AWSでのDDoS対策について アレコレ調べてみた

JAWS-UG 札幌支部 第15回勉強会

1

自己紹介梶 浩幸（かじ ひろゆき） クラスメソッド株式会社 AWSコンサルティング部 ソリューションアーキテクト ブログ http://dev.classmethod.jp/author/kaji-hiroyuki/

2

DDoS攻撃とは • サーバーなどに大量のパケットを送り付けて、サービスを提供できない状態にしてしまう攻撃のこと。

図：wikipediaより

3

質問サーバのログを見て、規模が小さくてもDDoS（DoS）らしき形跡を見た経験がある人はどれぐらいいらっしゃいますか？？

4

どんな攻撃 • インフラ攻撃（Layer3/4） 78% • Syn flood、UDP Amp flood

• アプリケーション攻撃（Layer7）22% • SQLインジェクション、XSS

5

AWS側で何かしてくれるの？• AWSは、AWSプラットフォームへのDoS / DDoS攻撃を軽減するように独自の技術を使用。

• しかし、実際のユーザトラフィックとの干渉を避けるために、積極的に個々のAmazon EC2インスタンスに影響を与えるネットワークトラフィックをブロックしない。

6

参考元：AWS Security Best Practices

DDoSからの保護・軽減• Firewall/SecurityGroup/NetworkACL/ホストベースFirewall

• WAF（Web Application Firewall） • ホストベースIDS/IPS • 帯域制御

7

どうやってDDoS軽減するか？• 回復力のある構成（適応性/スケーラブル/階層） • 積極的に複数の技術を採用 • 攻撃可能なポイントを最小に • 通常のリソース状態を把握しておく • スケール可能にしておく • スケールするのが大変な高価な資源は保護 • DDoS攻撃に対処するための計画

8

9

Route53＋CloudFront＋Scale

•Route53でDNS負荷分散 •CloudFrontで正しくないプロトコルによる接続を除外 •オートスケールして受け流す

10

WAFをELBでサンドイッチ

•WAFは検査し、アプリケーション層のトラフィックにフィルタを適用 •OWASP Top 10の防御 •ホワイトリスト・ブラックリスト

私のちょっとした懸念点• DDoSされたら、CloudFrontの課金が膨らむ？・・

• EC2でWAF構築して面倒みるの・・

11

知らなかったCloudFront• CloudFrontは、AWS製のDDoS緩和システムをインラインで導入

• 全てのパケットは検査されスコアリングされる • 全てのエッジロケーションの前に緩和システムが入っている

• AWS Summit Tokyo 2015 TE-09 Amazon CloudFront から Edge Services へ ～CDN を再定義する AWS の新たな取り組み～

12

13

クラウド型WAF

•DNSの設定変更で導入できるものが多い •WAFのスケールもおまかせ

クラウド型WAF • アプリケーション保護も必要ならコレかも • EC2インスタンスは防御できないので注意！！

• いろいろなメーカー • scutum、Imperva Incapsula、Akamai、F5

14

まとめ• アタック対象を少なくして、スケールし許容できる構成に

• Route53/CloudFrontで保護 • 重要な情報資産ならWAFを検討 • クラウド型WAFは手間が少ない

• CloudFrontがCDN+WAFになったら、最高だなぁ。（期待）

• 他の手法、是非教えて下さい。15

参考資料• 本日の資料作成に際し参考にさせて頂いた資料 • AWS re:Invent 2014 | (SEC307) Building a DDoS-Resilient Architecture with Amazon Web Services

• AWS Security Best Practices（50ページ） http://media.amazonwebservices.com/AWS_Security_Best_Practices.pdf

• Web Application Firewall 読本 http://www.ipa.go.jp/security/vuln/waf.html

16