AWS WAFとAWS Shieldによるサービスの保護

AWS

AWSには様々なセキュリティ対策のサービスがありますが
今回はインターネットを通じた脅威に対する保護サービスである
「AWS WAF」と「AWS Shiled」の紹介です。
これだけで対策出来るわけではなく、適切なアーキテクチャの設計、他のサービスの適応なども
必要ですがどちらも基本的なサービスで必須にしておくべきものと思います。

AWS WAFの概要

  • 一般的なWebの脆弱性からサービスを保護するL7を対象としたファイアウォールサービス
  • SQLインジェクションやXSSなどの一般的な攻撃をブロック
  • IPフィルタや正規表現等を利用し、独自のルールも定義することが可能
  • 利用するルール、リクエスト数によって課金が発生する

L7を対象とするサービスで以下のような攻撃を対象とします。
* SQLインジェクション、クロスサイトスクリプティング対策
* スクレイピング等のボット対策
* DDoS対策

ルールはJSONを利用して記述します。マネージドルールは豊富でパートナーのセキュリティベンダーが提供するルールもあり、豊富な知識を参考にすることが出来ます。
複数組織への展開等に便利な「AWS Firewall Manager」サービスもあります。

AWS WAFの利点

  • 定義済みのマネージドルールを利用することで素早く運用が開始出来る
  • 新しい問題への対策もAWSによって行われる事が期待出来る
  • 高い可用性
  • Amazon CloudFrontやAmazon APIGatewayなどのサービスと統合されている
  • Amazon CloudWatchと連携しアラートを簡易に作成出来る
  • トラフィックの開始化が簡単に出来る

AWS Shieldの概要

  • L3/L4を対象としたDDos防御サービス(AdvancedではL7も対策可能)
  • AWSのDDos専門対策チームのサポートやより大規模のDDoSへ対応するAdvanceサービスもある
  • 月額の固定料金とデータ転送量に応じて課金される

Standardは対策には気休め程度のサービスですが無料で利用でき、
常時モニタリングは有用だと思います。有料なAdvancedサービスを利用すると
高度な対策が行え、レポート等も参照することが可能です。
Advanced費用はかなり高めなので大規模なシステム向けですが、
24時間年中無休の専門チームサポートや攻撃後の分析、
DDoS攻撃によるスケーリングコスト保護など十分なサポートを受けることが出来ます。

AWS Shieldの利点

  • Standardは無料で利用ができる(デフォルトで有効)
  • Amazon Route53やAmazon CloudFrontと統合されている。これらのサービスをエンドポイントとしていればAWS外のサービスもAWS Shieldの保護を受ける事が可能
  • AdvancedではDDoS攻撃に対する費用保護がある
  • 脅威の状況をリアルタイムで可視化することができる
  • AWS専門チームによる高度な対策が可能

以上

タイトルとURLをコピーしました