Azure DDoS Protection をいつ使用するか

完了

ここでは、DDoS Infrastructure Protection サービスと DDoS Protection サービスを比較し、アップグレードの利点について理解を深めます。 このユニットでは、DDoS Protection の SKU の主な違いと、アプリケーションへの DDoS 攻撃に対する回復性の構築についてさらに学習します。 この情報を使って、Contoso に適した SKU を決めます。

Azure で DDoS からの回復性があるサービスを構築する

Azure DDoS Infrastructure Protection では、Azure にデプロイされたすべてのサービスが追加コストなしで自動的に保護され、アプリケーションやユーザーの構成を変更する必要もありません。

Azure DDoS Infrastructure Protection から Azure DDoS Protection へのアップグレードを決定するときは、重要な Azure リソースで DDoS 攻撃に関するリスク分析を行うことが重要です。 組み込みの DDoS サービスを利用できる場合でも、デプロイ後の保護のみに依存しないことをお勧めします。 回復性があり、サービス拒否攻撃からの耐性または迅速な復旧がテストされたアプリケーションを構築することが重要です。

ワークロードの回復性のための Azure フレームワーク

Azure チームから、回復性を備えたワークロードを設計するためのフレームワークが公開されています。 このフレームワークは、それに従うことでワークロードの品質を向上させることができる基本原則をまとめたものです。

ワークロードを構築またはデプロイするときは、次のことを考慮して設計することが重要です。

  • セキュリティ。 開発ライフサイクルの早い段階で、セキュリティ要件を明らかにして文書化します。 このプラクティスは、アプリケーションのライフサイクル全体を通してセキュリティが優先されることを保証するのに役立ちます。 適切に設計されていないアプリケーションには、リソースを過剰に使用する非効率なルーチンが含まれる場合があり、要求のレートが低くてもサービスが停止する可能性があります。
  • スケーラビリティ。 Azure にはアプリケーションの水平自動スケーリングが用意されていますが、DDoS 攻撃が発生した場合にこの要求を満たすようにアプリケーションを設計する必要があります。 アプリケーションがサービスの単一のデプロイに依存している場合、それが単一障害点になります。 複数のインスタンスをプロビジョニングすると、システムの回復力と拡張性が高まります。
  • 多層防御。 多層防御は、複数のセキュリティ手段を使用して組織の資産を保護する、広く受け入れられている戦略です。 Azure サービスのセキュリティ防御を階層化し、さらには二重化することで、攻撃が成功する可能性を低くすることができます。 また、Azure に組み込まれているプラットフォームの機能を知って理解することにより、設計のセキュリティと堅牢性を強化することもできます。 Azure サービスを使用するもう 1 つの利点は、アプリケーションの攻撃対象領域が減少することです。 多層防御には、アプリケーションのセキュリティ保護に関連するすべての問題に対処するため、組織のすべてのセキュリティ手段が組み込まれます。

これらの手段は、セキュリティを強化し、規制要件を満たすのに役立ちます。 DDoS からの回復性があるアプリケーションを構築するための考慮事項に対応した後は、必要な Azure DDoS Protection の機能を決定する必要があります。 次の表は、DDoS Protection のレベルと DDoS Infrastructure Protection の主な機能を比較したものです。

機能 DDoS Infrastructure Protection DDoS ネットワーク保護 DDoS IP 保護
アクティブなトラフィックの監視と常時検出 はい イエス はい
攻撃の自動軽減 はい イエス はい
可用性の保証 いいえ イエス はい
コストの保護 いいえ イエス いいえ
お客様のアプリケーションに合わせて調整される軽減ポリシー いいえ イエス はい
メトリックとアラート いいえ イエス はい
軽減レポート いいえ イエス はい
軽減フロー ログ いいえ イエス はい
DDoS への迅速な対応のサポート いいえ イエス いいえ

追加の DDoS Protection 機能

DDoS Protection では、トラフィックは常に Azure リージョン内に留まっています。 トラフィックをローカル リージョン内に留めておくと、DDoS Protection によって Azure リージョンでの攻撃の軽減が行われるため、パフォーマンスにも役立ちます。 Azure DDoS Protection により、アプリケーションに最も近い場所で攻撃トラフィックが軽減されます。 ただし、非常に大量の攻撃であることがわかった場合は、グローバルなスケールの Azure ネットワークを使って、発生している場所で攻撃が防御されます。

この多層防御戦略を使用して、お客様のバックエンド サービスと、Azure Front Door や Azure Application Gateway などの Azure サービスが保護されます。

DDoS Protection には DDoS Infrastructure Protection より多くの機能があります。 特定のアプリケーション (多くの収益を生み出す eコマース Web サイトなど) が不可欠であると判断した場合は、DDoS Protection が推奨される選択肢です。

あなたは、DDoS IP 保護 SKU は、IP 単位の有料サービスであるため、小規模な組織に最適であると判断しました。 あなたは、Contoso がサービスを拡大したら、仮想ネットワーク保護、DDoS Rapid Response のサポート、コストの保証のため、DDoS ネットワーク保護 SKU に切り替えることができることを知っています。