このブログ投稿は Azure Networking 部門のプリンシパル PM マネージャー、JR Mayberry 氏との共同で作成されました。
本日、Azure DDoS Protection Standard サービスの一般公開がすべてのパブリック クラウド リージョンで始まったことを謹んでお知らせ申し上げます。このサービスは Azure Virtual Networks (VNet) と統合されており、DDoS 攻撃の影響から Azure リソースを守ります。
DDoS (Distributed Denial of Service/分散型サービス拒否) 攻撃は、そのリソース (帯域幅やメモリなど) を枯渇させることでサービスに混乱を招くことを目的としています。DDoS 攻撃は、アプリケーションをクラウドに移行するお客様から可用性/セキュリティ上の懸念事項として挙げられている上位項目の 1 つです。DDoS 攻撃の背後には、動機として一般的にゆすりやハッキングがあります。DDoS 攻撃は比較的簡単で安価に始められるので、種類、規模、発生頻度が増大し続けています。
Nexusguard のデータによると、2017 年の第 4 四半期には、DDoS 攻撃が 2016 年と比較して 357% 以上増加しているので、お客様が懸念されるのも当然です。さらに、すべての攻撃の 56% 以上で複数のベクトルの組み合わせが攻撃されています。2018 年 2 月、Memcached のリフレクションにつけこむ方法で Github が攻撃されました。この攻撃で 1.35 テラビットのトラフィックが生成され、DDoS 攻撃史上最大の規模となりました。
ネットワーク攻撃の種類が増え、ますます洗練される中、Azure 上のアプリケーションのセキュリティと可用性を守り続けるソリューションをお客様に提供することに Azure は専心します。クラウドのセキュリティと可用性に対する責任は分担されるものです。Azure はプラットフォーム レベルの機能とデザインのベスト プラクティスを提供します。お客様は事業目的を達成するアプリケーション デザインにそれを採用します。
Azure DDoS Protection サービス プラン
Azure には、ネットワーク攻撃 (レイヤー 3 および 4) からの保護を提供する 2 つの DDoS サービス プランがあります。DDoS Protection Basic と DDoS Protection Standard です。
Azure DDoS Protection Basic サービス
Basic の保護は、追加コストなしに、既定で Azure プラットフォームに統合されています。Azure のグローバルに展開されるネットワークのフル スケールと容量が、常時有効なトラフィック監視とリアルタイムのリスク軽減によって、一般的なネットワーク層攻撃からの保護を提供します。DDoS Protection Basic を有効にするために、ユーザーを構成したり、アプリケーションを変更したりする必要はありません。Basic の保護では、最も一般的で頻繁に発生するレイヤー 7 DNS クエリ フラッドと、Azure DNS ゾーンを標的にするボリューム攻撃からも防御します。このサービスは、Microsoft の企業向け/消費者向けサービスを大規模な攻撃から防ぐことも証明されています。
Azure DDoS Protection Standard サービス
Azure DDoS Protection Standard では、仮想ネットワークにデプロイされているアプリケーションやリソースに対する DDoS 攻撃を軽減する機能が強化されています。保護は新規または既存の仮想ネットワークで簡単に有効にできます。アプリケーションやリソースの変更は必要ありません。DDoS Protection Standard では、専用の監視機能と機械学習を活用し、お客様の仮想ネットワーク トラフィック プロファイルに合わせて DDoS 保護ポリシーを構成します。攻撃テレメトリは Azure Monitor を介して利用できます。アプリケーションが攻撃にさらされたとき、アラートを作動させます。レイヤー 7 のアプリケーション保護は Application Gateway WAF により統合できます。
Azure DDoS Protection Standard サービスの機能
ネイティブのプラットフォーム統合とすぐに使える保護
DDoS Protection Standard は Azure プラットフォームにネイティブ統合されます。DDoS 保護プランを作成し、仮想ネットワークで DDoS Standard を有効にするとき、Azure Portal と PowerShell を介して DDoS Protection Standard に構成が追加されます。プロビジョニングが簡単になっており、仮想ネットワーク内のすべてのリソースがすぐに保護されます。アプリケーションをさらに変更する必要はありません。
常時監視とアダプティブ チューニング
DDoS Protection Standard が有効になっていると、攻撃の兆候がないか、アプリケーションのトラフィック パターンが常に監視されます。DDoS Protection では、お客様のリソースとリソース構成が理解され、DDoS Protection ポリシーがお客様の仮想ネットワークに合わせてカスタマイズされます。機械学習アルゴリズムにより保護ポリシーが設定され、トラフィック パターンが時間の経過と共に変化するのに合わせて調整されます。
Application Gateway による L7 保護
Azure DDoS Protection サービスと Application Gateway Web Application Firewall の連動により、Web の一般的な脆弱性と攻撃に対する DDoS 保護が提供されます。
- 要求率の制限
- HTTP プロトコル違反
- HTTP プロトコル異常
- SQL インジェクション
- クロス サイト スクリプティング
DDoS Protection Standard を Web アプリケーション ファイアウォール VNet で有効にする
サポートされているシナリオの詳細については、Azure DDoS Protection Standard - ベスト プラクティス、参照設計に関するページでご覧いただけます。
DDoS Protection のテレメトリ、監視、アラート
DDoS 攻撃中の詳しいメトリックなど、Azure Monitor からは豊富なテレメトリが公開されます。DDoS Protection によって公開される Azure Monitor のメトリックに対してアラートを構成できます。ログ記録をさらに Splunk (Azure Event Hubs)、OMS Log Analytics、Azure Storage と統合すれば、Azure Monitor Diagnostics インターフェイスから高度な分析が可能になります。
詳細については、「Azure Portal を使用した Azure DDoS Protection Standard の管理」を参照してください。
SLA 保証とコスト保護
DDoS Protection Standard サービスは 99.99% SLA の対象になります。また、コスト保護により、報告されている攻撃の間のスケールアウトに対してリソース クレジットが提供されます。詳細については、Azure SLA に関するページを参照してください。
保護の計画
DDoS 攻撃に対する計画と準備は、実際の攻撃の間、アプリケーションの可用性と応答を理解するために非常に重要です。組織は十分に調査した上で、DDoS インシデント管理対応計画も作成するべきです。
この計画で支援する目的で、「Azure DDoS Protection: ベスト プラクティスと参照アーキテクチャ」というエンドツーエンド ガイドを用意しました。Azure で DDoS 攻撃に対抗する回復性を持つアプリケーションを設計するとき、このガイドの方法を取り入れることをすべてのお客様にお勧めします。
Microsoft はまた BreakingPoint Cloud と業務提携し、Azure のお客様が、DDoS Protection が有効なパブリック エンドポイントに対するトラフィックの負荷を生成し、攻撃をシミュレーションするためのツールを提供します。BreakPoint Cloud のシミュレーションでは、以下のことが可能です。
- Microsoft Azure DDoS Protection が Azure リソースを DDoS 攻撃から保護するしくみを検証します
- DDoS 攻撃を受けているときのインシデント対応プロセスを最適化します
- DDoS コンプライアンスを文書化します
- ネットワーク セキュリティ チームのトレーニングを行います
概要
サービスに関する詳細については、Azure DDoS Protection サービスに関するページを参照してください。
お客様からのフィードバック、ご質問、コメントをお待ちしております。フォーラム、StackOverFlow、UserVoice など、正規のチャネルをご利用いただけます。