Azure DDoS Protection Standard の概要Azure DDoS Protection Standard overview

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客が直面する可用性とセキュリティに関する最大の関心事の 1 つです。Distributed denial of service (DDoS) attacks are one of the largest availability and security concerns facing customers moving their applications to the cloud. DDoS 攻撃は、アプリケーションのリソースを使い果たして、そのアプリケーションを正当なユーザーから使用不能にしようとします。A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。DDoS attacks can be targeted at any endpoint that is publicly reachable through the Internet.

Azure DDoS Protection をアプリケーション設計のベスト プラクティスと組み合わせることにより、DDoS 攻撃に対する防御が提供されます。Azure DDoS Protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS Protection では、次のサービス層が提供されます。Azure DDos Protection provides the following service tiers:

  • Azure DDoS Protection Basic: Azure プラットフォームの一部として、追加料金なしで自動的に有効になります。Azure DDoS Protection Basic: Automatically enabled as part of the Azure platform, at no additional charge. 常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイムの軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防御が提供されます。Always-on traffic monitoring and real-time mitigation of common network-level attacks provides the same defenses utilized by Microsoft’s online services. Azure のグローバル ネットワークのスケール全体を使用すると、各地域にまたがる攻撃トラフィックを分散および軽減できます。The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. IPv4 と IPv6 の Azure パブリック IP アドレスに対して保護が提供されます。Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Azure DDoS Protection Standard - 特に Azure Virtual Network リソースに対してチューニングされた追加の軽減機能を提供します。Azure DDoS Protection Standard Provides additional mitigation capabilities tuned specifically to Azure Virtual Network resources. これを有効にすることは簡単であり、アプリケーションの変更は必要ありません。It is simple to enable, and requires no application changes. 保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムを通してチューニングされ、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のインスタンスなど、仮想ネットワーク内にデプロイされたリソースに関連付けられたパブリック IP アドレスに適用されます。Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms and applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. 攻撃中および履歴の表示のために、Azure Monitor ビューからリアルタイムのテレメトリを使用できます。Real-time telemetry is available through Azure Monitor views during an attack and for history. アプリケーション レイヤー保護は、Application Gateway Web アプリケーション ファイアウォール経由で追加できます。Application layer protections can be added through Application Gateway Web Application Firewall. IPv4 の Azure パブリック IP アドレスに対して保護が提供されます。Protection is provided for IPv4 Azure public IP addresses.

Azure DDoS Protection Standard

重要

Azure DDoS Protection Standard は、現在プレビュー段階にあります。Azure DDoS Protection Standard is currently in preview. 仮想マシン、ロード バランサー、アプリケーション ゲートウェイなど、Azure パブリック IP アドレスが関連付けられた Azure リソースに対して保護を提供します。Protection is provided for any Azure resource that has an Azure public IP address associated to it, such as virtual machines, load balancers, and application gateways. サブスクリプションに対して DDoS Protection Standard を有効にできるようにするには、このサービスに登録する必要があります。You need to register for the service before you can enable DDoS Protection Standard for your subscription. 登録すると、Azure DDoS チームからご連絡し、有効化するプロセスを支援いたします。After registering, the Azure DDoS team contacts you and guides you through the enablement process. DDoS Protection Standard が利用可能なリージョンは、米国東部、米国東部 2、米国西部、米国中西部、北ヨーロッパ、西ヨーロッパ、西日本、東日本、東アジア、東南アジアのみです。DDoS Protection Standard is available in the East US, East US 2, West US, West Central US, North Europe, West Europe, Japan West, Japan East, East Asia, and Southeast Asia regions only. プレビュー中、サービスの使用に対して課金されることはありません。During preview, you are not charged for using the service.

開発環境、テスト環境、または運用環境で DDoS Protection Standard を試すことをお勧めします。We encourage you to try DDoS Protection Standard, in development, test, or production environments. 次のリソースを使用して、エクスペリエンスに関するフィードバックをご提供ください。Use the following resources to provide feedback on your experiences:

サポートの問題については、Azure サポート チケットを開くことができます。For support issues, you can open an Azure support ticket. DDoS Protection Standard がプレビュー版の場合は、ベストエフェート型のサポートが提供されます。While DDoS Protection Standard is in preview, support is provided on a best-effort basis.

DDoS Protection Standard によって軽減される DDoS 攻撃の種類Types of DDoS attacks that DDoS Protection Standard mitigates

DDoS Protection Standard は、次の種類の攻撃を軽減できます。DDoS Protection Standard can mitigate these types of attacks:

  • 帯域幅消費型攻撃: 攻撃の目標は、膨大な量の一見正当なトラフィックでネットワーク層をあふれさせることです。Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. これには、UDP フラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドが含まれます。It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS Protection Standard は、Azure のグローバル ネットワーク スケールを自動的に活用し、この潜在的に数ギガバイトに及ぶ攻撃を吸収して除去し、これらの攻撃を軽減します。DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, leveraging Azure’s global network scale, automatically.
  • プロトコル攻撃: これらの攻撃は、レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセス不可にします。Protocol attacks: These attacks render a target inaccessible by exploiting a weakness in the layer 3 and layer 4 protocol stack. これには、SYN フラッド攻撃、リフレクション攻撃、およびその他のプロトコル攻撃が含まれます。It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS Protection Standard は、クライアント側と対話して悪意のあるトラフィックと正当なトラフィックを区別し、悪意のあるトラフィックをブロックしてこれらの攻撃を軽減します。DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client and blocking malicious traffic.
  • アプリケーション レイヤー攻撃: これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。Application layer attacks: These attacks target web application packets to disrupt the transmission of data between hosts. これには、HTTP プロトコル違反、SQL インジェクション、クロスサイト スクリプティング、およびその他のレイヤー 7 攻撃が含まれます。It includes HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Azure Application Gateway Web アプリケーション ファイアウォールを DDoS Protection Standard と共に使用することにより、これらの攻撃に対する防御が提供されます。Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks.

DDoS Protection Standard は、仮想マシン、ロード バランサー、アプリケーション ゲートウェイに関連付けられたパブリック IP アドレスを含む、仮想ネットワーク内のリソースを保護します。DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Application Gateway Web アプリケーション ファイアウォールと組み合わせれば、DDoS Protection Standard は、レイヤー 3 からレイヤー 7 までの完全な軽減機能を提供できます。When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS Protection Standard の機能DDoS Protection Standard features

DDoS 機能

DDoS Protection Standard の機能には、次のものが含まれます。DDoS Protection Standard features include:

  • ネイティブなプラットフォーム統合: Azure にネイティブに統合されており、Azure Portal および PowerShell 経由で構成することができます。Native platform integration: Natively integrated into Azure and includes configuration through the Azure portal and PowerShell. DDoS Protection Standard は、ユーザーのリソースおよびリソース構成を理解しています。DDoS Protection Standard understands your resources and resource configuration.
  • 常時接続のトラフィック監視: DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. 軽減策は、保護ポリシーを超えた場合に実行されます。Mitigation is performed when protection policies are exceeded.
  • ターンキー保護: DDoS Protection Standard が有効になるとすぐに、簡略化された構成によって、仮想ネットワーク上のすべてのリソースが直ちに保護されます。Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. ユーザーが介入したり、ユーザーが定義したりする必要はありません。No intervention or user definition is required. DDoS Protection Standard では、攻撃が検出されるとすぐに自動で軽減されます。DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • アダプティブ チューニング: インテリジェント トラフィック プロファイリングが一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。The profile adjusts as traffic changes over time.
  • レイヤー 3 からレイヤー 7 までの保護: アプリケーション ゲートウェイと併用すると、全スタックにわたって DDoS 保護が提供されます。Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with an application gateway.
  • 広範囲にわたる軽減スケール: 60 種類を超える攻撃を軽減することができ、地球規模の容量を利用して、過去最大の DDoS 攻撃からも保護されます。Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • 攻撃メトリック: 各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • 攻撃アラート: 組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. アラートは、Microsoft Operations Management Suite、Splunk、Azure Storage、電子メール、Azure Portal などの運用ソフトウェアに統合されます。Alerts integrate into your operational software like Microsoft Operations Management Suite, Splunk, Azure Storage, Email, and the Azure portal.
  • コストの保証: データ転送とアプリケーションは、ドキュメント化された DDoS 攻撃のサービス クレジットをスケールアウトします。Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

DDoS Protection Standard の軽減策DDoS Protection Standard mitigation

Microsoft の DDoS Protection サービスは実際のトラフィック使用率を監視し、それを DDoS ポリシーで定義されたしきい値と常に比較します。Microsoft’s DDoS Protection service monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. そのトラフィックしきい値を超えた場合は、DDoS 軽減策が自動的に開始されます。When that traffic threshold is exceeded, then DDoS mitigation is initiated automatically. トラフィックがしきい値未満に戻ると、その軽減策は削除されます。When traffic returns below the threshold, the mitigation is removed.

軽減策の実行中、保護されたリソースに送信されたトラフィックは DDoS Protection サービスによってリダイレクトされ、いくつかのチェックが実行されます。During mitigation, traffic sent to the protected resource is redirected by the DDoS Protection service and several checks are performed. 一般に、これらのチェックでは次の機能を実行します。These checks generally perform the following functions:

  • パケットがインターネット仕様に準拠しており、不正な形式でないことを確認します。Ensure packets conform to Internet specifications and are not malformed.
  • クライアント側と対話して、トラフィックが偽装されたパケットである可能性があるかどうかを判定します (たとえば、SYN Auth や SYN Cookie の利用、ソースへのパケットを削除してそれを再送信するなど)。Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • 他に適用できる方法がない場合は、パケットをレート制限します。Rate-limit packets, if no other enforcement method can be performed.

DDoS Protection は、攻撃トラフィックをブロックし、残りのトラフィックをその目的の宛先に転送します。The DDoS protection blocks attack traffic and forwards remaining traffic to its intended destination. 攻撃の検出から数分以内に、Azure Monitor メトリックを使用してユーザーに通知します。Within a few minutes of attack detection, you are notified using Azure Monitor metrics. DDoS Protection Standard テレメトリへのログ記録を構成することによって、そのログを将来の分析のための使用可能なオプションに書き込むことができます。By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. DDoS Protection Standard のための Azure Monitor 内のメトリック データは現在、30 日間保持されます。Metric data in Azure Monitor for DDoS Protection Standard is currently retained for 30 days.

顧客が独自の DDoS 攻撃をシミュレートすることはお勧めできません。We do not advise customers to simulate their own DDoS attacks. 代わりに、顧客はサポート チャンネルを使用して、Azure のネットワークによって実行される DDoS 攻撃のシミュレーションを要求できます。Instead, customers can use the support channel to request a DDoS attack simulation executed by Azure Networking. エンジニアからご連絡し、DDoS 攻撃の詳細 (ポート、プロトコル、ターゲット IP) と、テストをスケジュールする時間を調整いたします。An engineer will contact you to arrange the details of the DDoS attack (ports, protocols, target IPs) and arrange a time to schedule the test.

次のステップNext steps