Azure DDoS Protection のよくあるご質問

この記事では、Azure DDoS Protection についてよく寄せられる質問にお答えします。

分散型サービス拒否 (DDoS) 攻撃とはどのようなものですか?

分散型サービス拒否 (DDoS) は、アプリケーションで処理できるより多くの要求が攻撃者によってアプリケーションに送信される攻撃の一種です。 結果として、リソースが枯渇し、アプリケーションの可用性と顧客にサービスを提供できる機能に影響するようになります。 この数年で、業界では攻撃が大幅に増加しており、攻撃はますます高度で大規模になっています。 DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。

Azure DDoS Protection サービスとは

Azure DDoS Protection は、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃から保護するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。 詳細については、Azure DDoS Protection の概要に関する記事を参照してください。 

価格体系について

DDoS 保護プランには固定月額料金が適用されます。これは、最大 100 のパブリック IP アドレスに対応しています。 追加のリソースに対する保護を利用できます。

テナントの場合、複数のサブスクリプションに対して 1 つの DDoS 保護プランを使用できるため、複数の DDoS 保護プランを作成する必要はありません。

DDoS 防御の VNet に Application Gateway と WAF が展開されるとき、WAF に対する追加の課金はありません。Application Gateway に対しては低い非 WAF 料金を支払います。 このポリシーは Application Gateway v1 および v2 SKU に適用されます。

価格および詳細については、Azure DDoS Protection の価格に関するページを参照してください。

どの Azure DDoS Protection レベルを選択すればよいでしょうか?

保護する必要があるパブリック IP リソースが 15 未満の場合は、IP 保護レベルの方がコスト効率の高いオプションです。 保護するパブリック IP リソースが 15 を超える場合は、ネットワーク保護レベルの方がコスト効率が高くなります。 ネットワーク保護には、DDoS Protection Rapid Response (DRR)、コスト保護の保証、Azure Web Application Firewall (WAF) 割引など、追加の機能も用意されています。

サービスにゾーン回復性はありますか?

はい。 既定では、Azure DDoS Protection はゾーン回復性を備えています。

サービスにゾーン回復性を構成するにはどのようにすればよいですか?

ゾーン回復性を有効にするために、顧客による構成は必要ありません。 Azure DDoS Protection リソースのゾーン回復性は、既定で使用でき、サービス自体によって管理されます。

サービス レイヤー (レイヤー 7) での保護とはどのようなものですか?

お客様は、Azure DDoS Protection サービスと Web Application Firewall (WAF) を組み合わせて使用し、ネットワーク レイヤー (レイヤー 3 と 4、Azure DDoS Protection によって提供されます) とアプリケーション レイヤー (レイヤー 7、WAF によって提供されます) の両方で保護を行うことができます。 WAF オファリングには、Azure Application Gateway WAF SKU と、Azure Marketplace で利用できるサードパーティの Web アプリケーション ファイアウォール オファリングが含まれています。

このサービスを使用しないと Azure のサービスが安全ではくなりますか?

Azure で実行されているサービスは、既定のインフラストラクチャ レベルの DDoS 保護によって本質的に保護されています。 ただし、インフラストラクチャに対する保護の場合、ほとんどのアプリケーションで処理できる容量よりはるかに高いしきい値を持ち、テレメトリやアラートが提供されないため、トラフィック量がプラットフォームによって無害であると認識されても、それを受信するアプリケーションにとっては壊滅的になる可能性があります。

Azure DDoS Protection サービスにオンボードすることで、アプリケーションには、攻撃とアプリケーション固有のしきい値を検出するための専用の監視が提供されます。 サービスは、予想されるトラフィック量に合わせて調整されたプロファイルを使用して保護され、DDoS 攻撃に対する防御は、はるかに厳しくなります。

どのようなリソースの種類が保護対象としてサポートされていますか?

現在、ARM ベースの VNET でのパブリック IP が、保護されるリソースの唯一の種類です。 保護されているリソースには、IaaS VM に接続されたパブリック IP、Load Balancer (クラシックおよび Standard Load Balancer)、Application Gateway (WAF を含む)、ファイアウォール、Bastion、VPN Gateway、Service Fabric、または IaaS ベースのネットワーク仮想アプライアンス (NVA) が含まれます。 保護では、カスタムIPプレフィックス(BYOIP)を介してAzureに提供されるパブリックIP範囲についても説明します。

制限事項については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。

クラシックおよび RDFE の保護されたリソースはサポートされていますか?

プレビューでは、ARM ベースの保護されたリソースのみがサポートされています。 クラシックおよび RDFE のデプロイの VM はサポートされていません。 現在、クラシックおよび RDFE リソースのサポートは計画されていません。 詳細については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。

DDoS Protection を使用して PaaS のリソースを保護することはできますか?

マルチテナント、単一 VIP PaaS サービスに接続されているパブリック IP は現在サポートされていません。 サポートされていないリソースの例には、ストレージVIP、イベントハブ VIP、AppまたはCloud Servicesアプリケーションなどがあります。 詳細については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。

DDoS Protection を使用してオンプレミスのリソースを保護することはできますか?

DDoS Protection を有効にするには、サービスのパブリック エンドポイントが、Azure の VNet に関連付けられている必要があります。 設計の例には次ものが含まれます。

  • Azure の Web サイト (IaaS) と、オンプレミスのデータセンターのバックエンド データベース。
  • Azure の Application Gateway (App Gateway と WAF で DDoS Protection が有効) と、オンプレミス データセンターの Web サイト。

詳細については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。

Azure の外部にあるドメインを登録し、VM や ELB などの保護されたリソースにそれを関連付けることはできますか?

パブリック IP のシナリオの場合、アプリケーションは、関連付けられたパブリック IP が Azure でホストされている限り、関連付けられているドメインがどこで登録またはホストされているかに関係なく、DDoS Protection サービスによってサポートされます。

VNet やパブリック IP に適用される DDoS ポリシーを、手動で構成することはできますか?

いいえ、現時点では残念ながらポリシーのカスタマイズは利用できません。

特定の IP アドレスを許可リストまたはブロックリストに登録することはできますか?

いいえ、現時点では残念ながら手動で構成することはできません。

どうすれば DDoS Protection をテストできますか?

シミュレーションによるテストに関する記事を参照してください。

メトリックがポータルに読み込まれるまでにどれくらいの時間がかかりますか?

メトリックは、5 分以内にポータルに表示されるはずです。 リソースが攻撃を受けている場合、他のメトリックはポータルに表示され始めるまでに 5 分から 7 分かかります。

サービスによって顧客データは保存されますか?

いいえ、Azure DDoS Protection によって顧客データが保存されることはありません。

パブリック IP の背後での 1 つの VM デプロイはサポートされていますか?

1 つの VM がパブリック IP の背後で実行されているシナリオはサポートされていますが、お勧めしません。 DDoS 攻撃が検出されたとき、DDoS 軽減策が瞬時に開始されない場合があります。 その結果、スケールアウトできない 1 つの VM デプロイがそのような場合にダウンしてしまいます。 詳細については、「基本的なベスト プラクティス」に関するページを参照してください。