Contenu connexe Similaire à AWS BlackBelt AWS上でのDDoS対策 (20) Plus de Amazon Web Services Japan (20) AWS BlackBelt AWS上でのDDoS対策1. 【AWS Black Belt Online Seminar】
AWS 上での DDoS 対策
アマゾン ウェブ サービス ジャパン株式会社
セキュリティソリューションアーキテクト
桐山 隼人
2017.09.05
2. @hkiriyam1
氏名: 桐山隼人
役割: セキュリティソリューションアーキテクト
業務: 顧客提案、ソリューション開発、市場開拓
プロフィール:
外資系総合IT会社の開発研究所にて開発エンジニア、
セキュリティベンダーにて技術営業を経た後、現職。
MBA, PMP, CISSP, CISA, セキュリティ関連特許多数。
クラウドセキュリティに関するセミナー登壇・記事寄稿など。
自己紹介
RSA Conference 2017 APJ
「Cloud Security Strategy」
Session Speaker
AWS Startup Security Talks
「セキュリティ意識が低い
CEOはあり得ない」(ITpro)
AWS Summit Tokyo 2017
「AWSで実現するセキュリティ・オート
メーション」(マイナビニュース)
「IoTビジネスとセキュ
リティを3段階と4要素
で理解する」記事寄稿
9. DDoS攻撃の種類
9
# 層 単位 説明 攻撃例
7 アプリケーション データ アプリケーション
通信
HTTPフラッド
DNSクエリフラッド
6 プレゼンテーション データ データ表現と暗号 SSL不正
5 セッション データ ホスト間通信 N/A
4 トランスポート セグメント End-to-end接続 SYNフラッド
3 ネットワーク パケット 通信経路の
ルーティング
UDP反射攻撃
2 データリンク フレーム 物理アドレス指定 N/A
1 物理 ビット メディア、信号、
バイナリ転送
N/A
インフラ層への攻撃 アプリ層への攻撃
23. ベストプラクティス対応表 (対策層 x 対策場所)
23
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
第7層
攻撃緩和
✓ ✓ ✓ ✓
第6層
攻撃緩和
✓ N/A ✓ ✓
第4層
攻撃緩和
✓ ✓ ✓ ✓
第3層
攻撃緩和
✓ ✓ ✓ ✓ ✓
26. ベストプラクティス対応表 (対策種類 x 対策場所)
26
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
30. ベストプラクティス対応表 (対策種類 x 対策場所)
30
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
32. 32
North America: 30 South America: 3 Europe / Middle East / Africa: 27
Ashburn, VA (3)
Atlanta, GA (3)
Chicago, IL (2)
Dallas/Fort Worth, TX (3)
Hayward, CA
Jacksonville, FL
Los Angeles, CA (2)
Miami, FL
Minneapolis, MN
Montreal, QC
Newark, NJ
New York, NY (3)
Palo Alto, CA
Philadelphia, PA
San Jose, CA
Seattle, WA (2)
South Bend, IN
St. Louis, MO
Toronto, ON
リージョン別エッジキャッシュ: 9
Oregon, N. Virginia, Frankfurt, Sao
Paulo, Mumbai, Singapore, Seoul,
Tokyo, Sydney
Edge
location
AWS Region /
Regional Edge
Cache
Regional Edge
Cache
Asia Pacific: 22
Rio de Janeiro, Brazil
São Paulo, Brazilc (2)
Amsterdam, The Netherlands (2)
Berlin, Germany
Dublin, Ireland
Frankfurt, Germany (6)
London, England (4)
Madrid, Spain
Marseille, France
Milan, Italy
Munich, Germany
Paris, France (3)
Prague, Czech Republic
Stockholm, Sweden (2)
Vienna, Austria
Warsaw, Poland
Zurich, Switzerland
Chennai, India
Hong Kong, China (3)
Kuala Lumpur, Malaysia
Manila, the Philippines
Melbourne, Australia
Mumbai, India (2)
New Delhi, India
Osaka, Japan
Seoul, Korea (3)
Singapore (2)
Sydney, Australia
Taipei, Taiwan
Tokyo, Japan (4)
https://aws.amazon.com/jp/about-aws/global-infrastructure/
[参考] AWSエッジロケーション
33. ベストプラクティス対応表 (対策種類 x 対策場所)
33
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
35. [参考] オリジンへのアクセス制限
• オリジンがAmazon S3の場合、Origin Access Identity(OAI)を利
用
– S3のBucketへのアクセスをCloudFrontからのみに制限
• カスタムオリジンの場合、下記の2種類が選択可能
– オリジン側のアドレスを公開せず、CloudFrontが利用するIPアドレス(*)からのみ通信を許可
させる
– カスタムヘッダーを利用し、CloudFrontで指定された任意のヘッダーをオリジン側でチェッ
ク
CloudFront Edge カスタムオリジンサーバ
S3
クライアント
OAI
IP制限/
ヘッダ−制限
クライアント
ダイレクト
アクセス
ヘッダー付与
35
(*) 下記JSONファイルから、Serviceキーの“CLOUDFRONT”でフィルタすることで抽出可能
https://ip-ranges.amazonaws.com/ip-ranges.json
37. [参考] Amazon API Gateway
• 特徴 (http://aws.amazon.com/jp/api-gateway/)
– OS、キャパシティ等インフラの管理不要
– バックエンドとしてLambda、既存Webシス
テムを利用可能
– スロットリング/キャッシュ
• 価格体系 (http://aws.amazon.com/jp/api-gateway/pricing/)
– 呼び出し回数/データ送出量/キャッシュ容量
– 100万回の呼び出しにつき$3.5
– データ送出量に応じて$0.05/GB~$0.09/GB
– キャッシュ容量に応じて$0.02/時~$3.8/時
Web APIの作成・保護・運用と公開を簡単に
Mobile Apps
Websites
Services
API
Gateway
AWS Lambda
functions
AWS
API Gateway
Cache
Endpoints on
Amazon EC2 /
Amazon Elastic
Beanstalk
Any other publicly
accessible endpoint
Amazon
CloudWatch
Monitoring
38. AWSリソースの隠ぺい SG & NACL(BP5,6)
38
1. インスタンスを不必要に外部
公開しない
2. ポリシーに基づいたリソース
の保護
3. 意図しない送信元IPやプロト
コルの通信の遮断
1. ELBによるEC2のインター
ネットからの隠ぺい
2. セキュリティグループによる
保護対象毎のアクセス制限
3. ネットワークACLによるIPア
ドレス、ポート、プロトコル
の基にしたアクセス制限
対策内容 対策例
39. [参考] セキュリティグループの例
39
• ELBからくるリクエストのみ受け付け
• インスタンスにはVPCのサブネットのアドレスレンジから
のプライベートIPアドレスしかアサインされない
• ELB SGからのTCPポート80及び443とSSH踏み台SGから
のTCPポート22だけを許可
• インターネットからのTCPポート80と443のみを
許可し、リクエストをウェブアプリケーション
サーバー セキュリティグループのEC2インスタン
スに送信可能に
Web Application セキュリティグループELBセキュリティグループ
40. ベストプラクティス対応表 (対策種類 x 対策場所)
40
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
42. • これまでのDDoS保護経験に基づき
L3 / L4自動緩和システムを開発
• CloudFront、Route53エッジロケーション
の前にインラインで配置され、すべての着
信パケットを検査
• DDoS攻撃の96%を自動軽減
• 追加設定や手数料なし
• 利点
– スケーラビリティと低コスト
– 常時保護
– 自動緩和
– AWSソリューション用に構築
Customer’s
Origin
Infrastructure
(ELB, EC2, S3,
etc).
CloudFront
Route 53
CloudFront
Route 53
DDoS Attack
User
自動緩和システム
Edge Location AWS Region
[参考] AWS Shield L3/L4 自動緩和システム
42
43. [参考] Amazon CloudFront GEOリストリクション
• 地域指定によるアクセス制御
– 接続されるクライアントの地域情報を元に、エッジでアクセス判定
– BlacklistもしくはWhitelistで指定可能
– Distribution全体に対して適用される
– 制限されたアクセスには403を応答
CloudFront Edge
接続クライアントの
地域情報をもとに判定
クライアント
GEO Restriction有効
オリジンサーバ
403
43
44. [参考] エッジでの名前解決(BP3)
44
1. DNS要求への適切な応答
2. DDoS攻撃を受けた際の冗長性
と耐障害性の確保
1. Amazon Route 53のトラ
フィックフロー、遅延ベース
ルーティング、ヘルスチェッ
ク、モニタリング機能による
最適な応答
2. Amazon Route 53のシャッ
フルシャーディングによる冗
長性。Anycastルーティング
のよる障害分離
対策内容 対策例
47. [参考] ELBとAuto Scalingとの連携
Auto scaling Group
増減
• Auto Scalingによるインスタンス増減時にELBへの追加・削除が可能
• ELBのヘルスチェックの結果をAuto Scalingに反映可能
• インスタンス削減時は、Connection Drainingでの処理中の接続を待つ
• 利用例
– 一定間隔でレスポンスをチェックし、遅延が増加したらインスタンスを
自動追加
– ELBのヘルスチェックが成功したEC2インスタンスを常にX台以上
47
49. [参考] Elastic Network Interfaces (ENI)
• VPC上で実現する仮想ネットワークイ
ンタフェース
• 以下をENIに紐づけて維持可能
– Private IP
– Elastic IP
– MACアドレス
– セキュリティグループ
• インスタンスによって割り当て可能な
数が異なる
eth0: 192.168.1.10
eth0:172.16.3.1
eth1:10.3.5.2
利用例2:
1インスタンスに複数NIC
利用例1:
インスタンス障害時に待機インスタンスに
NICを付け替え
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html49
50. [参考] 拡張ネットワーキング
• Intel 82599 Virtual Function (VF) イ
ンターフェイス
– C3、C4、D2、I2、R3、M4
(m4.16xlarge を除く) インスタン
スに対して最大 10 Gbps のネット
ワーク速度をサポート
• Elastic Network Adapter (ENA)
– F1、G3、I3、P2、R4、X1 および
m4.16xlarge インスタンスに対し
て最大 20 Gbps のネットワーク速
度をサポート
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/enhanced-networking.html
VMM
NIC NIC
VF1 VF2 VF3
Switch
通常 拡張ネットワーキング
50
パケット毎秒(PPS)が非常に大きく、ネットワーク遅延が小さくなるオプション
52. [参考] AWSグローバルインフラストラクチャー
52
16のリージョン, 44のアベイラビリティーゾーン
AWS GovCloud (2) ※カッコ内の数はアベイラビリティゾーン
米国西部
オレゴン (3)、北カリフォルニア (3)
米国東部
バージニア北部 (6)、オハイオ (3)
カナダ
中部 (2)
南米
サンパウロ (3)
欧州
アイルランド (3)、フランクフルト (3)、ロンドン (2)
アジアパシフィック
シンガポール (2)、シドニー (3)、東京 (3)、ソウル (2)、ムンバイ (2)
中国
北京 (2)
新しいリージョン (近日追加予定)
パリ
寧夏 (Ningxia)、香港
ストックホルム
AWS GovCloud (米国東部)
https://aws.amazon.com/jp/about-aws/global-infrastructure/
53. ベストプラクティス対応表 (対策種類 x 対策場所)
53
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
55. [参考] DDoS関連のCloudWatchメトリクス例
55
名前空間 メトリクス 説明 名前空間 メトリクス 説明
CloudFront Requests HTTP/Sリクエスト数 ELB BackendConne
ctionErrors
失敗したコネクション数
CloudFront TotalError
Rate
全リクエスト中HTTPステー
タスコード4xx/5xxの割合
ELB SpilloverCount キュー飽和により拒否されたリ
クエスト数
Route53 HealthChe
ckStatus
ヘルスチェックエンドポイン
トのステータス
Auto
Scaling
GroupMaxSize オートスケーリンググループの
最大サイズ
ELB SurgeQueu
eLength
ロードバランサー
でバックエンド応答を待って
いるリクエスト数
EC2 CPUUtilization CPU使用率
ELB UnHealthy
HostCount
AZ中のunhealthyなインス
タンス数
EC2 NetworkIn ネットワークインターフェース
での受信バイト数
ELB RequestCo
unt
登録インスタンスに転送した
処理済みリクエスト数
DDoSProt
ection
DDoSAttackBit
sPerSecond
DDoS攻撃の秒あたりビット数
(0より大はDDoS攻撃検知)
ELB Latency ロードバランサーがリクエス
トを転送してから応答までの
経過時間(秒)
DDoSProt
ection
DDoSAttackRe
questsPerSeco
nd
DDoS攻撃の秒あたりリクエスト
数(0より大はDDoS攻撃検知)
57. [参考] AWS Shield Advanced DDoS Response Team
24x7でDDoS Response Team(DRT)へアクセス可能
57
AWSとAmazon.comを保護する知識と経験
を持ったDDoSの専門家チーム
サポートケース経由でのアクセス
• 事前の構成相談対応
• クリティカルで緊急の優先順位のケースはす
ぐに回答され、DRTに直接ルーティング
• 複雑なケースは、DRTにエスカレーションするこ
ともできます
60. AWS Shield Standard
Layer 3/4 protection
一般的な攻撃(SYN/UDP
フラッド、反射攻撃等)から防御
自動検知&自動緩和
AWSサービスにビルトイン済
Layer 7 protection
Layer 7のDDoS攻撃への緩和は
AWS WAFで行う
セルフサービス
使った分だけの支払い
60
https://aws.amazon.com/jp/shield/tiers/
http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-overview.html#types-of-ddos-attacks
61. AWS Shield Advanced
Shield Standardによる保護に加え、以下の機能による
包括的なDDoS対策ソリューションを提供
• DDoS Response Team
• L7 DDoS Protection
• Cost Protection
• Advanced Mitigation
• Reporting
61 AWS Black Belt Online Seminar AWS Shield
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2017-aws-shield/
*詳細は、以下AWS Shield Black Belt Online Seminar 資料をご参照ください
62. Shield Standard対応表 (対策層 x 対策場所)
62
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
第7層
攻撃緩和
✓ ✓ ✓ ✓
第6層
攻撃緩和
✓ N/A ✓ ✓
第4層
攻撃緩和
✓ ✓ ✓ ✓
第3層
攻撃緩和
✓ ✓ ✓ ✓ ✓
63. Shield Standard対応表 (対策種類 x 対策場所)
63
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
64. Shield Advanced対応表 (対策種類 x 対策場所)
64
AWSエッジロケーション AWSリージョン
Amazon
CloudFront
with AWS
WAF
(BP1, BP2)
Amazon
Route 53
(BP3)
Amazon
API
Gateway
(BP4)
Amazon
VPC
(BP5)
Elastic Load
Balancing
(BP6)
Amazon
EC2 with
Auto Scaling
(BP7)
地理的
分離分散
✓ ✓ ✓
攻撃対象
隠ぺい
✓ ✓ ✓ ✓ ✓
攻撃吸収
・緩和
✓ ✓ ✓ ✓ ✓ ✓
計画・監視 ✓ ✓ ✓ ✓ ✓ ✓
より高度な検知能力
設計レビューによる支援
ランブックによる支援
66. 参考資料
• AWS Best Practices for DDoS Resiliency Whitepaper
– https://d0.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf/
• Denial of Service Attack Mitigation on AWS
– https://aws.amazon.com/jp/answers/networking/aws-ddos-attack-
mitigation/
• AWS Black Belt Online Seminar AWS Shield
– https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-
online-seminar-2017-aws-shield/
66