AWS WAF vs AWS Shield


この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。

AWS WAFとAWS Shield両方共にDDoS攻撃に特化したサービスですが、区別はご存知でしょうか?
本日はAWS WAFとAWS Shieldの区別を簡単でまとめてみます。

file

AWS WAFとは

WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。
AWS WAFとは、AWSが提供するWeb Application Firewallです。

AWS WAFが守れるもの

OSIモデルの 7層(アプリケーション層) を防御する

AWS WAF料金

安い、ランニングコストも月20ドル程度

AWS Shieldとは

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。
AWS Shield には Standard と Advanced の 2 つの階層があります。

  • Standard
    1. AWS Shield Standard はAWSを利用開始している時点で自動的に適用されて、無料で利用することが出来ます。
    2. AWS Shield Standard は、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。
  • Advanced
    1. 有料で利用することが出来ます。
    2. EC2、ELB、CloudFront、Global Accelerator、Route 53などのリソースで実行されるアプリケーションを標的とした攻撃に対する 高レベルな 保護には、AWS Shield Advanced を使用できます。
    3. AWS Shield レスポンスチーム (SRT) を 24 時間年中無休で専門サポートも受けられます。
    4. EC2、ELB、CloudFront、Global Accelerator、Route 53などの DDoS に関連した料金の急増に対する保護も提供されます。

AWS Shieldが守れるもの

OSIモデルの 3層および4層 で行われる標的とするすべての既知の攻撃を総合的に保護できます。

AWS Shield Standard料金

無料

AWS Shield Advanced料金

月額組織単位で3,000USD(高い!!)、年間契約必要

まとめ

  • AWS WAFは
    下記、L7の 攻撃防御
    ・SQLインジェクション攻撃
    ・クロスサイトスクリプティング攻撃
    ・OSコマンドインジェクション攻撃
    ・DDoS攻撃

  • AWS Shieldは
    ・StandardとAdvanced2種
    ・L3,L4 攻撃緩和
    ・DDoSコスト保護
    ・SRT専門サポート

OSIモデルの復習 と層からDDoS保護サービス選択方法

名称 プロトコル DDoS 保護なら
7 アプリケーション層 HTTP,FTP,DNS,SMTP,POPなど ←AWS WAF、AWS Shield
6 プレゼンテーション層 SMTP,FTP,Telnetなど
5 セッション層 TLS,NetBIOSなど
4 トランスポート層 TCP,UDP,NetWare/IPなど ←AWS Shield
3 ネットワーク層 IP,ARP,RARP,ICMPなど ←AWS Shield
2 データリンク層 PPP,Ethernetなど
1 物理層 RS-232,UTP,無線

練習

ある企業は、すべてのユーザーがインターネット経由でアクセスできる、公的にアクセス可能な物理的なオンプレミスインスタンスでゲームプレーヤーを照合するためのサービスを実行しています。 UDPは、インスタンスとの間のすべてのトラフィックに使用されます。会社は、サービスをAWSに移行し、高度なセキュリティを確保したいと考えています。SAは、player-matching service用のAWSベースのソリューションを作成する必要があります。

これらの要件を満たすために、ソリューションアーキテクトはどの対策を組み合わせて実行する必要がありますか? (3つ選択してください。)

  • A.player-matchingインスタンスの前でNLBを使用します。 NLBのElasticIPアドレスを指すAmazon Route53のフレンドリDNSエントリを使用します。
  • B.player-matchingインスタンスの前でALBを使用します。 ALBインターネット向けの完全修飾ドメイン名(FQDN)を指すAmazon Route53のフレンドリDNSエントリを使用します。
  • C.非UDPトラフィックを明示的にドロップするAWS WAFルールを定義し、ルールをロードバランサーに関連付けます。
  • D.すべての非UDPトラフィックをブロックするようにネットワークACLルールを構成します。ネットワークACLを、ロードバランサーインスタンスを保持するサブネットに関連付けます。
  • E.オリジンとしてELBを使用してAmazon CloudFrontを使用します。
  • F.すべての公開リソースでAWS Shield Advancedを有効にします。
答え分析はこちら
  • A.UDPの高可用性ならNLBを選択しますね、正しい。
  • B.HTTP,HTTPSの場合ALBを選択しますね、アウト。
    ALBとNLBの区別について、 ALBとNLBの違いまとめ
  • C.UDPなので、AWS WAFを利用できない、アウト。
  • D.UDP以外はNACLよりブロック、正しい。
  • E.CloudFrontを利用する必要性がない、アウト。
  • F.UDPの安全を考えならShield、正しい。

おわりに

どなたかの参考になれば幸いです〜。
以上、最後まで読んでいただきありがとうございました。

参照

https://aws.amazon.com/jp/shield/features/
https://aws.amazon.com/jp/waf/features/

Last modified: 2024-02-07

Author