CONTENT
こんにちは、KSです。
現在AWS資格であるソリューションアーキテクト合格に向けて勉強中です。
今回はセキュリティ関連サービスについてまとめてみました。
■ 1. AWS Shield
●DDoS攻撃対策サービス
●種類:
●Shield Standard(デフォルトで有効、追加料金なし)
・L3/L4レベルの一般的なDDoS攻撃を自動防御
・例: SYN flood, UDP flood
●Shield Advanced(有料)
・L7(アプリケーション層)の高度な攻撃対策
・DDoS費用保護、24/7 DRT (AWS DDoS Response Team)サポート
・WAFやCloudFrontと組み合わせて使うケースが多い
■ 2. AWS WAF (Web Application Firewall)
●アプリケーション層(L7)の攻撃から保護
●ルールベースでHTTP/HTTPSリクエストをフィルタリングできる
・例: SQLインジェクション, XSS, IPブロック, レート制御
●適用先:
・CloudFront
・ALB (Application Load Balancer)
・API Gateway
・AppSync
■ 3. Amazon GuardDuty
●脅威検出サービス(インテリジェント検知)
●機械学習や脅威インテリジェンスを使ってAWS環境の不審な挙動を検出
●監視対象:
・VPC Flow Logs
・CloudTrail Logs
・DNS Logs
●検出例:
・不審なAPIコール(盗まれたIAMキー利用など)
・マルウェアC2サーバーへの通信
・異常なトラフィックパターン
■ 4. Amazon Inspector
●脆弱性管理サービス
●自動的にEC2やECR(コンテナイメージ)をスキャンして、セキュリティ脆弱性や設定不備を検出
●検出例:
・OSやアプリに既知のCVE(脆弱性データベース登録済み)があるか
・セキュリティパッチ未適用
・EC2のネットワーク露出の危険性
■ 5. Amazon Macie
●機密データの発見・分類サービス
●S3バケット内をスキャンし、機械学習で個人情報や機密情報(PII, クレジットカード番号など)を検出
●結果は可視化され、セキュリティやコンプライアンス対応に活用可能
■ ポイントまとめ
・入口を守る → Shield(DDoS)、 WAF (Web攻撃)
・中の挙動を監視 → GuardDuty
・リソースの脆弱性を潰す → Inspector
・データの中身を守る → Macie