[レポート] Building a DDoS-resilient perimeter and automatic protection at scale #NIS372 #AWSreInforce

セッション概要

NIS372 Building a DDoS-resilient perimeter and automatic protection at scale

In this workshop, acquire practical knowledge on how to build a DDoS-resilient perimeter, analyze logs to make informed decisions with Amazon Athena, and see how to use services like AWS Shield, AWS WAF, AWS Firewall Manager, and Amazon CloudFront to architect for DDoS resiliency and maintain robust operational capabilities that allow for rapid detection and engagement during high-severity events. Learn how to detect and filter out malicious web requests, reduce the attack surface, and protect at scale with maximum automation and visibility.

You must bring your laptop to participate.

マルチアカウントでのFirewall Managerを利用したポリシー管理と、AWS WAFのManaged RuleとRate limitを利用した防御を実践し、さらにShield AdvancedのAutomatic Application Layer DDoS Mitigationを利用した防御を実践するWorkshopでした。

Labの流れ

アプリケーションレイヤの防御

Web ACLとマネージドルールを設定

AWS WAFのログをAthenaで分析しながら各種設定

Global rate limitを設定
Rate-base Ruleを設定
Geoベースのレート制限とブロッキングを設定
ジオマッチ・レートベース・ルールを設定

セントラルプロテクションとルール管理

規模に応じたルールの管理

DDoSイベントへの対応と緩和の準備

Route 53 Health Checkを使用した健全性ベースの検出
DDoS保護とアプリケーションレイヤの自動緩和
AWS Shieldレスポンスチームへの通知設定
イベントシミュレーションと緩和

Rate-baseのルールを設定しているときのCloudwatchのグラフで、ブロックできていることを確認できました。

Shield AdvancedのAutomatic Application Layer DDoS Mitigationのグラフスクリーンショットを撮影し忘れたので、Workshopの手順書から引用しています。

終わりに

注略があり、本来はAWS Shield AdvancedのAutomatic Application Layer DDoS Mitigationは、保護されたアプリケーションのベースラインの確立に通常最低24時間、30日間ベースライン確率に必要ですが、今回のワークショップでは、時間を短縮するため、ベースラインがあらかじめ設定されており、すぐにその効果を確認できる状態になっていました。また、Automatic Application Layer DDoS Mitigation によって、Shield AdvancedでリソースのDDoS緩和までの時間を大幅に短縮することができることを確認でき、自動的にAWS Shield Response Team (SRT) にエスカレーションする設定についても行うことができました。貴重な体験でした。

余談ですが、模擬DDoSするツールについては、SSMのParameter Storeを使って実行しており、受講者側ではスクリプトの中身がみれないようになっており、よくできているなぁと思いました。

[レポート] Building a DDoS-resilient perimeter and automatic protection at scale #NIS372 #AWSreInforce

セッション概要

構成図

Labの流れ

終わりに

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

[レポート] Building a DDoS-resilient perimeter and automatic protection at scale #NIS372 #AWSreInforce

セッション概要

構成図

Labの流れ

終わりに

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

EC2インスタンスのユーザーデータ内のdnfコマンドやyumコマンドが失敗する場合の緩和策を考えてみた

AWS ParallelCluster OnNodeConfigured セクションの Args を変更してもクラスターの更新をかけられないときに検討したこと

Knowledge bases for Amazon Bedrock を HashiCorp Terraform で作ってみる

AWS Auto Scaling과 Amazon EC2 Auto Scaling은 무슨 차이일까?

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！