DDoS Protection の参照アーキテクチャ

DDoS Protection Standard は、仮想ネットワークにデプロイされるサービス用に設計されています。 以下の参照アーキテクチャは、アーキテクチャ パターンでグループ化されたシナリオで調整されています。

注意

保護されているリソースには、IaaS VM に接続されたパブリック IP (パブリック IP の背後で実行されている 1 つの VM を除く)、Load Balancer (クラシック & Standard Load Balancer)、Application Gateway (WAF を含む)、ファイアウォール、Bastion、VPN Gateway、Service Fabric、または IaaS ベースのネットワーク仮想アプライアンス (NVA) が含まれます。 保護では、カスタムIPプレフィックス(BYOIP)を介してAzureに提供されるパブリックIP範囲についても説明します。 PaaS サービス (マルチテナント) には、パブリック IP を持つ仮想ネットワーク内の Power Apps や API 管理のための Azure App Service Environment が含まれており、現時点ではサポートされていません。

仮想マシン (Windows/Linux) のワークロード

負荷分散された VM 上で実行しているアプリケーション

この参照アーキテクチャは、可用性とスケーラビリティを向上させるために、ロード バランサーの背後にあるスケール セット内で複数の Windows VM を実行するための一連の実証済みの手法を示します。 このアーキテクチャは、Web サーバーなど、任意のステートレス ワークロードで使用できます。

Diagram of the reference architecture for an application running on load-balanced VMs

このアーキテクチャでは、ワークロードが複数の VM インスタンスにわたって分散されます。 単一のパブリック IP アドレスが存在し、ロード バランサーを通じてインターネット トラフィックが VM に分散されます。 パブリック IP が関連付けられた Azure (インターネット) ロード バランサーの仮想ネットワークでは、DDoS Protection Standard が有効になります。

ロード バランサーは、受信インターネット要求を各 VM インスタンスに分散します。 仮想マシン スケール セットにより、VM の数を手動でスケールインまたはスケールアウトしたり、定義済みの規則に基づいて自動的に設定したりできるようになります。 これは、リソースが DDoS 攻撃を受けている場合に重要です。 この参照アーキテクチャについて詳しくは、こちらの記事をご覧ください。

Windows N 層で実行しているアプリケーション

N 層アーキテクチャを実装する方法は多数あります。 次の図は、典型的な 3 層の Web アプリケーションを示したものです。 このアーキテクチャは「スケーラビリティと可用性のために負荷分散された VM を実行する」の記事に基づいて作成されています。 Web 層とビジネス層では、負荷分散された VM が使用されます。

Diagram of the reference architecture for an application running on Windows N-tier

このアーキテクチャでは、DDoS Protection Standard が仮想ネットワークで有効になっています。 仮想ネットワーク内のすべてのパブリック IP には、レイヤー 3/レイヤー 4 の DDoS 保護が適用されます。 レイヤー 7 を保護するには、WAF SKU の Application Gateway をデプロイしてください。 この参照アーキテクチャの詳細については、Azure の Windows N 層アプリケーションに関するページを参照してください。

注意

1 つの VM がパブリック IP の背後で実行されているシナリオはサポートされていません。 DDoS 攻撃が検出されたとき、DDoS 軽減策が瞬時に開始されない場合があります。 その結果、スケールアウトできない 1 つの VM デプロイがそのような場合にダウンしてしまいます。

PaaS Web アプリケーション

この参照アーキテクチャでは、単一リージョンでの Azure App Service アプリケーションの実行を示します。 このアーキテクチャは、Azure App ServiceAzure SQL Database を使用する Web アプリケーションを対象とした一連の実証済みプラクティスを示しています。 フェールオーバー シナリオのためにスタンバイ リージョンを設定します。

Diagram of the reference architecture for a PaaS web application

Azure Traffic Manager は、着信要求をいずれかのリージョンの Application Gateway にルーティングします。 通常の運用中は、アクティブなリージョンの Application Gateway に要求をルーティングします。 そのリージョンが使用できなくなった場合、Traffic Manager はスタンバイ リージョンの Application Gateway にフェールオーバーします。

インターネットから Web アプリケーションに宛てられたすべてのトラフィックは、Traffic Manager によって Application Gateway のパブリック IP アドレスにルーティングされます。 このシナリオでは、アプリ サービス (Web アプリ) 自体は外部に対して直接公開されておらず、Application Gateway によって保護されています。

Application Gateway WAF SKU (禁止モード) を構成して、レイヤー 7 (HTTP/HTTPS/Web ソケット) の攻撃を防ぐことをお勧めします。 さらに、Web アプリは、ָApplication Gateway の IP アドレスからのトラフィックのみを受け入れるように構成されます。

この参照アーキテクチャの詳細は、「可用性の高い複数リージョンの Web アプリケーション」を参照してください。

Web PaaS 以外のサービスに対するリスク軽減

Azure 上の HDInsight

この参照アーキテクチャは、Azure HDInsight クラスターに対する DDoS Protection Standard の構成を示したものです。 HDInsight クラスターが仮想ネットワークにリンクされていること、および DDoS Protection がその仮想ネットワークで有効になっていることを確認してください。

Selection for enabling DDoS Protection

このアーキテクチャでは、インターネットから HDInsight クラスター宛のトラフィックは、HDInsight ゲートウェイのロード バランサーに関連付けられているパブリック IP にルーティングされます。 ゲートウェイのロード バランサーは、トラフィックをヘッド ノードまたはワーカー ノードに直接送信します。 HDInsight の仮想ネットワークで DDoS Protection Standard が有効になっているので、仮想ネットワーク内のすべてのパブリック IP アドレスにはレイヤー 3/レイヤー 4 の DDoS Protection が適用されます。 この参照アーキテクチャは、N 層およびマルチリージョンの参照アーキテクチャと組み合わせることができます。

この参照アーキテクチャについて詳しくは、「Azure Virtual Network を使用した Azure HDInsight の拡張」をご覧ください。

注意

パブリック IP を使用する仮想ネットワーク内での Azure App Service Environment for Power Apps 環境または API 管理は、どちらもネイティブにはサポートされていません。

Azure Firewall と Azure Bastion を使用したハブアンドスポーク ネットワークトポロジ

この参照アーキテクチャでは、セキュリティの側面を一元的に制御する必要があるシナリオ用に、DMZ としてのハブ内部での Azure Firewall を使用したハブアンドスポーク トポロジについて詳しく説明します。 Azure Firewall は、サービスとしてのマネージド ファイアウォールであり、独自のサブネットに配置されます。 Azure Bastion は、独自のサブネットにデプロイされ、配置されます。

VNet ピアリングを使用してハブに接続されているスポークが 2 つあり、スポーク間接続がありません。 スポーク間接続が必要な場合は、1 つのスポークからファイアウォールにトラフィックを転送するルートを作成する必要があります。これにより、それを別のスポークにルーティングできます。

Screenshot showing Hub-and-spoke architecture with firewall, bastion, and DDoS Protection Standard

Azure DDoS Protection Standard が仮想ネットワークで有効になっています。 そのため、ハブ内のすべてのパブリック IP は、DDoS Standard プランによって保護されます。 このシナリオでは、ハブのファイアウォールはインターネットからのイグレス トラフィックを制御するのに役立つと同時に、ファイアウォールのパブリック IP が保護されます。 Azure DDoS Protection Standard によって bastion のパブリック IP も保護されます。

DDoS Protection Standard は、仮想ネットワークにデプロイされるサービス用に設計されています。 詳細については、仮想ネットワークへの専用 Azure サービスのデプロイに関するページを参照してください。

Note

DDoS Protection Standard によって、Azure リソースのパブリック IP が保護されます。 構成が不要で、既定で有効になっている DDoS Protection Basic では、Azure の基になるプラットフォーム インフラストラクチャ (例: Azure DNS) のみが保護されます。 詳細については、「Azure DDoS Protection Standard の概要」を参照してください。 ハブアンドスポーク テクノロジの詳細については、ハブ アンド スポーク ネットワーク トポロジに関するページを参照してください。

次のステップ