Front Door の DDoS 保護

  • [アーティクル]

Azure Front Door は、世界中の 192 のエッジ POP にトラフィックを分散することで、HTTP(S) DDoS 攻撃から配信元を保護するのに役立つ Content Delivery Network (CDN) です。 これらの POP では、大規模なプライベート WAN を使用して、Web アプリケーションとサービスをより迅速かつ安全にエンド ユーザーに提供します。 さらに、Azure Front Door には、レイヤー 3、4、7 の DDoS 保護と Web アプリケーション ファイアウォール (WAF) も含まれ、一般的な悪用や脆弱性からアプリケーションを保護できます。

インフラストラクチャ DDoS 保護

Azure Front Door は、既定の Azure インフラストラクチャ DDoS 保護の恩恵を受けます。 この保護は、Front Door のネットワークのグローバル スケールと容量を使用して、ネットワーク層攻撃をリアルタイムで監視および軽減します。 この保護は、Microsoft のエンタープライズ サービスとコンシューマー サービスを大規模な攻撃から保護してきた実績があります。

プロトコルのブロック

Azure Front Door では HTTP プロトコルと HTTPS プロトコルのみがサポートされており、要求ごとに有効な 'Host' ヘッダーが必要です。 この動作は、さまざまなプロトコルとポートを使用するボリューム攻撃、DNS 増幅攻撃、TCP ポイズニング攻撃など、一般的な DDoS 攻撃の種類を防ぐのに役立ちます。

容量の吸収

Azure Front Door は、大規模なグローバル分散サービスです。 毎秒数十万件の要求を処理する Microsoft 独自のクラウド製品など、多くのお客様にサービスを提供しています。 Front Door は Azure のネットワークのエッジにあり、大規模な攻撃を傍受して地理的に隔離できます。 そのため、Front Door は、悪意のあるトラフィックが Azure ネットワークのエッジを超えて到達するのを防ぐことができます。

キャッシュ

Front Door のキャッシュ機能を使用して、攻撃によって生成される大量のトラフィックからバックエンドを保護することができます。 Front Door エッジ ノードは、キャッシュされたリソースを返し、バックエンドへの転送を回避します。 動的な応答でキャッシュの有効期限 (秒または分) が短い場合でも、バックエンド サービスの負荷を大幅に削減できます。 キャッシュの概念とパターンの詳細については、キャッシュに関する考慮事項に関するページやキャッシュ アサイド パターンに関するページを参照してください。

Web アプリケーション ファイアウォール (WAF)

Front Door の Web アプリケーション ファイアウォール (WAF) を使用すると、さまざまな種類の攻撃を軽減できます。

  • マネージド ルール セットは、多くの一般的な攻撃からアプリケーションを保護します。 詳細については、マネージド規則に関するページをご覧ください。
  • 特定の地理的リージョンの外部または内部からのトラフィックをブロックしたり、静的な Web ページにリダイレクトしたりできます。 詳細については、geo フィルタリングに関するページを参照してください。
  • 悪意があるものと特定された IP アドレスと範囲をブロックできます。 詳細については、IP の制限に関するページをご覧ください。
  • レート制限を適用して、IP アドレスがサービスを頻繁に呼び出すのを防ぐことができます。 詳細については、レートの制限に関するページをご覧ください。
  • 既知のシグネチャを持つ HTTP または HTTPS 攻撃を自動的にブロックおよびレート制限するためのカスタム WAF ルールを作成できます。
  • ボット保護マネージド ルール セットは、既知の不適切なボットからアプリケーションを保護します。 詳細については、ボット保護の構成に関するページをご覧ください。

Azure WAF を使用して DDoS 攻撃から保護する方法のガイダンスについては、アプリケーション DDoS 保護に関するページを参照してください。

仮想ネットワークの配信元を保護する

パブリック IP を DDoS 攻撃から保護するには、配信元の仮想ネットワークで Azure DDoS Protection を有効にします。 DDoS Protection をご利用のお客様は、コスト保護、SLA 保証、攻撃の際に DDoS Rapid Response Team の専門家に相談してすぐに支援を受けるなど、追加の利点を得ることができます。

Azure Private Link 経由で、Azure Front Door へのアクセスを制限することで、Azure でホストされる配信元のセキュリティを強化します。 こうした機能により、Azure Front Door とアプリケーション サーバー間のプライベート ネットワーク接続が可能になり、配信元をパブリック インターネットに公開する必要がなくなります。

次のステップ