サイトアイコン 協栄情報ブログ

AWS WAF vs AWS Shield


この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。

AWS WAFとAWS Shield両方共にDDoS攻撃に特化したサービスですが、区別はご存知でしょうか?
本日はAWS WAFとAWS Shieldの区別を簡単でまとめてみます。

AWS WAFとは

WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。
AWS WAFとは、AWSが提供するWeb Application Firewallです。

AWS WAFが守れるもの

OSIモデルの 7層(アプリケーション層) を防御する

AWS WAF料金

安い、ランニングコストも月20ドル程度

AWS Shieldとは

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。
AWS Shield には Standard と Advanced の 2 つの階層があります。

AWS Shieldが守れるもの

OSIモデルの 3層および4層 で行われる標的とするすべての既知の攻撃を総合的に保護できます。

AWS Shield Standard料金

無料

AWS Shield Advanced料金

月額組織単位で3,000USD(高い!!)、年間契約必要

まとめ

OSIモデルの復習 と層からDDoS保護サービス選択方法

名称 プロトコル DDoS 保護なら
7 アプリケーション層 HTTP,FTP,DNS,SMTP,POPなど ←AWS WAF、AWS Shield
6 プレゼンテーション層 SMTP,FTP,Telnetなど
5 セッション層 TLS,NetBIOSなど
4 トランスポート層 TCP,UDP,NetWare/IPなど ←AWS Shield
3 ネットワーク層 IP,ARP,RARP,ICMPなど ←AWS Shield
2 データリンク層 PPP,Ethernetなど
1 物理層 RS-232,UTP,無線

練習

ある企業は、すべてのユーザーがインターネット経由でアクセスできる、公的にアクセス可能な物理的なオンプレミスインスタンスでゲームプレーヤーを照合するためのサービスを実行しています。 UDPは、インスタンスとの間のすべてのトラフィックに使用されます。会社は、サービスをAWSに移行し、高度なセキュリティを確保したいと考えています。SAは、player-matching service用のAWSベースのソリューションを作成する必要があります。

これらの要件を満たすために、ソリューションアーキテクトはどの対策を組み合わせて実行する必要がありますか? (3つ選択してください。)

答え分析はこちら
  • A.UDPの高可用性ならNLBを選択しますね、正しい。
  • B.HTTP,HTTPSの場合ALBを選択しますね、アウト。
    ALBとNLBの区別について、 ALBとNLBの違いまとめ
  • C.UDPなので、AWS WAFを利用できない、アウト。
  • D.UDP以外はNACLよりブロック、正しい。
  • E.CloudFrontを利用する必要性がない、アウト。
  • F.UDPの安全を考えならShield、正しい。

おわりに

どなたかの参考になれば幸いです〜。
以上、最後まで読んでいただきありがとうございました。

参照

https://aws.amazon.com/jp/shield/features/
https://aws.amazon.com/jp/waf/features/

モバイルバージョンを終了