AWS Shield
CloudFront、ALB、Route 53 などの AWS リソースを L3/L4 および L7 の DDoS 攻撃から保護するマネージド防御サービス
概要
AWS Shield は、AWS 上で稼働するアプリケーションを DDoS (分散型サービス拒否) 攻撃から保護するマネージドサービスです。すべての AWS アカウントに自動適用される Shield Standard と、より高度な検知・緩和機能を提供する有料の Shield Advanced の 2 つのティアがあります。Shield Advanced では、専任の Shield Response Team (SRT) による 24 時間 365 日のサポート、リアルタイムの攻撃可視化、DDoS 起因のコスト急増に対する保護が提供されます。
Shield Standard と Shield Advanced の保護範囲
Shield Standard は追加費用なしで全 AWS アカウントに自動適用され、レイヤー 3 (ネットワーク層) とレイヤー 4 (トランスポート層) の一般的な DDoS 攻撃を緩和します。SYN フラッド、UDP リフレクション、DNS 増幅攻撃など、インフラストラクチャ層の攻撃パターンを AWS のグローバルネットワーク上で検知・遮断します。Shield Advanced は月額 3,000 USD の固定料金に加え、データ転送量に応じた従量課金で提供されます。保護対象として CloudFront、Route 53、ELB (ALB/NLB/CLB)、Elastic IP、Global Accelerator を明示的に登録します。Shield Advanced はレイヤー 7 (アプリケーション層) の攻撃にも対応し、HTTP フラッドや Slowloris 攻撃のような巧妙なパターンを検知します。保護対象リソースごとにベースラインのトラフィックパターンを学習し、異常なトラフィック増加を自動検知する適応型の防御を提供します。Organizations 統合により、組織内の全アカウントを 1 つの Shield Advanced サブスクリプションでカバーできます。
Shield Response Team とプロアクティブエンゲージメント
Shield Advanced の契約者は、AWS の Shield Response Team (SRT) に直接エスカレーションできます。SRT は DDoS 攻撃の分析と緩和に特化した専門チームで、攻撃発生時にカスタムの緩和ルールを WAF に適用したり、ネットワークレベルでのトラフィックフィルタリングを実施します。SRT にアクセスするには、Business サポートプラン以上の契約が必要です。プロアクティブエンゲージメントは、Shield Advanced が攻撃を検知した際に SRT が自動的に連絡してくる機能です。Route 53 のヘルスチェックを保護対象リソースに関連付けることで有効化されます。ヘルスチェックが異常を検知し、かつ Shield が DDoS イベントを検出した場合に、SRT がユーザーに連絡して緩和策を提案します。この機能により、運用チームが攻撃に気づく前に専門家の支援を受けられます。攻撃イベントの詳細は Shield コンソールのイベントサマリーで確認でき、攻撃ベクトル、ピークトラフィック量、緩和アクションのタイムラインが記録されます。
コスト保護と DDoS コスト保護機能
Shield Advanced の DDoS コスト保護は、DDoS 攻撃に起因するリソース使用量の急増分を AWS がクレジットとして返還する仕組みです。攻撃によって CloudFront のデータ転送量や ELB のリクエスト数が異常に増加した場合、通常時のベースラインを超えた分のコストが保護対象になります。クレジットの申請は Shield コンソールまたはサポートケースから行い、AWS が攻撃イベントとコスト増加の因果関係を確認した上で返還を実施します。コスト保護を有効に機能させるには、保護対象リソースを漏れなく Shield Advanced に登録することが前提です。登録されていないリソースへの攻撃はコスト保護の対象外となります。Shield Advanced の月額 3,000 USD は 1 年間のコミットメントが必要で、途中解約はできません。この固定費を正当化するには、保護対象のビジネスインパクトを定量的に評価し、DDoS 攻撃によるダウンタイムの損失額と比較する判断が求められます。WAF との併用が推奨され、Shield Advanced の契約者は保護対象リソースに関連付けた WAF の料金が無料になる特典があります。