Download - 20150604 jaws-ug-sapporo15-lt-kaji
AWSでのDDoS対策について アレコレ調べてみた
JAWS-UG 札幌支部 第15回勉強会
1
自己紹介梶 浩幸(かじ ひろゆき) クラスメソッド株式会社 AWSコンサルティング部 ソリューションアーキテクト ブログ http://dev.classmethod.jp/author/kaji-hiroyuki/
2
DDoS攻撃とは • サーバーなどに大量のパケットを送り付けて、サービスを提供できない状態にしてしまう攻撃のこと。
図:wikipediaより
3
質問サーバのログを見て、規模が小さくてもDDoS(DoS)らしき形跡を見た経験がある人はどれぐらいいらっしゃいますか??
4
どんな攻撃 • インフラ攻撃(Layer3/4) 78% • Syn flood、UDP Amp flood
• アプリケーション攻撃(Layer7)22% • SQLインジェクション、XSS
5
AWS側で何かしてくれるの?• AWSは、AWSプラットフォームへのDoS / DDoS攻撃を軽減するように独自の技術を使用。
• しかし、実際のユーザトラフィックとの干渉を避けるために、積極的に個々のAmazon EC2インスタンスに影響を与えるネットワークトラフィックをブロックしない。
6
参考元:AWS Security Best Practices
DDoSからの保護・軽減• Firewall/SecurityGroup/NetworkACL/ホストベースFirewall
• WAF(Web Application Firewall) • ホストベースIDS/IPS • 帯域制御
7
どうやってDDoS軽減するか?• 回復力のある構成(適応性/スケーラブル/階層) • 積極的に複数の技術を採用 • 攻撃可能なポイントを最小に • 通常のリソース状態を把握しておく • スケール可能にしておく • スケールするのが大変な高価な資源は保護 • DDoS攻撃に対処するための計画
8
9
Route53+CloudFront+Scale
•Route53でDNS負荷分散 •CloudFrontで正しくないプロトコルによる接続を除外 •オートスケールして受け流す
10
WAFをELBでサンドイッチ
•WAFは検査し、アプリケーション層のトラフィックにフィルタを適用 •OWASP Top 10の防御 •ホワイトリスト・ブラックリスト
私のちょっとした懸念点• DDoSされたら、CloudFrontの課金が膨らむ?・・
• EC2でWAF構築して面倒みるの・・
11
知らなかったCloudFront• CloudFrontは、AWS製のDDoS緩和システムをインラインで導入
• 全てのパケットは検査されスコアリングされる • 全てのエッジロケーションの前に緩和システムが入っている
• AWS Summit Tokyo 2015 TE-09 Amazon CloudFront から Edge Services へ ~CDN を再定義する AWS の新たな取り組み~
12
13
クラウド型WAF
•DNSの設定変更で導入できるものが多い •WAFのスケールもおまかせ
クラウド型WAF • アプリケーション保護も必要ならコレかも • EC2インスタンスは防御できないので注意!!
• いろいろなメーカー • scutum、Imperva Incapsula、Akamai、F5
14
まとめ• アタック対象を少なくして、スケールし許容できる構成に
• Route53/CloudFrontで保護 • 重要な情報資産ならWAFを検討 • クラウド型WAFは手間が少ない
• CloudFrontがCDN+WAFになったら、最高だなぁ。(期待)
• 他の手法、是非教えて下さい。15
参考資料• 本日の資料作成に際し参考にさせて頂いた資料 • AWS re:Invent 2014 | (SEC307) Building a DDoS-Resilient Architecture with Amazon Web Services
• AWS Security Best Practices(50ページ) http://media.amazonwebservices.com/AWS_Security_Best_Practices.pdf
• Web Application Firewall 読本 http://www.ipa.go.jp/security/vuln/waf.html
16