DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey

Transcript

1. DDoS攻撃をAWSサービスだけで 緩和する⽅法をまとめてみた 2024.7.11 AWS事業本部 サービス開発室 べこみん

2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

3. 3 自己紹介 べこみん（ X: @beco_minn） 2024 Japan AWS Top Engineers

   (Security) 2023/2024 Japan AWS All Certifications Engineers • 好きなAWSサービス: AWS Security Hub、AWS WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと

4. ⽬次 1. 本セッションについて 2. DDoS攻撃とは 3. AWSにおけるDDoS攻撃耐性の上げ⽅ 3.1. AWS Shield

   3.2. AWS Best Practices for DDoS Resiliency 4. まとめ 4

5. 本セッションについて 5

6. 本セッションについて 話すこと • DDoS攻撃とは何か • AWSにおいて、DDoS攻撃からサービスを守るためには何 をすれば良いのか ◦ AWSのホワイトペーパー「AWS Best

   Practices for DDoS Resiliency」をベースに 話さないこと • DDoS攻撃対応サービスの具体的な設定 6

7. DDoS攻撃とは 7

8. 皆さん、 DDoS攻撃って知ってますか？ 8

9. DDoS攻撃とは Distributed Denial of Service Attack →分散型サービス拒否攻撃 そもそものDoS攻撃 9 引⽤元:

   AWS Best Practices for DDoS Resiliency サービス 停⽌

10. DDoS攻撃とは 10 引⽤元: AWS Best Practices for DDoS Resiliency サービス

    停⽌

11. DDoS攻撃とは ⼀⼝にDDoS攻撃といっても攻撃⼿法は様々 • インフラストラクチャ層(L3, L4)を狙った攻撃 ◦ e.g.) SYNフラッド、UDPフラッド • アプリケーション層(L6,

    L7)を狙った攻撃 ◦ e.g.) HTTPフラッド(GET/POST) • DNSサーバーを狙った攻撃 ◦ e.g.) DNSフラッド など 11

12. DDoS攻撃の⽬的 • 競合サイトへの営業妨害 • 愉快犯による嫌がらせ ◦ EDoS（Economic Denial of Sustainability

    Attack） • ⾝代⾦要求（ランサムDDoS） • 他のサイバー攻撃のための⽬隠し 12

13. 最近のDDoS攻撃の特徴 各セキュリティベンダーのDDoSレポートによると • Mirai派⽣型のボットネット ◦ 2016年頃に流⾏ったIoTマルウェア（Mirai）の派⽣型 が未だに利⽤されている • 地政学的な紛争などにより増加する ◦

    近年だとウクライナとロシア、イスラエルとパレスチ ナ間でDDoSのようなリクエストが増加している 13

14. AWSにおける DDoS攻撃耐性の上げ⽅ 14

15. AWSのホワイトペーパー 15 AWS Best Practices for DDoS Resiliency

16. その前に... 16

17. AWS Shield AWSでDDoS対策といえば • AWS Shield Standard • AWS Shield

    Advanced 17

18. AWS Shield Standard • 透過的に有効化されている、無料のインフラ層 (L3, L4) DDoS攻撃緩和サービス • ユーザーは特に意識する必要無し

    18

19. AWS Shield Standard ⼀応ダッシュボードがあります。 • グローバルにおける直近2週間までのL3, L4 DDoS攻撃の傾向 19

20. AWS Shield Standard ⼀応ダッシュボードがあります。 • ⾃分のアカウント全体へのL3, L4 DDoS攻撃回数など 20 ブログはこちら

21. AWS Shield Advanced • AWS最強のL7 DDoS攻撃緩和サービス • DDoS対策専⾨のチームが24/365で対応 • AWS

    WAFのルール作成、運⽤もやってくれる • ⽉額 約45万円の年間契約必須 ◦ つまり年間約600万円 ◦ ただし、この料⾦に保護するAWS WAFの料⾦も含まれる ◦ そのためWAFの料⾦が上記を超えるような⼤規模なサービスの場 合、導⼊は勿論あり ◦ DDoS攻撃によって発⽣したEC2, ELB, CloudFront, Global Accelerator, Route53の⾼騰料⾦を吸収してくれる 21

22. 改めまして、 AWSにおける DDoS攻撃耐性の上げ⽅ 22

23. AWSのホワイトペーパー 23 AWS Best Practices for DDoS Resiliency

24. どういう対策があるのか ⼤きく分けて2つ • 攻撃対象領域(アタックサーフェス)の縮⼩ ◦ そもそも攻撃(アクセス)させない • 攻撃の緩和 ◦ DDoS攻撃を完全に防ぐのは難しい

    ◦ なので、可能な限り緩和する 24

25. EC2 インスタンス ALB アクセスポイントの制限、リソースの難読化 攻撃対象領域の縮⼩ 25 例えば...

26. 攻撃対象領域の縮⼩ 1. Security Group、Network ACLの利⽤ 2. CloudFrontを利⽤したオリジンの保護 • カスタムヘッダーを活⽤して、CloudFrontディストリ ビューションからのみオリジンへアクセス

    3. API Gatewayを利⽤したAPIエンドポイントの保護 • API フロントエンドのための独⾃サーバーが不要 • 他のコンポーネントの難読化 26

27. 攻撃の緩和 ⼤きく3つに分類 1. DDoS緩和のベストプラクティス 2. エッジロケーションを活⽤したスケーリング 3. アプリケーション層の防御 27

28. 1. DDoS緩和のベストプラクティス         可⽤性を⾼める A. EC2 インスタンスのスケールアップ • ネットワークスループット性能の⾼いインスタンスタイプ への変更 •

    ハードウェア専有インスタンスの利⽤ B. Auto Scalingを利⽤したスケーリング C. Elastic Load Balancerを利⽤した負荷分散 • アプリケーションに応じてALB, NLB, CLBを検討 28

29. 2. エッジロケーションを活⽤したスケーリング   AWS Shield Standardの恩恵を最⼤限に享受する A. CloudFrontを利⽤したWebアプリ配信 B. Global Acceleratorによるネットワークの保護

    C. Route53を利⽤する • Route53は⾼可⽤でスケーラブル ◦ Route53はAWS唯⼀のSLA 100%サービス • NXDOMAIN攻撃対策として、Aレコードを利⽤してDNSクエリの 料⾦を抑える 29

30. 2. エッジロケーションを活⽤したスケーリング   AWS Shield Standardの恩恵を最⼤限に享受する 30 Shield Standard AWS

    はすべての顧客を保護するのに役立ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。 これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、 可用性についての包括的な保護を受けます。 引⽤元: https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-standard-summary.html Shield Standard AWS はすべての顧客を保護するのに役⽴ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。 これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、可⽤性に ついての包括的な保護を受けます。

31. 3. アプリケーション層の防御   悪意のあるL7 リクエストの緩和、防御 A. CloudFrontの利⽤ • CDNとしてコンテンツをキャッシュ B.

    AWS WAFによるフィルタリング • レートベースのルール • IPレピュテーションのルール • 地理的⼀致のルール • Bot Controlルールやアカウント周りのインテリジェントなルール C. AWS Shield Advanced 31

32. AWS WAFのIP評価ルールグループ AWSManagedRulesAmazonIpReputationList • Amazon 内部脅威インテリジェンスに基づくルールグループ • ボットやその他の脅威に関連付けられている IP アドレス

    • DDoS アクティビティにアクティブに関与していると識別された IP アドレス 「AWSManagedIPDDoSList」 AWSManagedRulesAnonymousIpList • 匿名 IP リストのルールグループ • アプリケーションからIDを隠そうとする、VPN、プロキシ、Tor ノード、 ウェブホスティングプロバイダーなどからのリクエストを⾏うIPアドレス • ボットを緩和出来るかも 32

33. ＋ 運⽤も勿論⼤事！ 1. 負荷テスト ※ DDoSのテストを実施する場合のポリシー を遵守しましょう 2. メトリクスとアラーム •

    AWS WAFやCloudFrontなどのメトリクスを⾒ることで、異常を検知 • ホワイトペーパーには各サービスにおける推奨メトリクスが記載 3. ログ記録 • 事後対応のためにも、CloudTrailやWAFのログなどは記録しておきま しょう 33

34. ＋ 運⽤も勿論⼤事！ 4. マルチアカウントにおける可視性と保護の管理 • 複数のアカウントで⼤規模なコンポーネントを保護する場合、 Firewall ManagerやSecurity Hubで集中監視を⾏って運⽤の負 荷を下げよう

    5. インシデント対応戦略、⼿順書の作成 • 証拠の収集、緩和、回復、事後分析など 6. AWSサポートの活⽤ • サポートプランの変更など 34

35. まとめ 35

36. 活⽤サービスまとめ • このAWSサービス、機能を使おう！(ラベリングは個⼈の意⾒です) ◦ MUST ▪ Security Group、Network ACL ▪

    Auto Scaling ▪ ELB(ALB, NLB, CLB) ◦ SHOULD (ほぼMUST) ▪ Amazon Route53 ▪ Amazon API Gateway ▪ Amazon CloudFront ▪ AWS WAF ◦ MAY ▪ AWS Global Accelerator ▪ AWS Shield Advanced 36

37. まとめ • DDoS攻撃の種類は1つじゃない ◦ インフラ層(L3, L4)、アプリケーション層(L6, L7)など ◦ それぞれに合わせた対応が必要 ▪

    L3, L4の防御はAWS Shield Standardが透過的にやってくれている • DDoS攻撃を完全に防ぐ対策なんて無い ◦ 耐えるシステム作り ◦ 攻撃対象領域の縮⼩やリクエストの緩和が⼤事 ◦ インシデント発⽣後の対応など、運⽤の整備も⼤事 • ビジネスへの影響や予算との兼ね合いを考慮しながら、AWSのホワイト ペーパーを参考に出来ることから取り組みましょう ◦ https://docs.aws.amazon.com/whitepapers/latest/aws-best-practi ces-ddos-resiliency/aws-best-practices-ddos-resiliency.html 37
38. None
39. None