Azure DDoS Protection Standard を使用するタイミングを推奨する

  • 7 分

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行する顧客が直面する最大の可用性とセキュリティの問題の一部です。 DDoS 攻撃により、アプリケーションのリソースが使い果たされ、正当なユーザーがアプリケーションを使用できなくなります。 DDoS 攻撃は、インターネット経由でパブリックに到達できる任意のエンドポイントを対象にすることができます。

Azure DDoS Protection とアプリケーション設計のベスト プラクティスを組み合わせることで、DDoS 攻撃から防御するための強化された DDoS 軽減機能が提供されます。 仮想ネットワーク内の特定の Azure リソースの保護に役立つよう、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースを変更する必要はありません。

Azure 分散型サービス拒否保護アーキテクチャの例を示す図。

Azure DDoS Protection は、レイヤー 3 とレイヤー 4 のネットワーク レイヤーで保護されます。 レイヤー 7 の Web アプリケーション保護の場合は、WAF オファリングを使用してアプリケーション層で保護を追加する必要があります。

DDoS ネットワーク保護

Azure DDoS Network Protection とアプリケーション設計のベスト プラクティスを組み合わせることで、DDoS 攻撃から防御するための強化された DDoS 軽減機能が提供されます。 仮想ネットワーク内の特定の Azure リソースの保護に役立つよう、自動的に調整されます。

DDoS IP 保護

DDoS IP 保護は、保護対象の従量課金制 IP モデルです。 DDoS IP Protection には、DDoS ネットワーク保護と同じコア エンジニアリング機能が含まれていますが、DDoS の迅速な応答サポート、コスト保護、WAF の割引という付加価値サービスでは異なります。

主な機能

  • 常時接続トラフィックの監視: アプリケーションのトラフィック パターンは、24 時間 1 日 7 日監視され、DDoS 攻撃のインジケーターを探します。 Azure DDoS Protection は、検出されると、攻撃を即座かつ自動的に軽減します。

  • アダプティブ リアルタイム チューニング: インテリジェント トラフィック プロファイリングは、時間の経過に伴うアプリケーションのトラフィックを学習し、サービスに最適なプロファイルを選択して更新します。 プロファイルは、時間の経過と同時にトラフィックが変化するにつれて調整されます。

  • DDoS Protection の分析、メトリック、アラート: Azure DDoS Protection は、DDoS が有効になっている仮想ネットワーク内の保護されたリソースのパブリック IP ごとに、3 つの自動チューニングされた軽減ポリシー (TCP SYN、TCP、UDP) を適用します。 ポリシーのしきい値は、機械学習ベースのネットワーク トラフィック プロファイリングを使用して自動構成されます。 DDoS 軽減策は、ポリシーのしきい値を超えた場合にのみ、攻撃を受けている IP アドレスに対して発生します。

    • 攻撃分析: 攻撃中に 5 分単位で詳細なレポートを取得し、攻撃終了後の完全な概要を取得します。 攻撃中にほぼリアルタイムで監視できるように、軽減フロー ログを Microsoft Sentinel またはオフラインのセキュリティ情報およびイベント管理 (SIEM) システムにストリーミングします。
    • 攻撃メトリック: 各攻撃の集計メトリックには、Azure Monitor を介してアクセスできます。
    • 攻撃アラート: アラートは、組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、および攻撃の期間にわたって構成できます。 アラートは、Microsoft Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などの運用ソフトウェアに統合されます。

  • Azure DDoS Rapid Response: アクティブな攻撃中、お客様は DDoS Rapid Response (DRR) チームにアクセスできます。DDoS Rapid Response (DRR) チームは、攻撃や攻撃後の分析中の攻撃調査に役立ちます。

  • ネイティブ プラットフォーム統合: Azure にネイティブに統合されます。 Azure portal を使用した構成が含まれます。 Azure DDoS Protection は、リソースとリソースの構成を理解します。

  • ターンキー保護: 簡略化された構成では、DDoS ネットワーク保護が有効になるとすぐに、仮想ネットワーク上のすべてのリソースがすぐに保護されます。 介入またはユーザー定義は必要ありません。 同様に、DDoS IP Protection が有効になっていると、構成が簡略化されると、パブリック IP リソースがすぐに保護されます。

  • 多層保護: Web アプリケーション ファイアウォール (WAF) を使用してデプロイすると、Azure DDoS Protection は、ネットワーク層 (Azure DDoS Protection によって提供されるレイヤー 3 と 4) とアプリケーション層 (WAF によって提供されるレイヤー 7) の両方で保護されます。

  • 広範な軽減スケール: すべての L3/L4 攻撃ベクトルをグローバル容量で軽減し、最大の既知の DDoS 攻撃から保護できます。

  • コスト保証: 文書化された DDoS 攻撃の結果として発生したリソース コストのデータ転送とアプリケーション スケールアウト サービス クレジットを受け取ります。

建築

Azure DDoS Protection は、仮想ネットワークにデプロイされるサービス用に設計されています。 他のサービスでは、既定のインフラストラクチャ レベルの DDoS 保護が適用され、一般的なネットワーク層攻撃から保護されます。

価格設定

DDoS ネットワーク保護の場合、テナントでは、1 つの DDoS 保護プランを複数のサブスクリプションで使用できるため、複数の DDoS 保護プランを作成する必要はありません。 DDoS IP 保護の場合、DDoS 保護プランを作成する必要はありません。 お客様は、任意のパブリック IP リソースで DDoS IP 保護を有効にすることができます。

ベスト プラクティス

次のベスト プラクティスに従って、DDoS の保護と軽減戦略の有効性を最大化します。

  • 冗長性と回復性を念頭に置いて、アプリケーションとインフラストラクチャを設計します。
  • ネットワーク、アプリケーション、データ保護などの多層セキュリティ アプローチを実装します。
  • DDoS 攻撃に対する調整された対応を確保するために、インシデント対応計画を準備します。