AWS Shield Advancedは、EC2インスタンス、Elastic Load Balancing(ELB)、Amazon CloudFrontなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、高度化された大規模な攻撃からの保護、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。
なお、Amazon API Gatewayには関連付けることができません。
AWS KMSでは「KMSキー」「データキー」と呼ばれる2種類の鍵を使用してデータの暗号化および復号を行います。このように二段階で鍵を保護する方式を「エンベロープ暗号化(Envelope Encryption)」といいます。KMSでは、KMSキーとデータキーという2段階で鍵を管理することによってセキュリティの向上を図っています。
「KMSキー」はデータキーを暗号化する際に使用し、「データキー」はデータを暗号化する際に使用します。データキーは通常、暗号化を行う対象のサービスごとに作成します。これにより、1つのデータキーが漏洩したとしても他のデータキーで暗号化されたサービスへは影響しません。また、データキーをKMSキーで暗号化することによって、運用時に頻繁に使用されるデータキーを保護します。
AWS CloudHSMでは、専用のハードウェアデバイスを用いて暗号化鍵を生成・管理します。貸し出されるハードウェアは世界的な暗号化ハードウェアの規格(FIPS 140-2 のレベル 3)で認証済みのため、信頼性の高さが強みです。
「CloudHSM」のHSM(Hardware Security Module)とは、データセキュリティを高めるための暗号鍵を保護しつつ運用するデバイスのことです。
AWS Key Management Service(KMS)では鍵の管理はAWS側で行われるのに対して(フルマネージド)、CloudHSMでは鍵の生成や保管・削除などのライフサイクル管理はユーザー自身が行います。
AWS CloudHSMでは、専用のハードウェアデバイスを用いて暗号化鍵を生成・管理します。貸し出されるハードウェアは世界的な暗号化ハードウェアの規格(FIPS 140-2 のレベル 3)で認証済みのため、信頼性の高さが強みです。
なお、「CloudHSM」のHSM(Hardware Security Module)とは、データセキュリティを高めるための暗号鍵を保護しつつ運用するデバイスのことです。
AWS Key Management Service(KMS)は、暗号化に使用する鍵(キー)を作成・管理するサービスです。通常は、暗号化を行う対象のサービス(Amazon S3やEBS(Elastic Block Store)、Amazon Redshiftなど)と連携して利用します。
暗号化鍵をAWSクラウド上で管理する
暗号化鍵の管理はAWSによって行われる
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。AWS Shieldには、すべてのAWSユーザーが無償で利用できる「AWS Shield Standard」と、有償版の「AWS Shield Advanced」があります。
○AWS Shield Standard
ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護します。デフォルトで有効になっています。
○AWS Shield Advanced
EC2インスタンス、Elastic Load Balancing、Amazon CloudFrontなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、高度化された大規模な攻撃からの保護、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。
AWS WAF(Web Application Firewall)は、脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービスです。
AWS WAFは、Amazon CloudFront、Application Load Balancer、Amazon API Gatewayなどに割り当てて利用します。Network Load Balancer(NLB)とClassic Load Balancer(CLB)には対応していないので利用できません。
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。
コメント