この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、re:Inventエキサイトしてますか!?(挨拶
re:Invent 2021で以下の機能が発表されました。
AWS Shield Advanced introduces automatic application-layer DDoS mitigation
概要
AWS ShieldはAWSのプラットフォームほぼ全体で自動的に適用されているDDoS保護の仕組みです。低レイヤーのDDoSは全てのAWSユーザーが意識することなく、費用が発生することなく自動的に保護されています。
しかしDDoSはアプリケーションレイヤーでも発生します。高度なアプリケーションDDoSを防ぐことは簡単ではありません。DDoS保護のベストプラクティスに従いつつ運用する必要があります。
しかしそれだけでもいざという時には大変なので、AWS Shield Advancedという追加サービスがあります。
月額$3,000を支払う代わりに、AWSのShield Response Team(SRT / 旧DDoS Response Teams(DRT))が24365でDDoS対応を支援してくれます。ついでにAWS WAFの利用料も無料になります。詳細は料金ページをご確認ください。
これまではSRTと連携しながら、実際に受けている攻撃に合わせた緩和ルールをAWS WAFに適用していくことをやっていく必要があり、これが手動でした。
今回のアップデートでここを自動的に行うことが可能になりました。
自動緩和の内容
残念ながらAWS Shield Advancedをすぐに触れる環境がなかったので、上記リリースのドキュメントと、ユーザーガイドのShieldAdvanced自動アプリケーションレイヤーDDoS緩和策-AWSWAF、AWS Firewall Manager、およびAWS Shield Advancedを見ながら読み解いていきます。
AWS WAFを適用できるサービスはCloudFront / ALB / API Gatewayと3つありますが、今回自動アプリケーションDDoS緩和が対応したのはCloudFrontのみです。そしてAWS WAF v2のみ対応です。
Automatic application layer DDoS mitigationの設定を有効にするとWAFにルールが設定されます。この設定の中でCountモードかBlockモードか選択できます。これは方針次第ですが、基本的には安定を選んでCountとし、問題なさそうであればBlockに切り替える運用が良さそうです。
そして、自動変更を行うためAWSServiceRoleForAWSShieldというService-Linked Roleが新しく作られたのでこれを用意しておきます。これによりWAFのルールが自動的に作成・調整されます。作成されるルールはShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifierです。
この機能は追加費用なく利用できます。
まとめ
自動的にWAFのルールを調整してアプリケーションDDoSの保護ができるのは素晴らしいですね!
ぜひ使ってみてください!(月額$3,000)
20
