ついでにAWS WAFの利用料も無料になります。詳細は料金ページをご確認ください。

これまではSRTと連携しながら、実際に受けている攻撃に合わせた緩和ルールをAWS WAFに適用していくことをやっていく必要があり、これが手動でした。

今回のアップデートでここを自動的に行うことが可能になりました。

自動緩和の内容

残念ながらAWS Shield Advancedをすぐに触れる環境がなかったので、上記リリースのドキュメントと、ユーザーガイドのShieldAdvanced自動アプリケーションレイヤーDDoS緩和策-AWSWAF、AWS Firewall Manager、およびAWS Shield Advancedを見ながら読み解いていきます。

AWS WAFを適用できるサービスはCloudFront / ALB / API Gatewayと3つありますが、今回自動アプリケーションDDoS緩和が対応したのはCloudFrontのみです。そしてAWS WAF v2のみ対応です。

Automatic application layer DDoS mitigationの設定を有効にするとWAFにルールが設定されます。この設定の中でCountモードかBlockモードか選択できます。これは方針次第ですが、基本的には安定を選んでCountとし、問題なさそうであればBlockに切り替える運用が良さそうです。

そして、自動変更を行うためAWSServiceRoleForAWSShieldというService-Linked Roleが新しく作られたのでこれを用意しておきます。これによりWAFのルールが自動的に作成・調整されます。作成されるルールはShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifierです。

この機能は追加費用なく利用できます。

まとめ

自動的にWAFのルールを調整してアプリケーションDDoSの保護ができるのは素晴らしいですね!

ぜひ使ってみてください!(月額$3,000)