2014 QBR: Campaign Marketing

Size: px

Start display at page:

Download "2014 QBR: Campaign Marketing"

かずきかに
6 years ago
Views:

1 AWS 初心者向け Webinar AWS上でのDDoS対策 2016 / 02 / 09 アマゾンウェブサービスジャパン株式会社プロフェッショナルサービスコンサルタント松本照吾

2 ご質問を受け付け致します質問を投げることができます Adobe Connect のチャット機能を使って質問を書き込んでください書き込んだ質問は主催者にしか見えません最後の Q&A の時間で可能な限り回答させていただきます ①画面右下のチャットボックスに質問を書き込んでください 2 ②吹き出しマークで送信してください

3 AWS 初心者向け Webinar のご紹介 AWS についてこれから学ぶ方むけのソリューションカットの Webinar です過去の Webinar 資料 AWS クラウドサービス活用資料集ページにて公開イベントの告知国内のイベントセミナースケジュールページにて告知オンラインセミナー枠 3

4 自己紹介名前松本照吾所属アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部セキュリティコンサルタント経歴セキュリティコンサルタント情報セキュリティ監査 ISMS BCMS等好きなAWSサービスリスクとコンプライアンスホワイトペーパー 4

5 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 5

6 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 6

7 DoS攻撃とは DoS=Denial of Service attack 攻撃者がやりたいことサービスをさせないこと 7

8 DDoS攻撃とは DDoS Distributed Denial of Service attack 複数から攻撃すればより効果的な攻撃に 8

9 ターゲットはどこか分類ターゲット狙い代表的な攻撃例割合主な対処 Application layer DDoS attacks アプリケーション層アプリケーションリソースを消費 HTTP GET Flood 15% WAFによるアプリケーションレイヤ保護スケール Stateexhaustion D DoS attacks トランスポート層 FW IPS ロードバランサーなどのシステムリソースを消費 SYN Flood 20% 有効なトラフィックのみの受付 CloudFront ELB Volumetric DDoS attacks ネットワーク層ネットワークで処理が不可能な大量のパケットを送信 UDP増幅攻撃 65% 有効なトラフィックのみの受付 CloudFront ELB スケール 9

10 攻撃の例 DNSリフレクター攻撃発信元のIPアドレスを偽装通信時にセッション確立が不要な UDP 大量の問い合わせをDNSサーバに問合せと応答のパケットサイズの差を利用 DNSを使った攻撃例 10

11 狙われやすいやられやすい環境とは攻撃を受け止めるキャパシティがない単一障害点攻撃対象の露出 11

Data Encryption Server-side Data Encryption Network Traffic Protection AWS Foundation Services

12 AWS のセキュリティの考え方 = 責任共有モデル Customers Customer Applications & Content Platform, Applications, Identity & Access Management Operating System, Network, & Firewall Configuration Client-side Data Encryption Server-side Data Encryption Network Traffic Protection AWS Foundation Services Compute Storage Database Networking AWS Global Infrastructure Availability Zones Regions Edge Locations 12

13 AWSにおけるDDoS対策とは Amazon API エンドポイントは Amazon を世界最大のインターネットショッピング業者にしたエンジニアリングの専門知識を参考にして大規模でインターネット規模のワールドクラスのインフラストラクチャにホストされています専属的な DDoS 緩和技術が使用されていますセキュリティプロセスの概要ホワイトペーパーより 13

14 お客様によるDDoS対策次の５つの観点から対策を検討実施 14 攻撃対象領域を削減するスケールして攻撃を吸収できるようにする公開されたリソースを保護する通常時の動作について学習する攻撃に対する計画を作成する

15 レジリエンシーの高いAWSアーキテクチャの活用サービスを提供しているアプリケーションを止めない設計を 15

16 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 16

17 Amazon Virtual Private Cloud (VPC) 仮想プライベートクラウドサービス特徴 ( AWS上にプライベートネットワークを構築 AWSと既存環境のハイブリッド構成を実現きめ細かいネットワーク設定が可能 VPN or 専用線ネットワークを要件に応じて設定インターネットゲートウェイ東京リージョン VPC ( /16) プライベートサブネット既存システム 17 パブリックサブネットインターネット

18 Amazon VPC を使用した脅威からの保護 TCP: 22 管理者ユーザーインターネット ssh 踏み台 Amazon EC2 セキュリティグループ TCP: 80/443 TCP: 8080 ELB セキュリティグループ NAT Gateway パブリックサブネット 18 ウェブアプリケー TCP: 1433; 3306 ションサーバー Amazon EC2 セキュリティグループ MySQL db セキュリティグループ TCP: アウトバウンドフロントエンドプライベートサブネットバックエンドプライベートサブネット

19 SSH踏み台ホストのセキュリティグループ(例) インターネットや特定のインターネットアドレスのレンジよりTCPポート 22に接続を許可このポートに対するDDoS 攻撃があった場合は SSH サービスのみが影響不正アクセスの可能性を最小化するためにネットワークのPublic IPのレンジのみSSH要塞ホストのセキュリティグループとコミュニケーションすることを許可 19

20 ELBセキュリティグループ例インターネットからのTCP ポート80と443のみを許可しリクエストをウェブアプリケーションサーバーセキュリティグループのEC2 インスタンスに送信可能に 20

21 NAT Gateway 例ソフトウェアの更新等のためにインスタンスのインターネット接続を許可するため Network Address Translation (NAT)インスタンスを作成 NATインスタンスによりインターネットからのインバウンドの接続を拒否しつつプライベートサブネットからインターネットへとトラフィックを安全に通す 21

22 ウェブアプリケーションサーバセキュリティグループ例 ELBからくるウェブアプリケーションのリクエストのみ受け付け攻撃対象領域を最小化する取組としてこれらのインスタンスにはVPCのサブネットのアドレスレンジからのプライベートIPアドレスしかアサインされない ELB セキュリティグループからのTCPポート80及び 443とSSH踏み台ホストセキュリティグループからの TCPポート22だけを許可 22

23 MySQLサーバセキュリティグループ例 MySQLデータベースサーバーはウェブアプリケーションをホストするEC2インスタンスからのみアクセス可能にウェブアプリケーションサーバーセキュリティグループのEC2インスタンスからのみTCPポート3306 の接続を許可 23

24 ネットワークACL 例 Network ACLは伝統的なファイアウォールのように番号順に処理されるステートレスの allow及びdenyルールを作れるようにすることで追加の防御レイヤーを提供 EC2のインスタンスレベルでトラフィックを許可するセキュリティグループとは反対にサブネットレベルでトラフィックを許可したり拒否したりするために便利望ましくないもしくは悪用の可能性のあるインターネットのIPアドレスかレンジを識別した場合 denyルールによりそれらをアプリケーションに到達する前にブロック 24

25 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 25

26 スケールによる攻撃の吸収アプリケーションが対応できないレベルのトラフィックを送信されるなら受け止めてしまえばいい垂直スケーリングより多くのメモリ CPU およびキャパシティにより攻撃を吸収水平スケーリングインフラストラクチャの活用により攻撃を広い範囲に分散 26

27 スケールによる攻撃の吸収のメリット攻撃はより広い領域に分散され影響する範囲については最小化される攻撃者は攻撃をスケールアップするためにさらに多くにリソースを消費する必要があるスケーリングによって DDoS 攻撃を分析し対策を実行するまでの時間を稼ぐことができるスケーリングによってその他の障害シナリオでの冗長性のセキュリティレイヤーが追加される 27

28 DDoS対策におけるスケーリングの活用 (1)アプリケーションに対して適切なインスタンスタイプを選択する (2) Elastic Load Balancing や Auto Scaling といったサービスを自動的にスケールするよう設定する (3) Amazon CloudFront や Amazon Route 53 など AWS グローバルサービスに組み込まれた固有のスケールを使用する 28 Route 53

29 Amazon Elastic Compute Cloud EC2) スケールしてアプリケーションや予期しないスパイクをサポートできるインスタンスタイプを選択拡張ネットワーキング C3 C4 R3 D2 および I2 インスタンスでは拡張ネットワーキング機能を有効に 29 コストネットワーク接続

30 Elastic Load Balancing (ELB) AWSクラウド上のロードバランシングサービス ELBで実現できるシステムスケーラブル : 複数のEC2インスタンスに負荷分散高い可用性 : 複数のアベイラビリティゾーンにある複数のEC2インスタンスの中から正常なEC2インスタンスにのみ振り分け ELB自体の特徴 30 スケーラブル安価な従量課金運用管理が楽豊富な連携機能 : : : : ELB自体も負荷に応じてキャパシティを自動増減従量課金で利用可能マネージドサービスなので管理が不要 Auto Scaling, Route 53, Cloud Formation などと連携

31 Elastic Load Balancing (ELB)利用のメリット特定のインスタンスのみが過負荷になるリスクを最小限に抑えるインターネットへの公開はELBのみにセキュリティグループやネットワークACLとの組み合わせによる追加のレイヤーを提供有効な TCP リクエストのみをサポート UDP や SYN フラッドなどの DDoS 攻撃はインスタンスに到達しない 31

32 Auto Scaling EC2インスタンスを負荷またはスケジュールに応じて自動増減起動設定インスタンスタイプ AMI Spot入札価格など Desired Capacity 必要に応じて追加される Capacity Auto Scaling group 特徴 ( Amazon EC2インスタンス群を自動的にスケール耐障害性の向上インスタンスの異常を検知して新しいインスタンスを起動 EC2インスタンスの起動料金の最適化価格体系 ( Auto Scaling自体の利用は無料 Auto Scalingによって起動されるEC2インスタンスの起動料金 Spotインスタンスとしても起動可能 32

33 Auto Scalingを活用するうえでの注意点(1/2) サーバーの起動と設定に要する時間アプリケーションの起動に 5 分以上かかる場合は複数のインスタンスにおいてアプリケーションを事前に実行状態にしておくかスケーリングのしきい値を低くすることを推奨アプリケーションのパフォーマンスと最も関連性が高いメトリックスの特定 DDoS 攻撃を示すメトリックスの例 CPUUtilization NetworkIn StatusCheckFailed など Auto Scaling グループの一部として使用する可能性がある既存リソース EC2 インスタンスや AMI など Auto Scaling グループに対して攻撃を受けている状態でもアプリケーションを実行しつづけるためには同じタイプのインスタンスまたはより高いキャパシティーが必要 33

34 Auto Scalingを活用するうえでの注意点(2/2) Auto Scaling グループに含める AZ の数最低でも 2 つの AZ を推奨スケールアップおよびスケールダウンを行う速度 DDoS 攻撃は波のように押し寄せることに注意最初の攻撃の後でスケールダウンしたが結局再度スケールアップしなければならなくなる状況は避けたい Auto Scaling グループでの EC2 インスタンスの最大数インスタンスが追加されるとコストも増える可能性がある Auto Scaling ポリシーを作成するときはインスタンスの最大数を設定可能最大数に達したときのアラームを設定可能 34

35 Amazon CloudFront 高性能な分散配信 (世界54拠点のエッジサーバ) 2016年1月時点高いパフォーマンス (業界トップクラスのパフォーマンス測定結果) キャパシティアクセスからの開放 (予測不可能なスパイクアクセスへの対応) 完全従量課金 (初期費用がなく安価かつスポットも利用可能) 設定が容易で即時利用が可能 (GUIからの設定で15分程度でサービス利用開始可能) 35

36 複数のエッジによるトラフィック分散クライアント AWS エッジ AWS エッジ AWS リージョン AWS エッジ転送クライアント AWS エッジ攻撃者トラフィックのフィルタリング有効なTCP接続とHTTPリクエストのみ 36

37 DDoSの標的としてのDNS DNSは単一障害点にアプリケーションが利用可能でも名前解決ができなければ使えない DNSはUDPを利用 37

Amazon Route 53 とは AWSの提供する権威DNSサービス AWS上で高可用性低レイテンシなアーキテクチャを実現するツール DNSはインターネットの根幹のサービス Route 53 は 100%のAvailabilityのSLAを提供マネージドサービスとして提供 38 ポリシーベースの柔軟なトラフィックルーティング

38 Amazon Route 53 とは AWSの提供する権威DNSサービス AWS上で高可用性低レイテンシなアーキテクチャを実現するツール DNSはインターネットの根幹のサービス Route 53 は 100%のAvailabilityのSLAを提供マネージドサービスとして提供 38 ポリシーベースの柔軟なトラフィックルーティングフェイルオーバートラフィックフローなどの機能により様々な条件に基づくルーティングが可能高い可用性を提供 DNSはドメイン名をIPアドレスに変換するインターネット上の電話帳 Route 53 はDNSサーバがポート53番で動作することに由来 DNSサーバーの設計構築維持管理が不要冗長性性能セキュリティ等は全てAWSにて管理される Route 53

39 Route53によるスケーリングとDDoS対策シャッフルシャーディング数多くのエンドポイントに DNS リクエストを分散させアプリケーションの複数のパスとルートを提供します Anycastルーティング複数の PoP から同じ IP アドレスをアドバタイズすることで冗長性を高めます DDoS 攻撃が 1 つのエンドポイントを攻略した場合シャッフルシャーディングによって障害が分離されインフラストラクチャに追加のルートが提供されますヘルスチェックとDNSフェイルオーバー DNSクエリで正常なリソースのみを使用 39

40 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 40

41 リソース保護の概要アプリケーションへのエントリポイントを減らせないクライアント AWS エッジ AWS エッジ AWS リージョン AWS エッジ転送クライアント AWS エッジ 41 Amazon CloudFront Amazon Route 53 およびウェブアプリケーションファイアウォール WAF)によるエントリポイントへのアクセス制限保護が必要攻撃者

42 CloudFrontによるDDoS緩和技術 Distribution Signatures 全てのディストリビューションは共有IPスペースでユニークなコンビネーションを保持 users distribution 特定のIPスペースがアタックされた場合にどのディストリビューションがアタックされたか特定特定されると DDoSトラフィックを他の正常なトラフィックから切り離し配信基盤と顧客を保護 42 DDoS attack distribution CloudFront edge location users distribution DDoS attack CloudFront edge location distribution

Edge Location DDoS Attack Users DDoS Mitigation CloudFront Route 53 System DDoS

43 CloudFrontによるDDoS緩和技術 DDoS への対処独自のDDoS緩和システムでサービスベースの防御全てのパケットは検査され学習アルゴリズムでスコアリングされる 43 他ユーザートラフィックはインラインシステムが可用性スループットレイテンシに影響を与えずに迅速に対応 Edge Location DDoS Attack Users DDoS Mitigation CloudFront Route 53 System DDoS Mitigation CloudFront Route 53 System AWS Region Customer s Origin Infrastructure (ELB, EC2, S3, etc).

44 最近のDDoS 攻撃排除例 May 6, Route53の34のエッジロケーションを標的としたDNS フラッド攻撃ピークボリュームは今までのDDoSのトップ4%に入る規模 (source: Arbor Networks) 自動的に検知を行い可用性に影響を与えることなく緩和毎年数百件のアタックを鎮静化

45 最近のDDoS 攻撃排除例 Amazon Route 53 Response Time May 6, Route53の34のエッジロケーションを標的としたDNS フラッド攻撃ピークボリュームは今までのDDoSのトップ4%に入る規模 (source: Arbor Networks) 自動的に検知を行い可用性に影響を与えることなく緩和毎年数百件のアタックを鎮静化

46 CroudFrontのセキュリティ機能セキュア配信 HTTPS対応 (強制リダイレクト / HTTPSのみ許可 SSL証明書 (デフォルト / 独自証明書 / SNI / Certification Manager) オリジン暗号化通信 GEOリストリクション (Whitelist / Blacklist) オリジンカスタムヘッダー署名付きURL/Cookie (有効期間指定) AWS WAF連携 46

47 GEOリストリクション地域指定によるアクセス制御接続されるクライアントの地域情報を元にエッジでアクセス判定 BlacklistもしくはWhitelistで指定可能 Distribution全体に対して適用される制限されたアクセスには403を応答 GEO Restriction有効 403 接続クライアントの地域情報をもとに判定オリジンサーバクライアント CloudFront Edge 47

48 署名付きURL/Cookie オリジンサーバの保護オリジンがAmazon S3の場合 Origin Access Identity(OAI)を利用 S3のBucketへのアクセスをCloudFrontからのみに制限カスタムオリジンの場合下記の2種類が選択可能オリジンカスタムヘッダーを利用し CloudFrontで指定された任意のヘッダーをオリジン側でチェックオリジン側のアドレスを公開しないとともに CloudFrontが利用するIPアドレスのみの許可させる CloudFrontが利用するIPアドレスは下記URLから取得可能 JSONフォーマット» Serviceキーの CLOUDFRONT でフィルタすることで抽出可能 OAI ヘッダー付与クライアント 48 CloudFront Edge IP制限/ ヘッダ制限 S3 カスタムオリジンサーバダイレクトアクセスクライアント

49 CloudFrontとAWS WAFの連携 AWS WAFで定義したWeb ACLをCloudFront Distributionに適用可能 CloudFrontをサービスの前段に配置することでサイトの保護を実現 AWS WAFでの制御 IPアドレス制限 / SQLインジェクション / ヘッダー, クエリ等のStringマッチ AWS WAFの内容が即時反映ブロック時は403(Forbidden)を応答不正なアクセスをブロック 403 クライアント CloudFront Edge 49 オリジンサーバ

50 Route53によるリソース保護ーALIASリソースレコードセット ALIASレコードとは Route 53固有の仮想リソースレコード DNSクエリに対して以下のAWSサービスのエンドポイントのIPアドレスを直接返す(通常はCNAMEを利用) 静的ウェブサイトとして設定されたS3バケット CloudFront ディストリビューション ELB ホストゾーン内のリソースレコードセット (複雑なポリシーの作成で使用) ALIASレコードを使うメリット DNSクエリに対するレスポンスが高速 Zone Apexが利用可能 ALIASレコードに対するクエリが無料(S3, CloudFront, ELB) エイリアスリソースレコードセットと非エイリアスリソースレコードセットの選択 - Amazon Route

51 Route53によるリソース保護ープライベートDNS プライベートホストゾーンとは VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナインターネットにリソースを公開せずに名前解決が可能 1つのプライベートホストゾーンで複数のVPCをサポート VPC内のDNSドメインに対してどのようにトラフィックをルーティングするかを定義複数のVPCネットワークで同じホストゾーンを利用可能複数リージョンのVPCでも同じホストゾーンを利用可能ただしVPCが相互にアクセスできることが必要パブリックホストゾーンと合わせてスプリットビューが設定可能制約注意点 Route 53 ヘルスチェックは利用できない ALIASレコードはホストゾーン内のRoute 53リソースレコードセットのみサポートプライベートホストゾーンを使用するには以下のVPC 設定を trueに設定する必要がある 51 enablednshostnames enablednssupport

52 ウェブアプリケーションファイアウォール WAF とは Web Application Firewall (WAF) は HTTPトラフィックをフィルタなどの制御をするためのアプライアンスやサーバプラグインなどのルールセットのこと WAFは以下４つで提供されることが多い 52 Pure Play: スタンドアローンのアプライアンスやソフトウェア CDN: Content Delivery Networkへのバンドル Load Balancer: ロードバランサへのバンドル Universal Threat Manager (UTM): 統合セキュリティ管理 UTM の一部として提供

53 ウェブアプリケーションファイアウォール WAF)の活用 WAFは Webサイトやアプリケーションが攻撃されてダウンしたりデータが流出したりすることがないように手助けをする WAFの一般的なユースケース SQL Injection (SQLi) Cross Site Scripting (XSS)対策 Webクローラスクレイピング等のBOT対策 DDoS緩和 (HTTP/HTTPS floods) ガートナーのレポートによると導入理由の25-30%はPCIDSS対応のため 53 Magic_Quadrant_for_Web_Application_Firewalls.pdfによる

54 WAFによるDDoSへのリソース保護 HTTPレート制限特定の期間にわたりエンドユーザーごとにサポートされる HTTP リクエストのしきい値を確立エンドユーザーがそのしきい値を超えると WAF は新しいリクエストをブロックまたはバッファリングし他のエンドユーザーがアプリケーションにアクセスできるように HTTPリクエストの検査通常のパターンに準拠しないものを識別 Ex.文字制限を超えているログインを防止全件検索を防止応答がコンピュータでないことを確認するテスト Completely Automated Public Turning test to tell Computers and Humans Apart (CAPTCHA) テストや IP 評価リストの実装 54

55 AWS WAF カスタムルールによるフィルタ 55 SQLインジェクション XSSなどのよくある攻撃への対策モニタリング

56 AWS WAFとMarketplaceの併用について AWS WAF Marketplace WAFs Amazon CloudFrontとの併用クラウドベースの防御セルフサービス簡単なデプロイ使った分だけのお支払いオートスケール DevOpsと相性がいい Do it yourself EC2インスタンス上で動作マネージドサービス BYOL 1時間単位など様々スケールさせるには別途設定変更点特別作業等必要

57 WAF サンドイッチ 57

58 ターゲットはどこか分類ターゲット狙い代表的な攻撃例割合主な対処 Application layer DDoS attacks アプリケーション層アプリケーションリソースを消費 HTTP GET Flood 15% WAFによるアプリケーションレイヤ保護 Stateexhaustion D DoS attacks トランスポート層 FW IPS ロードバランサーなどのシステムリソースを消費 SYN Flood 20% 有効なトラフィックのみの受付 CloudFront ELB Volumetric DDoS attacks ネットワーク層ネットワークで処理が不可能な大量のパケットを送信 UDP増幅攻撃 65% 有効なトラフィックのみの受付 CloudFront ELB 58

59 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 59

60 攻撃を受けていることを検知しよう早期の発見 = アラームが対応を加速アプリケーションの正常と異常の切り分けとベンチマーク化 60

61 Amazon CloudWatchとは AWSの各種リソースを監視するサービス AWSリソースの死活性能ログ監視 (監視) 取得メトリックスのグラフ化 (可視化) 各メトリックスをベースとしたアラーム(通知) アクションの設定が可能 61

62 DDoS攻撃の推奨アラートメトリクス(1/2) サービスメトリクス説明 Auto Scaling GroupMaxSize Auto Scaling グループの最大サイズ AWS の請求 EstimatedCharges AWS 使用量に対する予想請求額 Amazon CloudFront Requests すべての HTTP/S リクエストに対するリクエスト数 Amazon CloudFront TotalErrorRate HTTP ステータスコードが 4xx または 5xx であるすべてのリクエストの割合 Amazon EC2 CPUUtilization 割り当てられた EC2 コンピュートユニットのうち現在使用されているものの比率 Amazon EC2 NetworkIn すべてのネットワークインターフェースでのこのインスタンスによって受信されたバイトの数 Amazon EC2 StatusCheckFailed StatusCheckFailed_Instance と StatusCheckFailed_System の組み合わせでどちらかのステータスチェックが失敗したら報告します 62

63 DDoS攻撃の推奨アラートメトリクス(2/2) サービスメトリクス説明 ELB UnHealthyHostCount 各アベイラビリティーゾーンの異常なインスタンス数 ELB RequestCount 受信され登録されたインスタンスにルーティングされた完了したリクエスト数 ELB Latency リクエストがロードバランサーから送信され応答を受信するまでの経過時間秒 ELB HTTPCode_ELB_4xx HTTPCode_ELB_5xx ロードバランサーで生成される HTTP 4XX または 5XX エラーコードの数 ELB BackendConnectionErrors 成功しなかった接続の数 ELB SpilloverCount キューがいっぱいなため拒否されたリクエストの数 Amazon Route 53 HealthCheckStatus ヘルスチェックのエンドポイントのステータス 63

64 CloudWatch Logs サーバアプリケーションリソースの監視 Log Agent Amazon Linux Ubuntu Log Agent Windows Log Agent CloudWatch Logs CloudWatch Metrics Log Agent Red Hat Enterprise Linux CloudWatch Alarm 64 SNS

65 CloudWatch Logsを使ったログ監視デフォルトのメトリクスに加え CloudWatch Logsを使ってOS アプリケーション等のテキストログをモニタリングエージェント経由でログメッセージをCloudWatchエンドポイントに転送例えば 65 アプリケーションログの特定の文字列 NullReferenceException をモニタリングログデータの特定の場所での任意の文字列例: Apache アクセスログの 404 ステータスコードの発生数をカウント

66 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 66

67 対応計画をたてよう攻撃されているときに対応戦略を立てても効果は期待できませんアーキテクチャを検証しインフラストラクチャにとって有効な手法を選択する弾力性を高めるためのコストを評価し防御の目標を理解する攻撃が発生したときの連絡先を明確にする 67

68 攻撃と課金コストの問題 AWSのリソースによる吸収コストはかかるコストに対する許容度は組織により異なるコストと業務継続のバランス異常を判定しあらかじめ対応を考える 68

69 DDoSだけが攻撃とは限らない DDoSに紛れて他の攻撃が行われている可能性もアクセスコントロールとアラートログにより何が起きているかを判定サービスを止める決断も必要かも 69

70 AWSサポートの効果的な活用 DDoS 攻撃の際により高いレベルのサポートを必要とするお客様は次のメリットに基づいてエンタープライズサポートレベルをご検討くださいテクニカルアカウントマネージャー TAM による専属的なサポート 70

71 アジェンダイントロダクション攻撃領域を削減スケールして攻撃を吸収公開されたリソースを保護通常時の動作を学習攻撃に対する計画を作成まとめ 71

72 まとめ責任共有モデルに基づき AWSとお客様それぞれが対策を実施する必要があります AWSの様々なサービスの組み合わせにより DDoS対策を実現することが可能です攻撃を分散許容する対策とリソースを攻撃から保護し正当なトラフィックを許容する対策を組み合わせましょう対策の費用対効果を考えた実装をしましょう 72

73 参考資料 DDoSに対するAWSのベストプラクティス Paper_Revised.pdf セキュリティプロセスの概要 S%20Security%20Whitepaper.pdf Amazon CloudFront から Edge Services へ CDN を再定義する AWS の新たな取り組み AWS Summit Tokyo2015) E-09-Tokyo-Summit-2015.pdf 73

74 Q&A 74

75 AWSトレーニングでは様々な学習方法をご提供していますメリット提供方法 AWS について実習や実践練習を通じて学習できる AWS を熟知したエキスパートから直接 AWS の機能について学び疑問の答えを得られる自信をもって IT ソリューションに関する決定を下せるようになる e ラーニングや動画セルフペースラボクラスルームトレーニング詳しくはをご覧ください 75

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索 76 もしくは

76 公式 Twitter/Facebook AWS 検索 76 もしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています!

77 AWSの導入お問い合わせのご相談 AWSクラウド導入に関するご質問お見積り資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください 77 AWS 問い合わせで検索してください

78 ご清聴ありがとうございました!

プロダクト仕様書 SLB

プロダクト仕様書 SLB Server Load Balancer(SLB) とは Server Load Balancer はトラフィックを複数の ECS インスタンスに分散させるサービスですトラフィックを分散することでアプリケーションシステムのサービス能力を向上すると共に SPOF ( 単一障害点 ) を回避することによって可用性を高めることができます 1 プロダクトの概要 1-1 プロダクト概要 Server Load