AWSには様々なセキュリティ対策のサービスがありますが
今回はインターネットを通じた脅威に対する保護サービスである
「AWS WAF」と「AWS Shiled」の紹介です。
これだけで対策出来るわけではなく、適切なアーキテクチャの設計、他のサービスの適応なども
必要ですがどちらも基本的なサービスで必須にしておくべきものと思います。
AWS WAFの概要
- 一般的なWebの脆弱性からサービスを保護するL7を対象としたファイアウォールサービス
- SQLインジェクションやXSSなどの一般的な攻撃をブロック
- IPフィルタや正規表現等を利用し、独自のルールも定義することが可能
- 利用するルール、リクエスト数によって課金が発生する
L7を対象とするサービスで以下のような攻撃を対象とします。
* SQLインジェクション、クロスサイトスクリプティング対策
* スクレイピング等のボット対策
* DDoS対策
ルールはJSONを利用して記述します。マネージドルールは豊富でパートナーのセキュリティベンダーが提供するルールもあり、豊富な知識を参考にすることが出来ます。
複数組織への展開等に便利な「AWS Firewall Manager」サービスもあります。
AWS WAFの利点
- 定義済みのマネージドルールを利用することで素早く運用が開始出来る
- 新しい問題への対策もAWSによって行われる事が期待出来る
- 高い可用性
- Amazon CloudFrontやAmazon APIGatewayなどのサービスと統合されている
- Amazon CloudWatchと連携しアラートを簡易に作成出来る
- トラフィックの開始化が簡単に出来る
AWS Shieldの概要
- L3/L4を対象としたDDos防御サービス(AdvancedではL7も対策可能)
- AWSのDDos専門対策チームのサポートやより大規模のDDoSへ対応するAdvanceサービスもある
- 月額の固定料金とデータ転送量に応じて課金される
Standardは対策には気休め程度のサービスですが無料で利用でき、
常時モニタリングは有用だと思います。有料なAdvancedサービスを利用すると
高度な対策が行え、レポート等も参照することが可能です。
Advanced費用はかなり高めなので大規模なシステム向けですが、
24時間年中無休の専門チームサポートや攻撃後の分析、
DDoS攻撃によるスケーリングコスト保護など十分なサポートを受けることが出来ます。
AWS Shieldの利点
- Standardは無料で利用ができる(デフォルトで有効)
- Amazon Route53やAmazon CloudFrontと統合されている。これらのサービスをエンドポイントとしていればAWS外のサービスもAWS Shieldの保護を受ける事が可能
- AdvancedではDDoS攻撃に対する費用保護がある
- 脅威の状況をリアルタイムで可視化することができる
- AWS専門チームによる高度な対策が可能
以上