Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads.
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Introduction to the Service: December 21, 2016
ア...
DDoSとは?
DDoS 101
DDoSとは?
Distributed Denial Of Service
DDoS攻撃の種別
DDoS攻撃の種別
Volumetric DDoS attacks
UDP反射攻撃のように処理出来る能力
を超えたトラフィックを送りつける
DDoS攻撃の種別
State-exhaustion DDoS attacks
TCP SYN flood等。
ファイヤウォールや、IPS,ロードバランサ
などの状態を管理しなければならないプ
ロトコルに負荷をかける
DDoS攻撃の種別
Application-layer DDoS attacks
一見、適切に構成されているが悪意
のある要求を使用して、アプリケー
ションリソースを消費する
例えば、HTTP GET、DNSクエリフ
ラッド
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%
Volumetric
20%
State exhaustion
15%
Application layer
DDoS攻撃の種別
Volumetric State exhaustion Application layer
SSDP reflectionが一番多い
反射攻撃はSignatureが明確だが、
トラフィックは一番使う
65%
Volumetr...
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%
Volumetric
20%
State exhaustion
15%
Application layer他に頻回に観測され...
DDoS攻撃の種別
Volumetric State exhaustion Application layer
SYN floods は実際の接続としての
振る舞いに見える
平均ボリュームは大きく、 実際のユー
ザーが接続を確立できなくする
6...
DDoS攻撃の種別
Volumetric State exhaustion Application layer
DNSクエリ溢れは、リアルなDNSリクエスト
数時間に渡り続けることで、DNSサーバのリソー
ス枯渇させることができる
65%
Vo...
DDoS攻撃の種別
Volumetric State exhaustion Application layer
65%
Volumetric
20%
State exhaustion
15%
Application layer
他に頻回に観測さ...
DDoS攻撃を緩和する取り組み
DDoS攻撃の緩和における課題
むずかしさはどこにある?
複雑な前準備 事前の帯域確保 アプリケーションの見直し
DDoS攻撃の緩和における課題
Traditional
Datacenter
マニュアルでの対策
緩和を開始するには
オペレータの関与が
必須
離れたスクライビング場所
からどうやってトラフィック
を誘導する?
軽減のための時間増
加
DDoS攻撃の緩和における課題
Traditional
Datacenter
トラフィックリルート = ユーザにとってはレイテンシ増加
DDoS攻撃の緩和における課題
AWS approach to
DDoS protection
AWSにおけるゴール
差別化要素にならないこと
の肩代わり
可用性の確保
ありきたりの攻撃の自動保護 AWS上のサービスは
高可用である
DDoS防御はAWSに予め組み込まれている
AWSのグローバルインフラストラクチャに統合
外部ルーティングなしで常時オン、高速
AWSデータセンターで冗長インターネット接続
 一般的なインフラストラクチャ
攻撃に対する保護
 SYN / ACK flood、UDP flood、
反射攻撃など
 追加費用なし
DDoS mitigation
systems
DDoS Attack
Users
DDoS防御はAW...
こんなお客様の声
AWSはDDoSからまもってく
れるのか?
大きなDDoSによって
何が起こるのか?
どんな攻撃をうけているの
かしることができるのか?
AWSはアプリレイヤの
DDoS攻撃からもまもっ
てくれるのか?
DDoS攻撃へのス
ケ...
AWS Shield
A Managed DDoS Protection Service
AWS Shield
Standard Protection Advanced Protection
全てのAWSユーザに
適用
無料
より大規模な、より洗練された
攻撃からの防御を提供する
有料のサービス
AWS Shield Standard
AWS Shield Standard
Layer 3/4 protection
よくある攻撃(SYN/UDPフ
ラッド、反射攻撃等)からの
防御
自動検知&自動緩和
AWSサービスにビルトイン
済
Layer 7 protection
...
AWS Shield Standard
AWSでアプリケーションを動かすことで得るもの
 プロプライエタリのBlackWatchシステムをつかった緩和策追
加
 緩和のためのキャパシティ追加
 検知と緩和を継続的に改善する
 追加コスト...
AWS Shield Advanced
Managed DDoS Protection
AWS Shield Advanced
AWSへの統
合
インフラ変更なく
DDoS対策でき
る
手頃な価格
コストと品質のト
レードオフ無し
柔軟
アプリのために
カスタマイズされ
た保護
Allways-On
アプリへのレイテン
シは最小限...
AWS Shield Advanced
Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53
現在提供中のサービス
AWS Shield Advanced
Always-on monitoring &
detection
Advanced L3/4 & L7 DDoS
protection
Attack notification and
reporting
...
常時の監視と検知
異常検出に使う属性
ソースIP
ソースASN
トラフィックレベル
検証されたソース
ヒューリスティックに基づく異常検出
常時の監視と検知
通常のトラフィックパターンを継続的に
ベースライン化
HTTPリクエスト/秒
送信元IPアドレス
URL
ユーザーエージェント
Baselining
Advanced DDoS protection
Layer 7
application
protection
Layer 3/4
infrastructure
protection
Layer 3/4 infrastructure protection
決定論的フィル
タリング
スコアリングに基づくトラ
フィックの優先順位付け
高度なルーティング
ポリシー
高度な軽減技術の採用
Layer 3/4 infrastructure protection
不正な形式のTCPパケットを自動
的にフィルタリング
 IP checksum
 TCP valid flags
 UDP ペイロード長
 DNS 要求の検証
決定...
疑わしくない
通常のパケット、リクエストヘッダ
ソーストラフィックの内容、量は典
型的
デスティネーションが適切
疑わしい
疑わしいパケットまたは要求ヘッダー
ヘッダ属性によるトラフィックのエントロピー
トラフィックソースとボリュームでエントロ...
Layer 3/4 infrastructure protection
• インライン検査とスコアリング
• 優先度の低い(攻撃)トラフィックを優先的に破棄
• 偽陽性は回避され、正当な利用は保護
High-suspicion
packets ...
Layer 3/4 infrastructure protection
分散スクラビングと余裕をもった帯域幅
大規模な攻撃を吸収する自動ルーティン
グポリシー
手動トラフィックエンジニアリング
大規模で洗練されたDDoS攻撃のための
追加の容量...
Advanced DDoS protection
Layer 7
Application
protection
Layer 3/4
Infrastructure
protection
AWS WAF – Layer 7 application protection
カスタムルールによ
るWebトラフィック
フィルタ
悪意のあるリクエス
トのブロック
アクティブな監視と
チューニング
AWS WAF – Layer 7 application protection
Self-service DDoSエキスパートによ
る対応 積極的なDRTの関与
運用は3形態
AWS WAF – Layer 7 application protection
AWS WAFが追加費用な
しで含まれます
Self-service
1. AWS DDoS Response Team (DRT)を依頼
2. DRTは攻撃に優先度を付ける
3. DRTは、AWS WAFルールの作成を支援
AWS WAF – Layer 7 application protection
DDo...
AWS WAF – Layer 7 application protection
1. Always-OnモニタリングがDRTを呼び出す
2. DRTが積極的に分類(トリアージ)
3. DRTがAWS WAFルールを作成(事前承認
が必要です)...
攻撃通知とレポート
Attack monitoring
and detection
 CloudWatchを経由してリアルタイム通知
 ニアリアルタイムメトリクスと攻撃のフォレンジクスのため
のパケットキャプチャ
 時系列の攻撃レポート
24x7でのDDoS Response Teamへのアクセス
クリティカルで緊急の優先順位のケースは
すぐに回答され、DDoSの専門家に直接
ルーティングされます
複雑なケースは、AWSだけでなく、
Amazon.comやその子会社の保護に深い...
24x7でのDDoS Response Teamへのアクセス
Before Attack
コンサルテーションとベスト
プラクティス提供
During Attack
攻撃からの緩和
After Attack
事後分析
AWS cost protection
DDoS攻撃によるスケーリングコスト
は請求しません
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• A...
 No commitment
 No additional cost
AWS DDoS Shield: 価格
 1年の利用コミット
 月額費用: $3,000
 +Data transfer fees
Data Transfer Pr...
一般的なDDoS攻撃から
保護し、AWS上でDDoS
に強いアーキテクチャを
構築するためのツールと
ベストプラクティスを提供
AWS DDoS Shield: 使い分け
大規模で洗練された攻撃
に対するさらなる防御、攻
撃に対する可視性、複雑...
AWS Shieldのご紹介 Managed DDoS Protection
Upcoming SlideShare
Loading in …5
×

AWS Shieldのご紹介 Managed DDoS Protection

11,626 views

Published on

2016/12/21
AWS Shieldのご紹介
Managed DDoS Protection
Introduction to the Service: December 21, 2016

Published in: Technology
  • Be the first to comment

AWS Shieldのご紹介 Managed DDoS Protection

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Introduction to the Service: December 21, 2016 アマゾンウェブサービスジャパン 技術本部 シニアマネージャー プリンシパルソリューションアーキテクト 荒木靖宏 ([email protected]) AWS Shieldのご紹介 Managed DDoS Protection
  2. DDoSとは? DDoS 101
  3. DDoSとは? Distributed Denial Of Service
  4. DDoS攻撃の種別
  5. DDoS攻撃の種別 Volumetric DDoS attacks UDP反射攻撃のように処理出来る能力 を超えたトラフィックを送りつける
  6. DDoS攻撃の種別 State-exhaustion DDoS attacks TCP SYN flood等。 ファイヤウォールや、IPS,ロードバランサ などの状態を管理しなければならないプ ロトコルに負荷をかける
  7. DDoS攻撃の種別 Application-layer DDoS attacks 一見、適切に構成されているが悪意 のある要求を使用して、アプリケー ションリソースを消費する 例えば、HTTP GET、DNSクエリフ ラッド
  8. DDoS攻撃の種別 Volumetric State exhaustion Application layer 65% Volumetric 20% State exhaustion 15% Application layer
  9. DDoS攻撃の種別 Volumetric State exhaustion Application layer SSDP reflectionが一番多い 反射攻撃はSignatureが明確だが、 トラフィックは一番使う 65% Volumetric 20% State exhaustion 15% Application layer
  10. DDoS攻撃の種別 Volumetric State exhaustion Application layer 65% Volumetric 20% State exhaustion 15% Application layer他に頻回に観測されるもの: NTP reflection, DNS reflection, Chargen reflection, SNMP reflection
  11. DDoS攻撃の種別 Volumetric State exhaustion Application layer SYN floods は実際の接続としての 振る舞いに見える 平均ボリュームは大きく、 実際のユー ザーが接続を確立できなくする 65% Volumetric 20% State exhaustion 15% Application layer
  12. DDoS攻撃の種別 Volumetric State exhaustion Application layer DNSクエリ溢れは、リアルなDNSリクエスト 数時間に渡り続けることで、DNSサーバのリソー ス枯渇させることができる 65% Volumetric 20% State exhaustion 15% Application layer
  13. DDoS攻撃の種別 Volumetric State exhaustion Application layer 65% Volumetric 20% State exhaustion 15% Application layer 他に頻回に観測されるもの: HTTP GET flood, Slowloris
  14. DDoS攻撃を緩和する取り組み
  15. DDoS攻撃の緩和における課題 むずかしさはどこにある? 複雑な前準備 事前の帯域確保 アプリケーションの見直し
  16. DDoS攻撃の緩和における課題 Traditional Datacenter マニュアルでの対策 緩和を開始するには オペレータの関与が 必須 離れたスクライビング場所 からどうやってトラフィック を誘導する? 軽減のための時間増 加
  17. DDoS攻撃の緩和における課題 Traditional Datacenter トラフィックリルート = ユーザにとってはレイテンシ増加
  18. DDoS攻撃の緩和における課題
  19. AWS approach to DDoS protection
  20. AWSにおけるゴール 差別化要素にならないこと の肩代わり 可用性の確保 ありきたりの攻撃の自動保護 AWS上のサービスは 高可用である
  21. DDoS防御はAWSに予め組み込まれている AWSのグローバルインフラストラクチャに統合 外部ルーティングなしで常時オン、高速 AWSデータセンターで冗長インターネット接続
  22.  一般的なインフラストラクチャ 攻撃に対する保護  SYN / ACK flood、UDP flood、 反射攻撃など  追加費用なし DDoS mitigation systems DDoS Attack Users DDoS防御はAWSに予め組み込まれている
  23. こんなお客様の声 AWSはDDoSからまもってく れるのか? 大きなDDoSによって 何が起こるのか? どんな攻撃をうけているの かしることができるのか? AWSはアプリレイヤの DDoS攻撃からもまもっ てくれるのか? DDoS攻撃へのス ケーリングは金が かかりすぎる DDoSのエキスパー トと話をしたい
  24. AWS Shield A Managed DDoS Protection Service
  25. AWS Shield Standard Protection Advanced Protection 全てのAWSユーザに 適用 無料 より大規模な、より洗練された 攻撃からの防御を提供する 有料のサービス
  26. AWS Shield Standard
  27. AWS Shield Standard Layer 3/4 protection よくある攻撃(SYN/UDPフ ラッド、反射攻撃等)からの 防御 自動検知&自動緩和 AWSサービスにビルトイン 済 Layer 7 protection Layer 7のDDoS攻撃への 緩和はAWS WAFで行う セルフサービス 使った分だけの支払い
  28. AWS Shield Standard AWSでアプリケーションを動かすことで得るもの  プロプライエタリのBlackWatchシステムをつかった緩和策追 加  緩和のためのキャパシティ追加  検知と緩和を継続的に改善する  追加コスト無し
  29. AWS Shield Advanced Managed DDoS Protection
  30. AWS Shield Advanced AWSへの統 合 インフラ変更なく DDoS対策でき る 手頃な価格 コストと品質のト レードオフ無し 柔軟 アプリのために カスタマイズされ た保護 Allways-On アプリへのレイテン シは最小限 4つの柱
  31. AWS Shield Advanced Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53 現在提供中のサービス
  32. AWS Shield Advanced Always-on monitoring & detection Advanced L3/4 & L7 DDoS protection Attack notification and reporting 24x7 access to DDoS Response Team AWS bill protection
  33. 常時の監視と検知 異常検出に使う属性 ソースIP ソースASN トラフィックレベル 検証されたソース ヒューリスティックに基づく異常検出
  34. 常時の監視と検知 通常のトラフィックパターンを継続的に ベースライン化 HTTPリクエスト/秒 送信元IPアドレス URL ユーザーエージェント Baselining
  35. Advanced DDoS protection Layer 7 application protection Layer 3/4 infrastructure protection
  36. Layer 3/4 infrastructure protection 決定論的フィル タリング スコアリングに基づくトラ フィックの優先順位付け 高度なルーティング ポリシー 高度な軽減技術の採用
  37. Layer 3/4 infrastructure protection 不正な形式のTCPパケットを自動 的にフィルタリング  IP checksum  TCP valid flags  UDP ペイロード長  DNS 要求の検証 決定論的フィルタリング
  38. 疑わしくない 通常のパケット、リクエストヘッダ ソーストラフィックの内容、量は典 型的 デスティネーションが適切 疑わしい 疑わしいパケットまたは要求ヘッダー ヘッダ属性によるトラフィックのエントロピー トラフィックソースとボリュームでエントロピー トラフィックソースの評判が悪い 宛先に無効なトラフィック キャッシュ無効化属性によるリクエスト Layer 3/4 infrastructure protection スコアリングに基づくトラフィックの優先順位付け
  39. Layer 3/4 infrastructure protection • インライン検査とスコアリング • 優先度の低い(攻撃)トラフィックを優先的に破棄 • 偽陽性は回避され、正当な利用は保護 High-suspicion packets dropped Low-suspicion packets retained スコアリングに基づくトラフィックの優先順位付け
  40. Layer 3/4 infrastructure protection 分散スクラビングと余裕をもった帯域幅 大規模な攻撃を吸収する自動ルーティン グポリシー 手動トラフィックエンジニアリング 大規模で洗練されたDDoS攻撃のための 追加の容量をインラインを提供 高度なルーティングポリシー
  41. Advanced DDoS protection Layer 7 Application protection Layer 3/4 Infrastructure protection
  42. AWS WAF – Layer 7 application protection カスタムルールによ るWebトラフィック フィルタ 悪意のあるリクエス トのブロック アクティブな監視と チューニング
  43. AWS WAF – Layer 7 application protection Self-service DDoSエキスパートによ る対応 積極的なDRTの関与 運用は3形態
  44. AWS WAF – Layer 7 application protection AWS WAFが追加費用な しで含まれます Self-service
  45. 1. AWS DDoS Response Team (DRT)を依頼 2. DRTは攻撃に優先度を付ける 3. DRTは、AWS WAFルールの作成を支援 AWS WAF – Layer 7 application protection DDoS エキスパートによる対応
  46. AWS WAF – Layer 7 application protection 1. Always-OnモニタリングがDRTを呼び出す 2. DRTが積極的に分類(トリアージ) 3. DRTがAWS WAFルールを作成(事前承認 が必要です) 積極的なDRT関与
  47. 攻撃通知とレポート Attack monitoring and detection  CloudWatchを経由してリアルタイム通知  ニアリアルタイムメトリクスと攻撃のフォレンジクスのため のパケットキャプチャ  時系列の攻撃レポート
  48. 24x7でのDDoS Response Teamへのアクセス クリティカルで緊急の優先順位のケースは すぐに回答され、DDoSの専門家に直接 ルーティングされます 複雑なケースは、AWSだけでなく、 Amazon.comやその子会社の保護に深い経験 を持つAWS DDoS Response Team(DRT)に エスカレーションすることができます
  49. 24x7でのDDoS Response Teamへのアクセス Before Attack コンサルテーションとベスト プラクティス提供 During Attack 攻撃からの緩和 After Attack 事後分析
  50. AWS cost protection DDoS攻撃によるスケーリングコスト は請求しません • Amazon CloudFront • Elastic Load Balancer • Application Load Balancer • Amazon Route 53
  51.  No commitment  No additional cost AWS DDoS Shield: 価格  1年の利用コミット  月額費用: $3,000  +Data transfer fees Data Transfer Price ($ per GB) CloudFront ELB First 100 TB $0.025 0.050 Next 400 TB $0.020 0.040 Next 500 TB $0.015 0.030 Next 4 PB $0.010 Contact Us Above 5 PB Contact Us Contact Us Standard Protection Advanced Protection
  52. 一般的なDDoS攻撃から 保護し、AWS上でDDoS に強いアーキテクチャを 構築するためのツールと ベストプラクティスを提供 AWS DDoS Shield: 使い分け 大規模で洗練された攻撃 に対するさらなる防御、攻 撃に対する可視性、複雑 なケースでのDDoSエキ スパートへの24時間365 日のアクセスを提供 Standard Protection Advanced Protection
www.steroid-pharm.com

×