Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoS攻撃への対策できてますか?

umehara
December 23, 2024
Technology
0
11

 DDoS攻撃への対策できてますか?

umehara

December 23, 2024
Tweet

More Decks by umehara

See All by umehara
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
110
AWSサービスアップデート202412 re:Invent特別編
umekou
0
67
AWSサービスアップデート 2024/09​
umekou
0
59
ECSサービス間通信に入門しよう!
umekou
0
200

Other Decks in Technology

See All in Technology
panicを深ぼってみる
kworkdev
PRO
1
140
日本語プログラミングとSpring Bootアプリケーション開発 #kanjava
yusuke
1
330
Amazon Location Serviceを使ってラーメンマップを作る
ryder472
2
120
トレードオフスライダーにおける品質について考えてみた
suzuki_tada
3
170
Women in Agile
kawaguti
PRO
2
160
現実的なCompose化戦略 ~既存リスト画面の置き換え~
sansantech
PRO
0
160
private spaceについてあれこれ調べてみた
operando
1
120
Grafanaのvariables機能について
tiina
0
140
ソフトウェアアーキテクトのための意思決定術: Software Architecture and Decision-Making
snoozer05
PRO
17
3.8k
サービスローンチを成功させろ! 〜SREが教える30日間の攻略ガイド〜
mmmatsuda
2
4.2k
SIEMによるセキュリティログの可視化と分析を通じた信頼性向上プロセスと実践
coconala_engineer
1
2.8k
【Λ(らむだ)】アップデート機能振り返りΛ編 / PADjp20250127
lambda
0
120

Featured

See All Featured
Producing Creativity
orderedlist
PRO
343
39k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Being A Developer After 40
akosma
89
590k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.5k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
How STYLIGHT went responsive
nonsquared
96
5.3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
A Philosophy of Restraint
colly
203
16k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
52k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
113
50k
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k

Transcript

  1. DDoS攻撃への対策できてますか? NRIグループre:Cap 2024 ~NRIネットコム TECH AND DESIGN STUDY #53~ 2024年12月23日

    NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原 航

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

    ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃への対策できてますか? #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは 01

    ベストプラクティス構成の紹介 02 各サービス紹介 03 最後に 04 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. DDoS攻撃とは? ◼

    DDoS攻撃とは? ⚫ 大量のIPアドレスからパブリックなエンドポイントに対して、大量にリクエストを送信する攻撃 ⚫ 攻撃されると正常ユーザへの影響が発生 • アプリケーションの処理遅延 • 5XXエラー増加 • レイテンシー増加 • 名前解決不可 ⚫ 攻撃対象はネットワークレイヤよりアプリケーションレイヤへの攻撃が多い #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃者 一般ユーザ AWS Cloud

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ベストプラクティス構成の紹介 #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 基本的なことは省略 #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します ②ELBを使った 負荷分散 ①Route53を 使ったDNS ③Auto Scaling でスケールアウト

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話する部分 #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(Amazon CloudFront)

    #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ コンテンツキャッシュの利用

    ⚫ エッジロケーションからレスポンスを返してくれる ◼ エラーコードのキャッシュ ⚫ オリジンから出されたエラーコードをCloudFront側でキャッシュできる ◼ 地理的制限を使ったブロック ⚫ サービス提供を想定していない国のブロックする ⚫ WAFの地理的一致ルールを優先して利用する • WAFでブロックされたCloudFrontへの通信料金が課金されなくなった(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ CloudFrontのオリジン保護

    ⚫ ALBのSGでCloudFrontのみを通すようにプレフィックスを設定 ⚫ VPCオリジン機能でプライベートサブネット内のALBへの接続も可能(new) サービス紹介(Amazon CloudFront) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Managed Prefix Listsで CloudFrontのIPアドレスからのみ許可 VPCオリジン機能で Private subnet内のLBと接続

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS WAF)

    #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ カウントモードで検知してからブロックに移行

    ⚫ どのようなリクエストをブロックできるかをカウントモードで検証してからブロック ◼ AWSマネージドルールの利用 ⚫ AWSManagedRulesCommonRuleSetはOWASP TOP10に関するルールが含まれてる ⚫ IPReputationListは悪意あるIPをブロックしてくれる ◼ レートベースブロックを使う ⚫ X分間でY回以上のリクエストをブロックすることができる ◼ 地理的ブロックやbot controlを必要に応じて利用 ⚫ ログを有効化し、悪意あるリクエストの傾向を把握する サービス紹介(AWS WAF) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. サービス紹介(AWS Shield)

    #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ AWS

    Shield Standard ⚫ インターネットに面したAWSリソースに対して、追加料金無しで自動的に保護してくれる ⚫ クライアントからのリクエストがAWSのインフラに入る際にモニタリング ⚫ L3とL4のネットワークレイヤやトランスポートレイヤに対する攻撃に有効 ◼ AWS Shield Advanced ⚫ マネージドなDDoS対策のサービス ⚫ 24/265でAWS Shieldチーム(SRT)が付いてくれる ⚫ SRTがWAFのルールカスタマイズもしてくれるので、L7へのDDoS緩和も可能 ⚫ 月額3000$(1年契約縛り) サービス紹介(AWS Shield) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. まとめ #nncstudy

    転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの 処理性能を上げる 悪意あるユーザをブロックし、 オリジンの負荷を軽減させる

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 実際にDDoS攻撃されているときは体制も大事

    ◼ インシデント報告書作成のための記録を残す ⚫ CloudTrailログの保管(行動履歴) ⚫ 各AWSサービスのメトリクスやログの保管(前後の状況把握) ◼ どういう基準でインシデントを終了とするか? セッションで話されてた他の内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ホワイトペーパー https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices- ddos-resiliency/aws-best-practices-ddos-resiliency.html
  18. None