AWSにおけるDDoS対策：効果的な防御方法と導入手順

ウェブサイトや外部に公開しているAPIなどは常に外部攻撃される可能性があり、DDoS攻撃(Distributed Denial of Service attack)があった場合は最悪サービスがダウンしてしまう事があります。

この記事ではAWSにおけるDDoS攻撃対策についてのサービスを紹介したいと思います。

AWSではDDoS対策に以下のサービスがあります。

• AWS Shield Standard

• AWS WAF

それでは各サービスについての詳細を説明していきます。

執筆者

AWS Shield Standard

DDos攻撃からクラウドを保護するための基本的なセキュリティサービスで無料で提供されており、AWSのすべてのリソースに自動的に適用されます。

AWS Shield StandardはL3（ネットワーク層）とL4（トランスポート層）へのDDoS攻撃に有効で、トラフィックをモニタリングし悪意のあるものを検知したり、攻撃を自動で緩和してくれます。

無料かつ自動で適用されるため、金額や設定漏れなど気にすることがないのでDDos攻撃を防いでくれる良い機能といえるでしょう。

また、AWS Shield StandardはAdvancedにアップグレードすることでL7(アプリケーション層)への攻撃からも保護できるようになります。

ただ、AWS Shield AdvancedはStandardと違い有料サービスとなり1年間のサブスクリプション契約で月額$3,000とデータ転送量に応じた転送料金が掛かるため、サービスの重要性を考慮し導入を検討すると良いでしょう。

AWS WAF

AWS WAF（Web Application Firewall）は、AWS上で提供されるウェブアプリケーションおよびAPIを保護するためのファイアウォールです。これにより、SQLインジェクションやクロスサイトスクリプティング（XSS）など、一般的なウェブ攻撃を防ぐことができます。

主な機能と特徴として、特定の要件に応じたカスタムルールを作成して、HTTPリクエストをフィルタリングできます。これにより、IPアドレス、HTTPヘッダー、URIパス、クエリ文字列などを基に、リクエストを許可、ブロック、またはモニタリングすることが可能です。これらのルールは、個別に設定することも、AWSが提供するマネージドルールを活用することもできます。

また、Amazon CloudFront、Application Load Balancer、API Gatewayなどと統合されており、AWS Shieldと組み合わせることで、DDoS攻撃に対する防御も強化されます。

AWS WAFの設定手順

1.Web ACLの作成: AWSマネジメントコンソールでWAFサービスを選択し、新しいWeb ACLを作成します。このACLには、保護したいリソースに適用するルールを追加します。

2.ルール、アクション追加: SQLインジェクションやXSS攻撃を防ぐためのルールを作成します。AWSが提供するマネージドルールを利用することも、独自にルールを定義することも可能です。

3.監視とログの設定: 作成したWeb ACLに対するリクエストをCloudWatchやS3バケットなどにログとして保存し、モニタリングを行います。これにより、トラフィックの傾向を把握し、ルールの改善に役立てることができます。

ルールの設計とメンテナンスにはある程度の知識が必要なため、1からルールを作るのが難しい場合は、マネージドルールを適用するのが良いでしょう。

マネージドルールは、AWSが提供するあらかじめ定義されたルールセットで、セキュリティに関する専門知識がなくても、簡単にセキュリティ対策が可能になります。

主なマネージドルールの種類

AWS Managed Rules for SQL Injection: SQLインジェクション攻撃を検出し、ブロックするためのルールです。これにより、攻撃者がSQLクエリを悪用してデータベースを操作するリスクを軽減できます。

AWS Managed Rules for Cross-Site Scripting (XSS): クロスサイトスクリプティング（XSS）攻撃を防ぐためのルールで、ユーザー入力がHTMLに埋め込まれる際に悪意のあるスクリプトが実行されることを防ぎます。

AWS Managed Rules for DDoS Protection: 分散型サービス拒否（DDoS）攻撃を緩和するためのルールで、異常なトラフィックパターンを検出し、攻撃からアプリケーションを保護します。

Core Rule Set (CRS): OWASP（Open Web Application Security Project）によって策定された一般的な攻撃パターンを対象としたルールセットです。SQLインジェクション、XSS、リモートファイルインクルージョンなどの脅威をカバーします。

マネージドルールの利点

手軽さとスピード: ルールがあらかじめ定義されているため、迅速にセキュリティ対策を導入可能。定期的な更新: AWSが継続的にルールを更新するため、新たな脅威にも対応できます。

マネージドルールは手軽に適用できますが、すべての攻撃をカバーできるわけではないのでマネージドルールで対応出来ない場合はカスタムルールを追加する必要があります。

まとめ

AWS WAFとAWS Shield Standardは、それぞれ異なるレイヤーでアプリケーションを保護することが可能なので、適切に組み合わせ、活用することで、セキュリティリスクを最小限に抑えアプリケーションを安全に運用することが可能になります。

AWSのエコシステムの活用と継続的にセキュリティポリシーの見直しで、最新の脅威にも対応できるセキュリティ構築をしていきましょう。