Azure DDoS Protection Standard の概要Azure DDoS Protection Standard overview

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客が直面する可用性とセキュリティに関する最大の関心事の一部です。Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. DDoS 攻撃は、アプリケーションのリソースを使い果たして、そのアプリケーションを正当なユーザーから使用不能にしようとします。A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure DDoS Protection をアプリケーション設計のベスト プラクティスと組み合わせることにより、DDoS 攻撃に対する防御が提供されます。Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS Protection では、次のサービス レベルが提供されます。Azure DDos protection provides the following service tiers:

  • Basic: Azure プラットフォームの一部として、追加料金なしで自動的に有効になります。Basic: Automatically enabled as part of the Azure platform, at no additional charge. 常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイムの軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防御が提供されます。Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Azure のグローバル ネットワークのスケール全体を使用すると、各地域にまたがる攻撃トラフィックを分散および軽減できます。The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. IPv4 と IPv6 の Azure パブリック IP アドレスに対して保護が提供されます。Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard: Basic サービス レベルに加えて、特に Azure Virtual Network リソースに対してチューニングされた追加の軽減機能を提供します。Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard を有効にすることは簡単であり、アプリケーションの変更は必要ありません。DDoS Protection Standard is simple to enable, and requires no application changes. 保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムによってチューニングされます。Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のインスタンスなど、仮想ネットワーク内に展開されたリソースに関連付けられたパブリック IP アドレスに適用されます。Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. 攻撃中および履歴の表示のために、Azure Monitor ビューからリアルタイムのテレメトリを使用できます。Real-time telemetry is available through Azure Monitor views during an attack, and for history. アプリケーション レイヤー保護は、Azure Application Gateway Web アプリケーション ファイアウォール経由で追加できます。Application layer protection can be added through the Azure Application Gateway Web Application Firewall. IPv4 の Azure パブリック IP アドレスに対して保護が提供されます。Protection is provided for IPv4 Azure public IP addresses.

Azure DDoS Protection Standard

DDoS Protection Standard によって軽減される DDoS 攻撃の種類Types of DDoS attacks that DDoS Protection Standard mitigates

DDoS Protection Standard は、次の種類の攻撃を軽減できます。DDoS Protection Standard can mitigate the following types of attacks:

  • 帯域幅消費型攻撃: 攻撃の目標は、膨大な量の一見正当なトラフィックでネットワーク層をあふれさせることです。Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. これには、UDP フラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドが含まれます。It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS Protection Standard は、Azure のグローバル ネットワーク スケールを自動的に使用し、この潜在的に数ギガバイトに及ぶ攻撃を吸収して除去し、これらの攻撃を軽減します。DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • プロトコル攻撃: これらの攻撃は、レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセス不可にします。Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. これには、SYN フラッド攻撃、リフレクション攻撃、およびその他のプロトコル攻撃が含まれます。It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS Protection Standard は、クライアント側と対話して悪意のあるトラフィックと正当なトラフィックを区別し、悪意のあるトラフィックをブロックしてこれらの攻撃を軽減します。DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • リソース (アプリケーション) レイヤー攻撃: これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. これらの攻撃には、HTTP プロトコル違反、SQL インジェクション、クロスサイト スクリプティング、およびその他のレイヤー 7 攻撃が含まれます。The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Azure Application Gateway Web アプリケーション ファイアウォールを DDoS Protection Standard と共に使用することにより、これらの攻撃に対する防御が提供されます。Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Azure Marketplace ではサードパーティの Web アプリケーション ファイアウォール製品も入手できます。There are also third-party web application firewall offerings available in the Azure Marketplace.

DDoS Protection Standard は、仮想マシン、ロード バランサー、アプリケーション ゲートウェイに関連付けられたパブリック IP アドレスを含む、仮想ネットワーク内のリソースを保護します。DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Application Gateway Web アプリケーション ファイアウォールと組み合わせれば、DDoS Protection Standard は、レイヤー 3 からレイヤー 7 までの完全な軽減機能を提供できます。When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS Protection Standard の機能DDoS Protection Standard features

DDoS 機能

DDoS Protection Standard の機能には、次のものが含まれます。DDoS Protection Standard features include:

  • ネイティブ プラットフォームの統合: Azure にネイティブに統合します。Native platform integration: Natively integrated into Azure. Azure Portal による構成が含まれます。Includes configuration through the Azure portal. DDoS Protection Standard は、ユーザーのリソースおよびリソース構成を理解しています。DDoS Protection Standard understands your resources and resource configuration.
  • ターンキー保護: DDoS Protection Standard が有効になるとすぐに、簡略化された構成によって、仮想ネットワーク上のすべてのリソースが直ちに保護されます。Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. ユーザーが介入したり、ユーザーが定義したりする必要はありません。No intervention or user definition is required. DDoS Protection Standard では、攻撃が検出されるとすぐに自動で軽減されます。DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • 常時接続のトラフィック監視: DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. 軽減策は、保護ポリシーを超えた場合に実行されます。Mitigation is performed when protection policies are exceeded.
  • アダプティブ チューニング: インテリジェント トラフィック プロファイリングが一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。The profile adjusts as traffic changes over time.
  • レイヤー 3 からレイヤー 7 までの保護: Web アプリケーション ファイアウォールと併用すると、全スタックにわたって DDoS 保護が提供されます。Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • 広範囲にわたる軽減スケール: 60 種類を超える攻撃を軽減することができ、地球規模の容量を利用して、過去最大の DDoS 攻撃からも保護されます。Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • 攻撃メトリック: 各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • 攻撃アラート: 組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. アラートは、Microsoft Azure Log Analytics、Splunk、Azure Storage、電子メール、Azure Portal などの運用ソフトウェアに統合されます。Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • コストの保証: データ転送とアプリケーションは、ドキュメント化された DDoS 攻撃のサービス クレジットをスケールアウトします。Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

DDoS Protection Standard の軽減策DDoS Protection Standard mitigation

DDoS Protection Standard は実際のトラフィック使用率を監視し、それを DDoS ポリシーで定義されたしきい値と常に比較します。DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. そのトラフィックしきい値を超えた場合は、DDoS 軽減策が自動的に開始されます。When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. トラフィックがしきい値未満に戻ると、その軽減策は削除されます。When traffic returns below the threshold, the mitigation is removed.

対応策

軽減策の実行中、保護されたリソースに送信されたトラフィックは DDoS Protection サービスによってリダイレクトされ、次のようないくつかのチェックが実行されます。During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • パケットがインターネット仕様に準拠しており、不正な形式でないことを確認します。Ensure packets conform to internet specifications and are not malformed.
  • クライアント側と対話して、トラフィックが偽装されたパケットである可能性があるかどうかを判定します (たとえば、SYN Auth や SYN Cookie の利用、ソースへのパケットを削除してそれを再送信するなど)。Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • 他に適用できる方法がない場合は、パケットをレート制限します。Rate-limit packets, if no other enforcement method can be performed.

DDoS Protection は、攻撃トラフィックをブロックし、残りのトラフィックをその目的の宛先に転送します。DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. 攻撃の検出から数分以内に、Azure Monitor メトリックを使用してユーザーに通知します。Within a few minutes of attack detection, you are notified using Azure Monitor metrics. DDoS Protection Standard テレメトリへのログ記録を構成することによって、そのログを将来の分析のための使用可能なオプションに書き込むことができます。By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. DDoS Protection Standard のための Azure Monitor 内のメトリック データは、30 日間保持されます。Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft は BreakingPoint Cloud と提携して、シミュレーションのために DDoS Protection を有効にしたパブリック IP アドレスに対してトラフィックを生成できるインターフェイスを構築しました。Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. BreakPoint Cloud シミュレーションを使用して、以下の操作を行うことができます。The BreakPoint Cloud simulation allows you to:

  • Microsoft Azure DDoS Protection Standard が Azure リソースを DDoS 攻撃から保護する方法を検証しますValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • DDoS 攻撃を受けているときにインシデント レスポンス プロセスを最適化しますOptimize your incident response process while under DDoS attack
  • DDoS コンプライアンスを文書化しますDocument DDoS compliance
  • ネットワーク セキュリティ チームのトレーニングを行いますTrain your network security teams

次の手順Next steps