Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DDoS攻撃への対策できてますか?
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
umehara
December 23, 2024
Technology
40
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
DDoS攻撃への対策できてますか?
umehara
December 23, 2024
More Decks by umehara
See All by umehara
Infrastructure as Codeのはじめ方 ~NRIネットコム TECH AND DESIGN STUDY #93~
umekou
1
140
Amazon S3 Vectorsを使って低コストRAGを組んでみる
umekou
0
160
AWSサービスアップデート202507.pdf
umekou
0
100
AWSマンスリーアップデートピックアップ!! 2025年4月分
umekou
0
110
コンソールで学ぶ!AWS CodePipelineの機能とオプション
umekou
3
340
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
310
AWSサービスアップデート 2025/02
umekou
0
110
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
450
AWSサービスアップデート202412 re:Invent特別編
umekou
0
140
Other Decks in Technology
See All in Technology
Snowflakeと仲良くなる第一歩
coco_se
4
490
Claude Codeをどのように キャッチアップしているか
oikon48
13
8.3k
LLMにもCAP定理があるという話
harukasakihara
0
390
SONiCのLinuxベースを活かしたZabbix監視
sonic
0
190
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
1.2k
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
yama3133
2
200
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
620
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
380
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
130
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.4k
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
プロダクト開発から業務改善コンサルまで。事業全体へ「染み出す」ことで広がるエンジニアの可能性
ham0215
0
130
Featured
See All Featured
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.5k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
370
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
230
Building the Perfect Custom Keyboard
takai
2
800
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Mobile First: as difficult as doing things right
swwweet
225
10k
Optimising Largest Contentful Paint
csswizardry
37
3.7k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
160
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
230
KATA
mclloyd
PRO
35
15k
Transcript
DDoS攻撃への対策できてますか? NRIグループre:Cap 2024 ~NRIネットコム TECH AND DESIGN STUDY #53~ 2024年12月23日
NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原 航
1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報
⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
2 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃への対策できてますか? #nncstudy
転載、複製、改変等、および許諾のない二次利用を禁止します
3 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは 01
ベストプラクティス構成の紹介 02 各サービス紹介 03 最後に 04 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
4 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは? ◼
DDoS攻撃とは? ⚫ 大量のIPアドレスからパブリックなエンドポイントに対して、大量にリクエストを送信する攻撃 ⚫ 攻撃されると正常ユーザへの影響が発生 • アプリケーションの処理遅延 • 5XXエラー増加 • レイテンシー増加 • 名前解決不可 ⚫ 攻撃対象はネットワークレイヤよりアプリケーションレイヤへの攻撃が多い #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃者 一般ユーザ AWS Cloud
5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ベストプラクティス構成の紹介 #nncstudy
転載、複製、改変等、および許諾のない二次利用を禁止します
6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 基本的なことは省略 #nncstudy
転載、複製、改変等、および許諾のない二次利用を禁止します ②ELBを使った 負荷分散 ①Route53を 使ったDNS ③Auto Scaling でスケールアウト
7 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話する部分 #nncstudy
転載、複製、改変等、および許諾のない二次利用を禁止します
8 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(Amazon CloudFront)
#nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ コンテンツキャッシュの利用
⚫ エッジロケーションからレスポンスを返してくれる ◼ エラーコードのキャッシュ ⚫ オリジンから出されたエラーコードをCloudFront側でキャッシュできる ◼ 地理的制限を使ったブロック ⚫ サービス提供を想定していない国のブロックする ⚫ WAFの地理的一致ルールを優先して利用する • WAFでブロックされたCloudFrontへの通信料金が課金されなくなった(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ CloudFrontのオリジン保護
⚫ ALBのSGでCloudFrontのみを通すようにプレフィックスを設定 ⚫ VPCオリジン機能でプライベートサブネット内のALBへの接続も可能(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Managed Prefix Listsで CloudFrontのIPアドレスからのみ許可 VPCオリジン機能で Private subnet内のLBと接続
11 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS WAF)
#nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ カウントモードで検知してからブロックに移行
⚫ どのようなリクエストをブロックできるかをカウントモードで検証してからブロック ◼ AWSマネージドルールの利用 ⚫ AWSManagedRulesCommonRuleSetはOWASP TOP10に関するルールが含まれてる ⚫ IPReputationListは悪意あるIPをブロックしてくれる ◼ レートベースブロックを使う ⚫ X分間でY回以上のリクエストをブロックすることができる ◼ 地理的ブロックやbot controlを必要に応じて利用 ⚫ ログを有効化し、悪意あるリクエストの傾向を把握する サービス紹介(AWS WAF) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
13 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS Shield)
#nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
14 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ AWS
Shield Standard ⚫ インターネットに面したAWSリソースに対して、追加料金無しで自動的に保護してくれる ⚫ クライアントからのリクエストがAWSのインフラに入る際にモニタリング ⚫ L3とL4のネットワークレイヤやトランスポートレイヤに対する攻撃に有効 ◼ AWS Shield Advanced ⚫ マネージドなDDoS対策のサービス ⚫ 24/265でAWS Shieldチーム(SRT)が付いてくれる ⚫ SRTがWAFのルールカスタマイズもしてくれるので、L7へのDDoS緩和も可能 ⚫ 月額3000$(1年契約縛り) サービス紹介(AWS Shield) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
15 Copyright(C) NRI Netcom, Ltd. All rights reserved. まとめ #nncstudy
転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの 処理性能を上げる 悪意あるユーザをブロックし、 オリジンの負荷を軽減させる
16 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 実際にDDoS攻撃されているときは体制も大事
◼ インシデント報告書作成のための記録を残す ⚫ CloudTrailログの保管(行動履歴) ⚫ 各AWSサービスのメトリクスやログの保管(前後の状況把握) ◼ どういう基準でインシデントを終了とするか? セッションで話されてた他の内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ホワイトペーパー https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices- ddos-resiliency/aws-best-practices-ddos-resiliency.html
None
umekou
coco_se
oikon48
harukasakihara
sonic
line_developers_tw
yama3133
tomoki10
masahirokawahara
nassy20
hanon52_
oracle4engineer
ham0215
ipullrank
tmiket
jacobtomlinson
takai
danielanewman
ryanjones
eileencodes
swwweet
csswizardry
pwiseman
mclloyd
