_BlackBelt_AWS_Shield

Size: px

Start display at page:

Download "_BlackBelt_AWS_Shield"

せいちゃわんや
7 years ago
Views:

1 AWS Black Belt Online Seminar AWS Shield アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト安司仁

2 紹介安司仁 ( あんじひとし ) メディアエンターテインメントソリューション部ソリューションアーキテクト主に新聞 / 出版 /TV 局などメディアのお客様を担当好きな AWS のサービス : AWS Simple Storage Service Shield 2

3 内容についての注意点本資料では 2017 年 7 18 時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト ( にてご確認ください資料作成には分注意しておりますが資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます価格は税抜表記となっています本居住者のお客様が東京リージョンを使する場合別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 3

4 Agenda DDoS 対策 AWS Shield AWS Shieldオペレーションまとめ 4

5 5 DDoS 対策

6 セキュリティ脅威のタイプ DDoS Application Attacks Bad Bots アプリケーション層 HTTP floods SQL injection Social engineering Sensitive data exposure Application exploits Crawlers Content scrapers Scanners & probes ネットワーク / トランスポート層 Reflection SSL abuse Amplification Slowloris Layer 4 floods 6

7 DDoS とは? Distributed Denial Of Service 7

8 DDoS 攻撃の緩和における課題むずかしさはどこにある? 複雑な前準備事前の帯域確保アプリケーションの直し 8

9 DDoS 攻撃の緩和における課題マニュアルでの対策 Traditional Datacenter 緩和を開始するにはオペレータの関与が必須 9 離れたスクライビング場所からどうやってトラフィックを誘導する? 軽減までの時間

10 お客様によるDDoS 対策次の5つの観点から対策を検討実施攻撃対象領域を削減するスケールして攻撃を吸収できるようにする公開されたリソースを保護する通常時の動作について学習する攻撃に対する計画を作成する 10

11 こんなお客様の声きな DDoS によって何が起こるのか? AWS はアプリレイヤの DDoS 攻撃からもまもってくれるのか? AWS は DDoS からまもってくれるのか? DDoS のエキスパートと話をしたいどんな攻撃をうけているのかしることができるのか? DDoS 攻撃へのスケーリングはコストがかかりすぎる 11

12 12 DDoS 攻撃の緩和における課題

13 AWS におけるゴールお客様ビジネスの差別化要素にならないことの肩代わり可性の確保ありきたりの攻撃は動保護 AWS 上のサービスは可である

14 DDoS 防御は AWS に予め組み込まれている AWS のグローバルインフラストラクチャに統合外部ルーティングなしで常時オン速 AWS データセンターで冗インターネット接続 14

15 セキュリティ脅威のタイプ AWS Shield DDoS Application Attacks Bad Bots アプリケーション層 HTTP floods SQL injection Social engineering Sensitive data exposure Application exploits Crawlers Content scrapers Scanners & probes ネットワーク / トランスポート層 Reflection SSL abuse Amplification Slowloris Layer 4 floods 15

16 AWS Shield Standard Protection Advanced Protection 全ての AWS ユーザに適無料より規模なより洗練された攻撃からの防御を提供する有料のサービス 16

17 17 AWS Shield Standard

18 AWS Shield Standard Layer 3/4 protection ü 般的な攻撃 (SYN/UDP フラッド反射攻撃等 ) から防御 ü 動検知 & 動緩和 üawsサービスにビルトイン済 Layer 7 protection ülayer 7のDDoS 攻撃への緩和は AWS WAFでう üセルフサービス ü 使った分だけの払い

19 L3/L4 動緩和システムこれまでの DDoS 保護経験に基づき L3 / L4 動緩和システムを開発 CloudFront Route53 エッジロケーションの前にインラインで配置されすべての着信パケットを検査 Edge Location AWS Region DDoS 攻撃の 96% を動軽減追加設定や数料なし利点 DDoS Attack CloudFront Route 53 Customerʼs Origin Infrastructure (ELB, EC2, S3, etc). スケーラビリティと低コスト常時保護 User 動緩和システム CloudFront Route 53 動緩和 AWS ソリューションに構築 19

20 DDoS 攻撃排除例 May 6, 2015 Route53の34のエッジロケーションを標的としたDNS フラッド攻撃ピークボリュームは今までのDDoSのトップ4% にる規模 (source: Arbor Networks) 動的に検知をい可性に影響を与えることなく緩和毎年数百件のアタックを鎮静化 20

21 DDoS 攻撃排除例 Amazon Route 53 Response Time May 6, 2015 Route53の34のエッジロケーションを標的としたDNS フラッド攻撃ピークボリュームは今までのDDoSのトップ4% にる規模 (source: Arbor Networks) 動的に検知をい可性に影響を与えることなく緩和毎年数百件のアタックを鎮静化 21

22 22 AWS Shield Advanced Managed DDoS Protection

23 AWS Shield Advanced 現在提供中のサービス Classic Load Balancer Application Load Balancer Amazon CloudFront Amazon Route 53 23

24 AWS Shield Advanced 現在提供中のサービス Classic Load Balancer Application Load Balancer Amazon CloudFront Amazon Route 53 提供リージョン Virginia, Oregon, Ireland, Tokyo AWS WAF との連携 Global に設定 24

25 AWS Shield Advanced Shield Standard による保護に加え以下の機能による包括的な DDoS 対策ソリューションを提供 DDoS Response Team L7 DDoS Protection Cost Protection Advanced Mitigation Reporting 25

26 DDoS Response Team 24x7 で DDoS Response Team(DRT) へアクセス可能 AWS と Amazon.com を保護する知識と経験を持った DDoS の専家チームサポートケース経由でのアクセス事前の構成相談対応クリティカルで緊急の優先順位のケースはすぐに回答され DRT に直接ルーティング複雑なケースは DRT にエスカレーションすることもできます 26

27 24x7 での DDoS Response Team へのアクセス Before Attack During Attack After Attack コンサルテーションとベストプラクティス提供攻撃からの緩和事後分析 27

28 28 L7 DDoS/Cost Protection L7 DDoS Protection :AWS WAF で保護します別途 AWS WAFの料は不要です CloudFront, Application Load Balancer DRTによるセットアップ援セルフサービスで構成 Cost Protection DDoS 攻撃によるスケーリングコストは請求しません CloudFront Application Load Balancer Classic Load Balancer Route 53

29 Advanced Mitigation Layer 3/4 infrastructure protection Layer 7 application protection 29

30 Layer 3/4 infrastructure protection 度な軽減技術の採決定論的フィルタリングスコアリングに基づくトラフィックの優先順位付け度なルーティングポリシー 30

31 AWS WAF Layer 7 application protection 31 カスタムルールによる Web トラフィックフィルタ悪意のあるリクエストのブロックアクティブな監視とチューニング

32 Advanced Mitigation DRT による動セットアップで攻撃を緩和度な軽減の例 Switching IP address spaces (L3/L4/L7) IP Unicast to Anycast(L3/L4/L7) Custom WAF block rules (L7) Prioritization using packet scoring (L3/L4) 32 Filtering Scoring Routing WAF

33 Reporting CloudWatchを経由してリアルタイム通知ニアリアルタイムメトリクスと攻撃のフォレンジクスのためのパケットキャプチャ時系列の攻撃レポート 33 Attack monitoring and detection

34 AWS Shield Advance 運は 3 形態 Self-service DDoS エキスパートによる対応積極的な DRT の関与 34

35 AWS Shield Advance Self-service AWS WAF が追加費なしで含まれます L3/L4 も含めた攻撃の通知フォレンジック / 履歴レポートを活 35

36 AWS Shield Advance DRT:DDoS エキスパートによる対応 1. サポートケースから AWS DRT を依頼 2. DRT は攻撃に優先度を付ける 3. DRT は AWS WAF ルールの作成を援 36

37 AWS Shield Advance 積極的な DRT 関与 1. Always-On モニタリングが DRT を呼び出す 2. DRT が積極的に分類 ( トリアージ ) 3. DRT が AWS WAF ルールを作成 ( 事前承認設定が必要です ) 37

38 AWS DDoS Shield: 価格 Standard Protection Advanced Protection 利コミット不要追加コストなし 1 年の利コミット額費 : $3,000 +Data transfer fees Data Transfer Price ($ per GB) CloudFront ELB First 100 TB $0.025 $0.050 Next 400 TB $0.020 $0.040 Next 500 TB $0.015 $0.030 Next 4 PB $0.010 Contact Us Above 5 PB Contact Us Contact Us 38

39 39 AWS Shield Advanced オペレーション

40 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加する以下運形態によって検討ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 40

41 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加する以下運形態によって検討ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 41

42 AWS Shield にアクセスする準備 AWS Shield を利するためのユーザ設定 1: AWS アカウントをサインアップする # 皆様すでにお持ちかと思います 2: IAM ユーザーを作成する Shield 操作のユーザを作成必要なポリシーは AdministratorAccess 3: ツールをダウンロードするプログラムから利する場合 42 setting-up-waf.html

43 43 まずは Shield 画にアクセス

44 Shield コンソール画 Protected resources リンクからアクセス 44

45 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加する以下運形態によって確認ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 45

46 AWS Shield Advanced を有効化 Activate Shield Advanced ボタンを押す I agree とタイプ 46

47 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加以下運形態によって確認ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 47

48 AWS Shield Advanced の保護対象おさらい Classic Load Balancer Application Load Balancer Amazon CloudFront Amazon Route 53 AWS WAF の防御対象 Global に設定 48

49 AWS Shield Advanced 保護を追加 CloudFront の場合 :Global で設定 Resource Type: CloudFront distribution Region: Global で固定 AWS resource: 保護対象 distribution 選択 Protection name: distribution 名がセットされるが任意に変更可能 Network DDoS attack visibility: Enable にデフォルトでチェック変更不可 Web DDoS attack: AWS WAF 適対象のため Enable にチェックがる変更可すでに連携されている WAF ACL があれば選択済み無ければ既存 ACL から選択するか新しい web ACL を作成 Network DDoS attack mitigation: Enable にデフォルトでチェック変更不可 49

50 AWS Shield Advanced 保護を追加 ELB Application Load Balancer の場合 Resource Type: ELB Application Load Balancer を選択 Region: 保護対象のリージョンを選択 AWS resource: 保護対象の ALB を選択 Protection name: ALB 名がセットされるが任意に変更可能 Network DDoS attack visibility: Enable にデフォルトでチェック変更不可 Web DDoS attack: AWS WAF 適対象のため Enable にチェックがる変更可能すでに連携されている WAF ACL があれば選択済み無ければ既存 ACL から選択するか新しい web ACL を作成 Network DDoS attack mitigation: Enable にデフォルトでチェック変更不可 50

51 AWS Shield Advanced 保護を追加 Route53 の場合 Resource Type: Route53 を選択 Region: Global で固定 AWS resource: 保護対象の Zone を選択 Protection name: Zone 名がセットされるが任意に変更可能 Network DDoS attack visibility: Enable にデフォルトでチェック変更不可 Web DDoS attack: AWS WAF 適対象外のため Enable にチェックがらない変更不可 Network DDoS attack mitigation: Enable にデフォルトでチェック変更不可 51

52 AWS Shield Advanced 保護を追加 ELB Classic Load Balancer の場合 Resource Type: ELB Classic Load Balancer を選択 Region: 保護対象のリージョンを選択 AWS resource: 保護対象の CLB を選択 Protection name: CLB 名がセットされるが任意に変更可能 Network DDoS attack visibility: Enable にデフォルトでチェック変更不可 Web DDoS attack: AWS WAF 適対象外のため Enable にデフォルトでチェックがらない変更不可 Network DDoS attack mitigation: Enable にデフォルトでチェック変更不可 52

53 AWS Shield Advanced 保護を追加現在の保護対象リソースステータスを覧確認 Summary of protected resources に設定したそれぞれのリソースの総数が表 Incidents in the last 24 hours に直近 24 時間以内に発した過去の Incidents/ 対応中の Incidents 数が表 Protected resources に保護対象リソースの覧が表関連する web ACL が表 Add protected resource で保護対象のリソース追加が可能 53

54 AWS Shield Advanced 保護を追加有効化時に新規作成した WAF ACL の確認 54

55 AWS Shield Advanced の Report 機能以下の 2 つの法で DDoS レポートを確認 AWS Shield コンソール incidents 画 CloudWatch 55

56 Shield Advanced の Report 機能 : Incidents 画現在対応中 / 過去対応したものを覧表 AWS resource affected 影響を受けたリソース Attack vectors 攻撃種別 Status 対応中のものは Current Incident に表 Incident start time いつ Incident が始まったか Incident duration 対応に要した時間 56

57 Sample Incident Incident は以下の様に表される ( 例 ) CloudWatch の該当メトリックを表 57

58 Shield AdvancedのReport 機能 :CloudWatch CloudWatchでの確認メトリックス >AWS/DDoSProtection>AttackVector, ResourceArn Global(CloudFront/Route53) リソース > バージニア北部での確認その他メトリックス同様にアラート設定が可能 58

59 Shield Advanced の Report 機能 :CloudWatch CloudWatch での確認 (CloudFront/Route53) バージニア北部リージョンで確認それぞれの攻撃種別毎にメトリックが確認できる >0 の場合 DDoS 発している 59

60 Shield Advanced の Report 機能 :CloudWatch CloudWatch での確認 (ELB) 保護対象リソースのリージョンで確認それぞれの攻撃種別毎にメトリックが確認できる >0 の場合 DDoS 発している 60

61 Shield Advanced の Report 機能 :CloudWatch メトリックスとしては 2 つ (>0 で攻撃検知 ) DDoSAttackBitsPerSecond DDoSAttackRequestsPerSecond 現在以下 15 の攻撃種別ごとに確認可能 ACKFlood ChargenReflection DNSReflection GenericUDPReflection MSSQLReflection NetBIOSReflection NTPReflection PortMapper RequestFlood RIPReflection SNMPReflection SSDPReflection SYNFlood UDPFragment UDPTraffic 61

62 Shield Advanced の Report 機能 :CloudWatch CloudWatch からのアラーム発砲アラーム設定お客様の Security Operation Center へ即時通知対処 or サポートを通じて DRT チームとコンタクト 62

63 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加以下運形態によって確認ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 63

64 AWS Shield Advance 積極的な DRT 関与 1. Always-On モニタリングが DRT を呼び出す 2. DRT が積極的に分類 ( トリアージ ) 3. DRT が AWS WAF ルールを作成 ( 事前承認設定が必要です ) 64

65 ルールとウェブ ACL を作成する権限を DRT に付与マニュアルリンクから遷移するだけで設定可 1. クリック 2. 設定 3. デプロイ DRT のロールとインラインポリシーが作成されます 65

66 AWS Shield Advanced を利するまでのステップ IAM ユーザの準備 AdministratorAccess ポリシーをもつグループ / ユーザを準備 AWS Shield Advanced 設定 1: AWS Shield Advanced を有効化 2: AWS リソースに AWS Shield Advanced 保護を追加以下運形態によって確認ください 3: ルールとウェブ ACL を作成する権限を DDoS Response Team (DRT) に付与 4: AWS WAF セキュリティ動化をデプロイ 66

67 セキュリティ脅威のタイプ AWS Shield DDoS Application Attacks Bad Bots アプリケーション層 HTTP floods SQL injection Social engineering Sensitive data exposure Application exploits Crawlers Content scrapers Scanners & probes ネットワーク / トランスポート層 Reflection SSL abuse Amplification Slowloris Layer 4 floods 67

AWS WAF セキュリティ動化をデプロイ連の AWS WAF ルールを含む事前設定されたテンプレートを意 (CloudFront/ALB 対象カスタマイズ可 ) ハニーポット (A): 悪意のあるボットのハニースポット ( カスタム Lambda 関数 +API Gateway エンドポイント ) を作成疑わしいリクエストを検査その送信元 IP アドレスを AWS WAF

68 AWS WAF セキュリティ動化をデプロイ連の AWS WAF ルールを含む事前設定されたテンプレートを意 (CloudFront/ALB 対象カスタマイズ可 ) ハニーポット (A): 悪意のあるボットのハニースポット ( カスタム Lambda 関数 +API Gateway エンドポイント ) を作成疑わしいリクエストを検査その送信元 IP アドレスを AWS WAF ブロックリストに追加 SQL インジェクション (B) とクロスサイトスクリプト (C) 保護 : 般的な SQL インジェクションやクロスサイトスクリプトパターンから保護する AWS WAF ルールを動的に設定ログ解析 (D):CloudFront のアクセスログを動的に解析疑わしい動作を特定し該当する送信元 IP アドレスを AWS WAF ブロックリストに追加する Lambda 関数を作成動 IP リスト (E): AWS WAF ルールを作成ブロックまたは許可する IP アドレスを動で追加可能 IP リスト解析 (F): サードパーティの IP 評価リストを 1 時間ごとに動的にチェック悪意のある IP アドレスを AWS WAF ブロックリストに追加する Lambda 関数を作成

69 AWS WAF セキュリティ動化をデプロイ 1. クリック 2. 設定 3. デプロイ Cloudfront ALB のテンプレートが意済み 69

70 70 AWS Shield Advanced まとめ

71 AWS DDoS Shield: 使い分け Standard Protection Advanced Protection 般的な DDoS 攻撃から保護 AWS 上で DDoS に強いアーキテクチャを構築するためのツールとベストプラクティスを提供規模で洗練された攻撃に対するさらなる防御攻撃に対する可視性複雑なケースでの DDoS エキスパートへの 24 時間 365 のアクセスを提供

72 72 よくある質問

73 よくある質問 Q. AWS Shield Standard の保護に AWS WAF の有効化は必須ですか? A. いいえ L7 保護が必要な際にご検討ください Q. AWS Shield Advanced を有効化したら即時反映されますか? A. いつでも有効化可能でほぼリアルタイムに反映されます 12 かのコミットメントが必要なので 12 か間有効です攻撃を受ける前に有効化することを推奨します Q. AWS Shield Advanced で保護するサービスを選択する必要がありますか? A. 保護対象サービスを選択する必要があります 100 リソース (ELB/ALB, CloudFront ディストリビューション, Route 53 ホストゾーン ) まで可能です超える場合は上限緩和申請も可能です Q. AWS Shield Advanced ではなぜ 12 かのコミットメントが必要なのですか A. 定の期間トラフィックを監視することでトラフィックパターンを学習し誤検知を防ぐことができますまた効果的なキャパシティ管理やルーティングを可能にするためです Q. AWS Shield Advanced 利にはどのレベルのサポートが必要ですか? A. Business か Enterprise サポートが必要です 73

74 参考情報 AWS Shield AWS Best Practice for DDoS Resiliency (June 2016) os_white_paper.pdf Cloud Security Resources 74

75 75

AWS Shield と AWS で構築するセキュアで柔軟性の高いアプリケーション

AWS Shield と AWS で構築するセキュアで柔軟性の高いアプリケーション AWS Shield と AWS Lambda@Edge で構築するセキュアで柔軟性の高いアプリケーション Kalyanaraman Prasad VP AWS Edge Services 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アジェンダ一般的なWebアプリケーションの構造どのような課題があるか?