AWS Shield の特徴

AWS Shield Standard では、AWS サービスへの受信トラフィックを検査し、トラフィックの署名、異常アルゴリズムおよび他の分析技術の組み合わせを使用してリアルタイムで悪意のあるトラフィックを検出する常時稼働のネットワークフローモニタリングを提供できます。Shield Standard は、AWS リソースタイプごとに静的しきい値を設定しますが、アプリケーションに対してカスタム保護を提供しません。

Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 などのリソースで実行されるアプリケーションを標的とした攻撃に対する高レベルな保護には、AWS Shield Advanced を使用できます。Standard に付属しているネットワークおよびトランスポートレイヤーの保護に加えて、Shield Advanced は大規模で高度な DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提供します。また、ウェブアプリケーションファイアウォールである AWS WAF と統合されています。Shield Advanced では、 AWS Shield レスポンスチーム (SRT) に 24 時間 365 日アクセスでき、EC2、ELB、CloudFront、グローバルアクセラレーター、Route 53 の料金が DDoS 関連の急上昇するのを防ぐこともできます。

AWS Shield Advanced では、保護された Elastic IP アドレス、ELB、Amazon CloudFront、Global Accelerator、または Route 53 リソースへのトラフィックパターンに基づいてカスタマイズされた検出を提供します。追加のリージョン固有のモニタリング手法と、リソース固有のモニタリング手法を使用して、Shield Advanced はより小さな DDoS 攻撃を検出して警告します。Shield Advanced は、アプリケーションのトラフィックをベースライン化し、異常を識別することで、HTTP フラッドや DNS クエリフラッドなどのアプリケーションレイヤー攻撃も検出します。

AWS Shield Advanced は、アプリケーションの正常性を活用し、攻撃を検出および緩和する機能の応答性と精度を向上します。Route 53 でヘルスチェックの設定を行い、コンソールまたは API を通して Shield Advanced によって保護されているリソースに関連付けることができます。これにより、Shield Advanced は、より低いトラフィック流量の閾値で、アプリケーションの正常性に影響を与える攻撃を迅速に検出できるようになり、アプリケーションの DDoS 弾力性を向上させ、誤検知による通知を防止できます。SRT リソースの正常性ステータスも利用できるため、異常なアプリケーションへの応答に対して適切な優先順位を付けることができます。Shield Advanced がサポートするすべてのリソースタイプ (Elastic IP、ELB、CloudFront、Global Accelerator、Route 53) に正常性ベース検出を適用できます。

AWS Shield Advanced では、DDoS イベントが検出されると、 SRT からの積極的な対応が可能になります。プロアクティブな関与をアクティブにすると、保護されたリソースに関連付けられた Route 53 ヘルスチェックが DDoS イベント中に異常になった場合、SRT から直接連絡があります。これにより、アプリケーションの可用性に影響を及ぼす攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。Elastic IP アドレスと Global Accelerator アクセラレータでのネットワークレイヤーイベントとトランスポートレイヤーイベント、および CloudFront ディストリビューションと Application Load Balancers でのアプリケーションレイヤー攻撃に対するプロアクティブなエンゲージメントを受け取ることができます。

AWS Shield Advanced では、リソースを保護グループにバンドルできます。これにより、複数のリソースを 1 つのユニットとして扱うことで、アプリケーションの検出と軽減の範囲をカスタマイズするセルフサービスの方法が提供されます。リソースのグループ化により、検出の精度が向上し、誤検知が減少し、新しく作成されたリソースの自動保護が容易になり、複数のリソースに対する攻撃を軽減するのにかかる時間が短縮されます。たとえば、アプリケーションが 4 つの CloudFront ディストリビューションで構成されている場合、それらを 1 つの保護グループに追加して、リソースのコレクション全体についての検出と保護を受け取ることができます。レポートはまた、保護グループレベルで使用できるため、アプリケーション全体の状態をより全体的に把握できます。

AWS Shield Advanced には、保護された EC2、ELB、CloudFront、Global Accelerator、および Route 53 リソース使用量の急増を引き起こす DDoS 関連攻撃の影響で請求金額が跳ね上がるのを防ぐ DDoS コスト保護が含まれています。DDoS 攻撃により、これらの保護されたリソースのいずれかの使用量が上昇した場合、お客様は通常の AWS Support チャネル経由で Shield Advanced サービスクレジットをリクエストできます。

ビジネスまたはエンタープライズサポートプランのお客様の場合、AWS Shield Advanced では SRT に 24 時間 365 日アクセスでき、DDoS 攻撃の前、最中、または後に利用できます。SRT はインシデントの分類、根本原因の特定、緩和策の適用に役立ちます。SRT は、AWS のお客様全員に関して、DDoS 攻撃への迅速な対応と緩和に関する深い専門知識を持っています。

AWS Shield Advanced は、世界中の CloudFront、Global Accelerator、Route 53 のエッジロケーションすべてで利用できます。アプリケーションに CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon Simple Storage Service (S3)、EC2、ELB、または AWS 外部のカスタムサーバーのいずれでも問題ありません。Shield Advanced が利用可能なすべての AWS リージョンの Elastic IP または ELB インスタンスで直接保護をアクティブ化することもできます。

AWS Shield Advanced のお客様は、AWS Firewall Manager を使用して、組織全体に Shield Advanced および AWS WAF 保護を適用できます。Firewall Manager の費用は Shield Advanced のサブスクリプション料金に含まれています。Firewall Manager を使用すると、複数のアカウントとリソースを対象とするポリシーを自動的に構成できます。Firewall Manager は自動的にアカウントを監査して、新しいリソースまたは保護されていないリソースを検出し、Shield Advanced および AWS WAF 保護が広く適用されていることを確認します。これにより、デベロッパーは自動的に適切な保護が適用されるという確信を持って、迅速に移動して新しいアプリケーションをデプロイできます。 このセキュリティ管理サービスの詳細については、「AWS Firewall Manager」を参照してください。