Azure の DDoS 保護について説明する

  • 4 分

大企業も小企業もあらゆる企業が、重大なネットワーク攻撃の対象になる可能性があります。 これらの攻撃の特質としては、声明を出すことや攻撃者の挑戦欲求という理由があります。

分散型サービス拒否攻撃

分散型サービス拒否 (DDoS) 攻撃の目的は、アプリケーションやサーバー上のリソースを過剰に使用して、正規のユーザーに対して無応答にしたり低速にしたりすることにあります。 DDoS 攻撃は、通常、インターネット経由でアクセスできる、公開されたエンドポイントを対象とします。

3 つの最も一般的な DDoS 攻撃の種類は次のとおりです。

  • 帯域幅消費型攻撃: これらは、ネットワーク層を一見正当なトラフィックであふれさせ、使用可能な帯域幅を過剰に消費するボリューム ベースの攻撃です。 正当なトラフィックが通過できなくなります。
  • プロトコル攻撃: プロトコル攻撃では、レイヤー 3 (ネットワーク) およびレイヤー 4 (トランスポート) プロトコルの弱点を悪用する偽のプロトコル要求でサーバーのリソースが消耗され、ターゲットがアクセス不可能な状態になります。
  • リソース (アプリケーション) レイヤー攻撃: これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。

Azure DDoS Protection とは何か?

Azure DDoS Protection サービスは、ネットワーク トラフィックを分析し、DDoS 攻撃と思われるものを破棄して、アプリケーションとサーバーを保護できるように設計されています。

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Azure DDoS Protection サービスは、レイヤー 3 (ネットワーク層) とレイヤー 4 (トランスポート層) で保護します。 主な利点は以下の通りです。

  • 常時接続のトラフィック監視: DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。 Azure DDoS Protection は、攻撃が検出されると、攻撃を即座に自動的に軽減します。 軽減策の一部として、保護されたリソースに送信されたトラフィックは DDoS Protection サービスによってリダイレクトされ、いくつかのチェックが実行されます。 Azure DDoS Protection によって、攻撃トラフィックがドロップされ、残りのトラフィックがその目的の宛先に転送されます。 攻撃の検出から数分以内に、Azure Monitor メトリックを使用して通知されます。
  • アダプティブ リアルタイム チューニング: インテリジェント トラフィック プロファイリングで一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。 このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。
  • DDoS Protection テレメトリ、監視、アラート: Azure DDoS Protection は、Azure Monitor を介して豊富なテレメトリを公開します。 お客様は、DDoS Protection で使用される任意の Azure Monitor メトリックについて、アラートを構成することができます。 また、ログを Azure Event Hubs、Azure Monitor ログ、Azure Storage と統合し、Azure Monitor 診断インターフェースを介して高度な分析を行うこともできます。

Azure DDoS Protection では、DDoS IP 保護と DDoS ネットワーク保護の 2 種類のサービス レベルがサポートされています。 サービス レベルは、Azure DDoS Protection 構成時の Azure portal 内で構成されます。

  • DDoS ネットワーク保護: DDoS ネットワーク保護サービス (SKU として利用できます) は、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃を防御するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。
  • DDoS IP 保護: DDoS IP 保護は、保護される IP 単位の課金モデルです。 DDoS IP Protection は、DDoS Network Protection と同じコア エンジニアリング機能を備えていますが、DDoS Network Protection の一部である DDoS 迅速応答サポート、コスト保護、Web Application Firewall (WAF) の割引などの付加価値サービスが含まれていない点が異なります。 機能と対応するレベルの完全な一覧については、「Azure DDoS Protection レベルの比較について」をご覧ください

よく提起される一般的な質問は、Azure 上で実行されているサービスがデフォルトのインフラストラクチャ レベルの DDoS 保護によって本質的に保護されているのであれば、なぜ DDos Protection サービスの追加を検討するのかということです。 その理由は、インフラストラクチャを保護する保護のしきい値が、ほとんどのアプリケーションの処理容量よりも高く、テレメトリやアラートを提供しないためです。 そのため、トラフィック量はプラットフォームによって無害であると認識される可能性がある一方で、それを受け取るアプリケーションに壊滅的な被害を与える可能性があります。 Azure DDoS Protection サービスにオンボードすることで、アプリケーションには、攻撃とアプリケーション固有のしきい値を検出するための専用の監視が提供されます。 サービスは、予想されるトラフィック量に合わせて調整されたプロファイルを使用して保護され、DDoS 攻撃に対するより強固な防御を提供します。

前述のように、Azure DDos Protection はレイヤー 3 とレイヤー 4 で保護します。 レイヤー 7 (アプリケーション レイヤー) での Web アプリケーション保護では、このモジュールの後続ユニットで説明するWeb Application Firewall (WAF) オファリングを使用して、アプリケーション レイヤーで保護を追加する必要があります。