【アップデート】AWS Shield AdvacedがアプリケーションレイヤーでApplication Load Balancer (ALB) のDDos緩和をサポート

みなさん、こんにちは。サニービュー事業部の小寺です。

AWS Shield AdvacedがApplication Load Balancer (ALB) のDDos緩和をサポートするようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2022/04/aws-shield-application-balancer-automatic-ddos-mitigation/

AWS Shieldとは

AWS Shieldは、分散サービス妨害 (DDoS) に対するマネージド型保護サービスです。アプリケーションの稼働状態を監視してダウンタイムやレイテンシーを最低限に抑える様々な対応を行います。マネージド型のサービスなので検知時にAWSにサポート依頼をする必要はなく、サポート要員は検出された内容に基づき、最も適切な対応を実施します。AWS Shieldは2つの階層があります。

・AWS Shield Standard

AWS Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化されます。最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤー(OSIのレイヤー3とレイヤー4)のDDoS攻撃を防御します。Amazon CloudFrontやAmazon Route 53 とともに使用すると、ネットワークおよびトランスポートレイヤー(TCP/IPレベルのインフラ)を標的とするすべての既知の攻撃を総合的に保護することができます。

・AWS Shield Advanced

AWS Shield Advanced は任意で利用できる有料サービスです。Standardの機能に加えて、EC2、ELB、Amazon CloudFront等のリソースの上で実行されるアプリケーションを標的とした攻撃に対する保護も行うことができます。
大規模で高度な DDoS攻撃に対する追加の検出および影響を最小限にするための対策と、ほぼリアルタイムの可視性を提供します。
また、ウェブアプリケーションファイアウォールである AWS WAFと統合して機能します。

AWS Shield StandardとAdvancedの違いとは

AWS ShieldはStandardであれば自動で有効化されて無料でDDoS対策のできるサービスであり、Advancedはオプションで特定のサービスに対して有効化できるサービスです。
さらに、以下の特徴があります。

Advancedは月額$3,000で、DDoS攻撃が発生した際に自動的にAWS Shield Response Team (以下、SRT※)がアサインされます。
DDoSにより生じたAWS課金の補填を受けることもでき、DDoS履歴の詳細レポート提供(L3、L4、L7レイヤー)も受けることが可能です。

※SRTとはAWS と Amazon.com を保護する知識と経験を持った DDoS 対策の専門家チームで、24時間365日体制でサポートを行います。
利用するには、AWSビジネスサポート以上のご利用が必要です。

今回のアップデートでうれしいこと

今までもALBはAWS Shieldのサービス対象でした。
今回のアップデートでCloudFront ディストリビューションに加えて、AWS Shield Advanced で保護された Application Load Balancer (ALB) リソースのアプリケーションレイヤーの DDoS 自動緩和を有効にすることができるようになりました。

ポイントは「アプリケーションレイヤー」の攻撃にも対応できるようになったことです。アプリケーションレイヤーの DDoS 自動緩和を有効にすると、ウエブアクセスコントロールリスト (ACL) に AWS WAF ルールを自動的に作成することができます。
その結果、レイヤー 7 の DDoS イベントに関連付けられたパターンの識別ができ、アクセスのブロックも行われます。

現状で、AWS Shield Advancedのサブスクリプションをご利用いただいている方は、追加コストなしで本アップデートであるアプリケーションレイヤーの DDoS 自動緩和機能を利用することができます。