159-AWS SAP AWS 「理論・実践・一問道場」

type

status

date

slug

summary

理論

アプリケーション層攻撃とは？

アプリケーション層攻撃（Layer 7攻撃）は、OSI参照モデルのアプリケーション層をターゲットにした攻撃です。これらの攻撃は、サーバーのリソースを消費させることを目的として、通常のユーザーからのリクエストと見分けがつかないように偽装されます。よくある例としては、HTTP Flood攻撃、SQLインジェクション、クロスサイトスクリプティング (XSS) などがあります。

これらの攻撃は、サーバーやアプリケーションのリソースを急激に消費させ、サービスを停止させる原因となることがあります。攻撃元のIPアドレスが異なる場合も多く、IPベースでの攻撃の検出と対応が難しくなることがあります。

AWSでアプリケーション層攻撃に対応する方法

AWSには、アプリケーション層攻撃に対応するためのいくつかのツールとサービスがあります。以下に、それぞれの方法を解説します。

1. AWS WAF（Web Application Firewall）

AWS WAFは、アプリケーション層で発生する攻撃を防ぐためのサービスです。ウェブアプリケーションの前に配置することができ、悪意のあるトラフィック（SQLインジェクションやクロスサイトスクリプティングなど）を防止します。

AWS WAFを使用すると、アクセス制御をIPアドレスやHTTPヘッダー、URIパス、クエリ文字列などでカスタマイズでき、アプリケーション層攻撃を検出してブロックするルールを作成できます。

Web ACL（アクセスコントロールリスト）を使用して、ALB（アプリケーションロードバランサー）との統合で、特定のIPアドレスまたはパターンに基づいてトラフィックを拒否することができます。

2. AWS Shield

AWS Shieldは、DDoS（分散型サービス拒否）攻撃からの保護を提供するマネージドサービスです。AWS Shield Advancedは、特に高度なDDoS攻撃に対する保護を提供し、アプリケーション層攻撃にも対応します。

AWS Shield Advancedを利用すると、攻撃を検出した際に自動的に防御が行われ、ALBやEC2インスタンスを保護します。

3. Amazon CloudWatch と AWS Lambda

Amazon CloudWatchは、リソースの監視サービスで、アクセスログをリアルタイムで監視することができます。CloudWatchアラームを設定して、特定のしきい値を超えるトラフィック（特定のIPアドレスからの異常なアクセス）を検出し、アクションをトリガーできます。

AWS Lambdaを利用して、CloudWatchアラームのアクションとしてIPアドレスを自動的にWAFの拒否リストに追加するなど、さらに柔軟に対応できます。

4. Amazon Route 53とジオロケーションルーティング

Amazon Route 53は、ドメイン名システム（DNS）サービスで、ジオロケーションルーティングポリシーを使用して、リクエスト元の国別に異なるルーティングを行うことができます。

攻撃が特定の国から発生している場合、その国からのトラフィックを拒否することで、攻撃の影響を軽減することができます。ただし、IPアドレスが動的に変わる可能性があり、特定の攻撃に対する対応としては制限があります。

実践

略

一問道場

問題 #159

トピック 1

ある企業が、Amazon EC2 インスタンス上で実行されているウェブサイトを持ち、これらのインスタンスはアプリケーションロードバランサー (ALB) の背後に配置されています。インスタンスはオートスケーリンググループに所属しています。ALB は AWS WAF Web ACL と関連付けられています。

ウェブサイトはアプリケーション層の攻撃にしばしば直面しており、攻撃によりアプリケーションサーバーに対するトラフィックが急激かつ大幅に増加します。アクセスログには、各攻撃が異なる IP アドレスから発生していることが示されています。

ソリューションアーキテクトは、これらの攻撃を軽減するためのソリューションを実装する必要があります。

どのソリューションが最も運用負荷を低減しながらこれらの要件を満たすでしょうか？

A. サーバーアクセスを監視する Amazon CloudWatch アラームを作成し、IP アドレス別のアクセスに基づいてしきい値を設定します。アラームアクションでその IP アドレスを Web ACL の拒否リストに追加するように設定します。

B. AWS Shield Advanced を AWS WAF に追加でデプロイし、ALB を保護対象リソースとして追加します。

C. ユーザーの IP アドレスを監視する Amazon CloudWatch アラームを作成し、IP アドレス別のアクセスに基づいてしきい値を設定します。アラームが発動すると、AWS Lambda 関数を呼び出して、攻撃を起こした IP アドレスをアプリケーションサーバーのサブネットルートテーブルに拒否ルールとして追加します。

D. アクセスログを調べて攻撃を行った IP アドレスのパターンを見つけ、Amazon Route 53 のジオロケーションルーティングポリシーを使用して、その IP アドレスがホストされている国からのトラフィックを拒否します。

解説

この問題では、アプリケーション層攻撃に対する効果的な防御策を問われています。攻撃は異なるIPアドレスから行われ、アクセスログに異常なトラフィックが現れるため、IPアドレスベースでのブロックが求められています。

最も適切で運用負荷が少ない解決策は、AWS WAF（Web Application Firewall）を使用して、異常なトラフィックをフィルタリングし、CloudWatchアラームを設定して、特定のIPアドレスに対して自動的に拒否ルールを追加する方法です。この方法は、トラフィックをリアルタイムで監視し、アラームをトリガーして自動的に攻撃を緩和します。

AWS Shield Advancedは高度なDDoS攻撃に対応しますが、運用負荷を最小化するためにはWAFとCloudWatchの組み合わせが最適です。