Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey

becominn
July 11, 2024

DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey

2024年7月11日に実施された「Classmethod Odyssey 情シスとセキュリティ編」の登壇資料です。
https://classmethod.connpass.com/event/324425/

becominn

July 11, 2024
Tweet

More Decks by becominn

Other Decks in Technology

Transcript

  1. 3 自己紹介 べこみん( X: @beco_minn) 2024 Japan AWS Top Engineers

    (Security) 2023/2024 Japan AWS All Certifications Engineers • 好きなAWSサービス: AWS Security Hub、AWS WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと
  2. DDoS攻撃の⽬的 • 競合サイトへの営業妨害 • 愉快犯による嫌がらせ ◦ EDoS(Economic Denial of Sustainability

    Attack) • ⾝代⾦要求(ランサムDDoS) • 他のサイバー攻撃のための⽬隠し 12
  3. AWS Shield Advanced • AWS最強のL7 DDoS攻撃緩和サービス • DDoS対策専⾨のチームが24/365で対応 • AWS

    WAFのルール作成、運⽤もやってくれる • ⽉額 約45万円の年間契約必須 ◦ つまり年間約600万円 ◦ ただし、この料⾦に保護するAWS WAFの料⾦も含まれる ◦ そのためWAFの料⾦が上記を超えるような⼤規模なサービスの場 合、導⼊は勿論あり ◦ DDoS攻撃によって発⽣したEC2, ELB, CloudFront, Global Accelerator, Route53の⾼騰料⾦を吸収してくれる 21
  4. 攻撃対象領域の縮⼩ 1. Security Group、Network ACLの利⽤ 2. CloudFrontを利⽤したオリジンの保護 • カスタムヘッダーを活⽤して、CloudFrontディストリ ビューションからのみオリジンへアクセス

    3. API Gatewayを利⽤したAPIエンドポイントの保護 • API フロントエンドのための独⾃サーバーが不要 • 他のコンポーネントの難読化 26
  5. 1. DDoS緩和のベストプラクティス         可⽤性を⾼める A. EC2 インスタンスのスケールアップ • ネットワークスループット性能の⾼いインスタンスタイプ への変更 •

    ハードウェア専有インスタンスの利⽤ B. Auto Scalingを利⽤したスケーリング C. Elastic Load Balancerを利⽤した負荷分散 • アプリケーションに応じてALB, NLB, CLBを検討 28
  6. 2. エッジロケーションを活⽤したスケーリング   AWS Shield Standardの恩恵を最⼤限に享受する A. CloudFrontを利⽤したWebアプリ配信 B. Global Acceleratorによるネットワークの保護

    C. Route53を利⽤する • Route53は⾼可⽤でスケーラブル ◦ Route53はAWS唯⼀のSLA 100%サービス • NXDOMAIN攻撃対策として、Aレコードを利⽤してDNSクエリの 料⾦を抑える 29
  7. 2. エッジロケーションを活⽤したスケーリング   AWS Shield Standardの恩恵を最⼤限に享受する 30 Shield Standard AWS

    はすべての顧客を保護するのに役立ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。 これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、 可用性についての包括的な保護を受けます。 引⽤元: https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-standard-summary.html Shield Standard AWS はすべての顧客を保護するのに役⽴ちますが、 Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、 AWS Global Accelerator および標準アクセラレータでは特にメリットがあります。 これらのリソースは、既知のすべてのネットワークおよびトランスポートレイヤー攻撃に対して、可⽤性に ついての包括的な保護を受けます。
  8. 3. アプリケーション層の防御   悪意のあるL7 リクエストの緩和、防御 A. CloudFrontの利⽤ • CDNとしてコンテンツをキャッシュ B.

    AWS WAFによるフィルタリング • レートベースのルール • IPレピュテーションのルール • 地理的⼀致のルール • Bot Controlルールやアカウント周りのインテリジェントなルール C. AWS Shield Advanced 31
  9. AWS WAFのIP評価ルールグループ AWSManagedRulesAmazonIpReputationList • Amazon 内部脅威インテリジェンスに基づくルールグループ • ボットやその他の脅威に関連付けられている IP アドレス

    • DDoS アクティビティにアクティブに関与していると識別された IP アドレス 「AWSManagedIPDDoSList」 AWSManagedRulesAnonymousIpList • 匿名 IP リストのルールグループ • アプリケーションからIDを隠そうとする、VPN、プロキシ、Tor ノード、 ウェブホスティングプロバイダーなどからのリクエストを⾏うIPアドレス • ボットを緩和出来るかも 32
  10. + 運⽤も勿論⼤事! 1. 負荷テスト ※ DDoSのテストを実施する場合のポリシー を遵守しましょう 2. メトリクスとアラーム •

    AWS WAFやCloudFrontなどのメトリクスを⾒ることで、異常を検知 • ホワイトペーパーには各サービスにおける推奨メトリクスが記載 3. ログ記録 • 事後対応のためにも、CloudTrailやWAFのログなどは記録しておきま しょう 33
  11. + 運⽤も勿論⼤事! 4. マルチアカウントにおける可視性と保護の管理 • 複数のアカウントで⼤規模なコンポーネントを保護する場合、 Firewall ManagerやSecurity Hubで集中監視を⾏って運⽤の負 荷を下げよう

    5. インシデント対応戦略、⼿順書の作成 • 証拠の収集、緩和、回復、事後分析など 6. AWSサポートの活⽤ • サポートプランの変更など 34
  12. 活⽤サービスまとめ • このAWSサービス、機能を使おう!(ラベリングは個⼈の意⾒です) ◦ MUST ▪ Security Group、Network ACL ▪

    Auto Scaling ▪ ELB(ALB, NLB, CLB) ◦ SHOULD (ほぼMUST) ▪ Amazon Route53 ▪ Amazon API Gateway ▪ Amazon CloudFront ▪ AWS WAF ◦ MAY ▪ AWS Global Accelerator ▪ AWS Shield Advanced 36
  13. まとめ • DDoS攻撃の種類は1つじゃない ◦ インフラ層(L3, L4)、アプリケーション層(L6, L7)など ◦ それぞれに合わせた対応が必要 ▪

    L3, L4の防御はAWS Shield Standardが透過的にやってくれている • DDoS攻撃を完全に防ぐ対策なんて無い ◦ 耐えるシステム作り ◦ 攻撃対象領域の縮⼩やリクエストの緩和が⼤事 ◦ インシデント発⽣後の対応など、運⽤の整備も⼤事 • ビジネスへの影響や予算との兼ね合いを考慮しながら、AWSのホワイト ペーパーを参考に出来ることから取り組みましょう ◦ https://docs.aws.amazon.com/whitepapers/latest/aws-best-practi ces-ddos-resiliency/aws-best-practices-ddos-resiliency.html 37