仮想ネットワーク向けの Azure DDoS Protection の一般提供を開始

執筆者:  Anupam Vij (Senior Product Manager, Azure Networking)

このポストは、2018 年 4 月 18 日に投稿された Azure DDoS Protection for virtual networks generally available の翻訳です。

 

今回は、Azure Networking の主任 PM マネージャーを務める JR Mayberry と共同執筆した記事をご紹介します。

このたびマイクロソフトは、すべてのパブリック クラウド リージョンにおいて Azure DDoS Protection Standard サービスの一般提供を開始しました。このサービスは Azure Virtual Networks (VNet) と統合されており、DDoS 攻撃の影響に対する Azure リソースの保護および防御機能を提供します。

DDoS (分散型サービス拒否) 攻撃とは、リソース (帯域幅、メモリなど) を枯渇させてサービスを中断させることを狙った攻撃です。DDoS 攻撃は、アプリケーションのクラウド移行を検討しているお客様の多くが懸念している可用性とセキュリティの問題です。DDoS 攻撃の一般的な動機は恐喝やハクティビズムです。比較的簡単かつ低コストで攻撃を仕掛けることができるため、その種類、規模、発生頻度は増加の一途をたどっています。

これらの懸念を裏付けるデータとして、Nexusguard (英語) によると、2017 年第 4 四半期に確認された DNS Amp を利用した DDoS 攻撃の件数は、2016 年と比較して 357% 以上増加しました。さらに、全攻撃の 56% 以上が複数の攻撃方法を組み合わせて利用しています。2018 年 2 月には、GitHub が攻撃の標的 (英語) となり、memcached のリフレクション攻撃によって 1.35 Tbit の攻撃トラフィックが発生しました。これは過去最大規模の DDoS 攻撃です。

ネットワーク攻撃の種類が増加し、巧妙化が進む中で、Azure ではアプリケーションのセキュリティと可用性を引き続き保護するソリューションをお客様に提供すべく取り組んでいます。クラウドにおけるセキュリティと可用性は、Azure とお客様が共同で負担する責任です。Azure はプラットフォーム レベルの機能と設計のベスト プラクティスを提供し、お客様はビジネス目標を達成するためにこれらをアプリケーション設計に採用、適用します。

Azure DDoS Protection サービスのレベル

Azure の DDoS サービスには 2 種類のレベル (DDoS Protection Basic と DDoS Protection Standard) があり、いずれもネットワーク攻撃 (レイヤー 3、4) からの保護機能が提供されます。 Azure DDoS

Azure DDoS Protection Basic サービス

Basic の保護機能は、既定で Azure プラットフォームに統合されており、追加料金なしでご利用いただけます。世界中にデプロイされた Azure ネットワークの規模および容量全体において、トラフィックの常時監視とリアルタイムの軽減策といった一般的なネットワーク層攻撃に対する防御機能が提供されます。DDoS Protection Basic を有効化するために、ユーザーの構成やアプリケーションの変更は必要ありません。また、Basic の保護機能は、特に一般的で頻繁に発生するレイヤー 7 への DNS クエリ フラッド攻撃や、Azure DNS ゾーンを標的とする Volumetric DDoS 攻撃も防御します。このサービスには、マイクロソフトのエンタープライズ サービスとコンシューマー サービスを大規模な攻撃から保護してきた実績があります。

Azure DDoS Protection Standard サービス

Azure DDoS Protection Standard は、お客様の仮想ネットワークにデプロイしたアプリケーションとリソースに対する DDoS 軽減機能を強化したサービスです。保護機能は、新規または既存の仮想ネットワーク上で簡単に有効化でき、アプリケーションやリソースの変更は必要ありません。DDoS Protection Standard では、専用の監視機能と機械学習を利用し、お客様の仮想ネットワークのトラフィック プロファイルに合わせて DDoS Protection ポリシーを構成します。攻撃のテレメトリは Azure Monitor に表示され、アプリケーションが攻撃された場合にアラート通知を行うことができます。統合されたレイヤー 7 アプリケーション保護機能は、Application Gateway WAF によって提供されます。 Azure DDoS Protection Standard Service

Azure DDoS Protection Standard サービスの機能

プラットフォームへのネイティブ統合とターンキー型の保護機能

DDoS Protection Standard は Azure プラットフォームにネイティブに統合されており、DDoS Protection Plan を作成して、仮想ネットワークに対して DDoS Standard を有効化した場合に、Azure Portal や PowerShell で構成を行うことができます。シンプルなプロビジョニングにより、仮想ネットワーク内のすべてのリソースを瞬時に保護できます。特にアプリケーションの変更は必要ありません。 Test Protection Plan

Create virtual network ****

常時監視とアダプティブな調整

DDoS Protection Standard を有効化すると、アプリケーションのトラフィック パターンが継続的に監視され、攻撃の痕跡 (IOA) が検出されます。DDoS Protection はリソースとリソース構成を認識し、お客様の仮想ネットワークに合わせて DDoS Protection ポリシーをカスタマイズします。トラフィック パターンが時間と共に変化すると、機械学習アルゴリズムによって Protection ポリシーが設定、調整されます。 Always-on monitoring

Application Gateway による L7 保護

Azure DDoS Protection サービスと Application Gateway Web Application Firewall を組み合わせることで、一般的な Web の脆弱性や DDoS 攻撃に対する保護機能が提供されます。

·         要求レート制限

·         HTTP プロトコル違反

·         HTTP プロトコル異常

·         SQL インジェクション

·         クロスサイト スクリプト

Web Application Firewall の VNet に対して DDoS Protection Standard を有効化

DDoS Protection Standard

サポートされているシナリオの詳細については、「Azure DDoS Protection Standard - ベスト プラクティスとリファレンス デザイン (英語)」のドキュメントをご覧ください。

DDoS Protection のテレメトリ、監視機能、アラート

Azure Monitor には、DDoS 攻撃中の詳細なメトリックなどのリッチなテレメトリが表示されます。DDoS Protection によって表示された任意の Azure Monitor メトリックには、アラートを構成できます。ログ機能を Splunk (Azure Event Hubs)、OMS Log Analytics、Azure Storage に統合すると、Azure Monitor Diagnostics のインターフェイスを使用して、高度な分析を実行できます。 Metric chart

詳細については、「Azure Portal を使用して Azure DDoS Protection Standard を管理する (英語)」のドキュメントをご覧ください。

SLA による保証とコスト保護

DDoS Protection Standard サービスでは、SLA によって 99.99% の可用性が保証されます。また、コスト保護により、確認された攻撃中にスケールアウトするためのリソース クレジットが提供されます。詳細については、Azure SLA のページをご覧ください。

保護計画

DDoS 攻撃に対する計画と準備を行うことは非常に重要です。これにより、実際の攻撃中のアプリケーションの可用性と応答を理解することができます。また、企業のお客様は DDoS インシデント管理と対応を十分に吟味して計画する必要があります。

この計画を支援するために、Azure ではエンドツーエンドの「DDoS Protection - ベスト プラクティスとリファレンス アーキテクチャ (英語)」のガイドを公開しており、Azure での DDoS 攻撃に対する回復性を確保するために、アプリケーションの設計時にそれらのベスト プラクティスを適用することをすべてのお客様に推奨しています。

また、BreakingPoint Cloud (英語) とのパートナーシップにより、Azure のお客様が DDoS Protection を有効化したパブリック エンドポイントに対してトラフィック負荷を発生させ、攻撃のシミュレーションを行うことができるツールを提供しています。BreakingPoint Cloud (英語) のシミュレーションでは、以下を行うことができます。

·         Microsoft Azure DDoS Protection によって Azure リソースを DDoS 攻撃から保護する方法を検証する

·         DDoS 攻撃中のインシデント対応プロセスを最適化する

·         DDoS に対するコンプライアンスを文書化する

·         ネットワーク セキュリティ チームのトレーニングを行う

使用を開始する

[embed]https://youtu.be/qfDb_S5rc9Q[/embed]

サービスの詳細については、Azure DDoS Protection サービスのドキュメントをご覧ください。

Azure では、皆様からのフィードバック、ご質問、ご意見をお待ちしております。いつものように、フォーラム (英語)StackOverflow (英語)UserVoice (英語) までお寄せください。