AWS セキュリティサービス

AWS Shield

• 公式
• マネージド型の分散サービス妨害（DDoS攻撃）に対する保護サービス。
• サービスは Standard（無償） と Advanced（有償） の２つのレベルがある。
• Advancedの特徴
  • DDoS対応チームによるサポート
  • DDoS攻撃によるコスト増加分の払い戻し
  • AWS WAF を無料で無制限利用が可能。

AWS WAF

• 公式
• Web Application Firewall
• 以下のサービスにおけるウェブリクエストを制御する。
  • CloudFront
  • Application Load Balancer
  • API Gateway
• Web ACL（アクセスコントロールリスト）を使用して制御する。
• Webセキュリティルール（許可、ブロック等）の設定はユーザーが行う。

料金

• 基本利用料は無料。
• 設定内容（Webセキュリティルール）によって課金が行われる。
  • Web ACL 数による課金。
  • Web ACL に追加するルール数による課金。
  • 受け取るWebリクエスト数による課金。

AWS API Gateway

• REST および Web Socket API の作成、公開、保守等を行うフルマネージドサービス。

Amazon Inspector

• EC2上にあるアプリケーションの脆弱性等を評価するサービス。
• 評価はスケジューリングの設定により自動で行える。
• 脆弱性の定義となるナレッジベースがある。AWSのセキュリティ研究者により定期的に更新される。
• PCI DSS に関するチェックも可能。
• AWS Artifact から、コンプライアンスレポートを確認・ダウンロードできる。

Amazon GuardDuty

• 公式
• 悪意のある操作や不正な動作をモニタリングする脅威検出サービス。
• AWS CloudTrail、Amazon VPC フローログ、DNS ログなど、データソースのイベントを分析する。

侵入テスト（ペネトレーションテスト）について

• 公式
• 侵入テストの実施は事前承認が必要。
• 但し、EC2やRDSなどいくつかのサービスは事前承認が不要である。
• 承認なくテストを実施した場合、再発防止策を求められる。