アーキテクチャを設計するときは、分散型サービス拒否 (DDoS) 攻撃に対する保護を維持しながら、セキュリティ要件と財務上の制約のバランスを取ります。 DDoS 保護機能の概要については、 DDoS 保護機能に関するページを参照してください。 主な考慮事項は次のとおりです。
- 割り当てられた予算を使用すると、セキュリティと可用性の目標を満たすことができますか?
- ワークロード全体の DDoS 保護の使用パターンは何ですか?
- リソースの選択と使用率を向上させ、保護投資を最大化するにはどうすればよいでしょうか。
コスト最適化された DDoS 保護戦略は、常に最も低コストのオプションとは限りません。 セキュリティの有効性と財務効率のバランスを取る必要があります。 戦術的なコスト削減により、セキュリティの脆弱性が発生する可能性があります。 長期的な保護と財務責任を達成するには、 リスクベースの優先順位付け、継続的な監視、反復可能なプロセスを備えた戦略を作成します。
推奨されるアプローチから始めて、セキュリティ要件の利点を正当化します。 戦略を設定したら、定期的な評価と最適化サイクルを通じてこれらの原則を使用します。 コスト管理に関する包括的なガイダンスについては、 Azure Cost Management のドキュメント と Azure 料金計算ツールを参照してください。
保護規範を開発する
DDoS 保護のコストを最適化するには、リスク プロファイルを理解し、保護投資をビジネスの優先順位に合わせる必要があります。 保護の決定に対する明確なガバナンスとアカウンタビリティを設定します。 ガバナンス フレームワークの詳細については、 Azure ガバナンスのドキュメントを参照してください。
| Recommendation | Benefit |
|---|---|
| すべてのパブリック IP アドレスとそのビジネス重要度レベルをカタログ化する包括的な資産インベントリを開発します。 | 完全なインベントリにより、リスクベースの保護の決定が可能になり、コストの高い保護の過剰プロビジョニングと重要な資産の保護解除の両方が防止されます。 実際のビジネスへの影響に基づいて、保護投資に優先順位を付けることができます。 |
| セキュリティ、運用、財務チームに対して定義されたロールを使用して、保護に関する決定に明確なアカウンタビリティを確立します。 | 明確な説明責任により、保護の決定では、セキュリティ要件と予算の制約の両方が考慮されます。 コラボレーションによる意思決定により、セキュリティを損なう可能性のあるサイロ化された選択や、予算を超える可能性のある選択肢を防ぐことができます。 |
| 即時の保護ニーズと一般向けリソースの計画的な成長の両方を考慮した現実的な予算を作成します。 | 適切な予算作成により、予測可能な保護コストが可能になり、セキュリティ インシデント時の事後対応的な決定を防ぐことができます。 インフラストラクチャの拡大に合わせて保護の拡張を計画できます。 |
| さまざまな資産の種類に対して最小限の保護レベルと標準化されたポリシーを定義するリスク評価フレームワークを実装します。 | リスクベースのフレームワークは、一貫した保護の決定を保証しながら、DDoS 攻撃リスクを評価するための構造化されたアプローチを提供します。 重要な資産を特定し、脆弱性を評価し、ビジネスへの影響とリスク許容度に基づいて適切な保護措置を決定し、重要な資産の過小保護と低リスク リソースの過剰な保護の両方を防ぐのに役立ちます。 |
適切な保護モデルを選択する
Azure DDoS Protection には、コスト構造と保護スコープが異なる 2 つの価格モデルが用意されています。 リソースの分散と保護の要件に合ったモデルを選択します。 DDoS 保護 SKU と価格の詳細については、「 DDoS 保護 SKU と Azure DDoS Protection の価格の比較」を参照してください。
| Recommendation | Benefit |
|---|---|
| 仮想ネットワーク全体ではなく、特定の重要なリソースを保護する必要がある場合は、[IP 保護] を選択します。 | 保護されたパブリック IP アドレスに対してのみ支払いを行い、重要でないリソースのコストを回避します。 このターゲットアプローチにより、きめ細かなコスト制御が可能になり、ネットワークごとの料金なしで複数の仮想ネットワーク間での保護が可能になります。 IP 保護を構成するには、 DDoS IP 保護の構成に関する説明を参照してください。 |
| 保護が必要な 1 つの仮想ネットワークに多数のパブリック IP アドレス (通常は 10 以上) がある場合は、[ネットワーク保護] を選択します。 | ネットワーク保護は、包括的な保護シナリオでより優れた価値を提供します。 新しいリソースに対する自動保護と、仮想ネットワークあたりの予測可能な毎月のコストにより、管理が簡素化されます。 ネットワーク保護を構成するには、 DDoS IP 保護の構成に関する説明を参照してください。 |
| 予算の制約と仮想ネットワーク リソースの分散を考慮しながら、ビジネスクリティカルな資産に優先順位を付ける段階的な保護ロールアウト計画を策定します。 | この体系的なアプローチにより、コストを管理しながら、重要なエンドポイントを迅速に保護できます。 リスク評価、使用可能な予算に基づいて保護を拡張し、仮想ネットワークごとの保護モデルを最適化して、密度の低いネットワークでの過剰な支出を防ぐことができます。 |
アーキテクチャ効率の設計
セキュリティと機能を維持しながら、保護を必要とするパブリック IP アドレスの数を減らすためにアーキテクチャを最適化します。 アーキテクチャ上の決定は、保護コストに直接影響します。 アーキテクチャのガイダンスについては、 Azure Well-Architected Framework と Azure アーキテクチャ センターに関するページを参照してください。
| Recommendation | Benefit |
|---|---|
| Azure Private Link や仮想ネットワーク ピアリングなどのネットワーク セグメント化を使用して、公開リソースと内部リソースを分離します。 | 内部通信にプライベート接続を使用しながら、真に公開されているリソースに保護支出を集中させることができます。 これにより、内部パスでの DDoS 保護のニーズがなくなり、コストが削減され、セキュリティが向上します。 |
| 負荷分散とコンテンツ配信ネットワークを適切に使用して、パブリック IP の直接的な公開を最小限に抑えるアプリケーション アーキテクチャを設計します。 | アーキテクチャの効率により、保護範囲と関連するコストが削減されます。 多くの場合、複数のサービスを直接公開するのではなく、単一または少数のパブリック エンドポイントを介してアプリケーション全体を保護できます。 保護が必要なパブリック IP アドレスが少なくなり、コストが直接削減されます。 統合により、攻撃対象領域を減らすことでセキュリティが向上し、保護管理が簡素化されます。 |
リソース使用率の最適化
含まれている機能を使用し、保護を実際の使用パターンに合わせて調整することで、保護への投資から最大限の価値を得ることができます。
| Recommendation | Benefit |
|---|---|
| Azure Monitor の統合と組み込みのテレメトリを利用できます。保護の監視と分析には追加料金はかかりません。 | 含まれている監視機能を使用して、保護投資から最大値を得ることができます。 これにより、追加コストなしで継続的な最適化に必要な攻撃の可視性とトラフィック分析が提供されます。 |
| 保護対象範囲を実際の需要パターンと一致させるために、保護されたリソースの自動スケーリングを実装します。 | 動的スケーリングにより、トラフィックの急増時に保護を維持しながら、需要の低い期間中の過剰プロビジョニングを回避できます。 保護費は、生成された実際のビジネス価値に合わせて調整します。 |
時間の経過に伴う監視と最適化
インフラストラクチャの進化に伴い、保護のニーズが変化します。 コスト効率を維持するために、継続的な監視と定期的な最適化サイクルを設定します。
| Recommendation | Benefit |
|---|---|
| DDoS 保護の支出が定義済みの予算しきい値に近づいた場合に、コスト アラートを構成します。 | プロアクティブ通知は、予算超過を防ぎ、保護戦略をタイムリーに調整できるようにします。 他のイニシアチブに影響を与える前に、コストの増加に対応できます。 コスト アラートを作成するには、「 Cost Management」の「コスト アラートを使用して使用状況と支出を監視する」を参照してください。 |
| 保護されたリソースとそのビジネスの重要度の四半期ごとのレビューを実施して、最適化の機会を特定します。 | 定期的なレビューにより、保護投資がビジネスの優先順位と一致し続けられるようにします。 保護が不要になったリソースや、重要度の変化に基づいてアップグレードされた保護を必要とするリソースを特定できます。 |
| 攻撃パターンと保護の有効性を監視 して、カバレッジの決定を最適化します。 Microsoft Defender for Cloud でアラートを表示 し、 Log Analytics ワークスペースの DDoS Protection ログを利用します。 | 実際の脅威パターンを理解することで、データドリブンの保護に関する決定が可能になります。 理論的なリスクではなく、実際の攻撃データに基づいて保護レベルを調整できます。 |
| コスト管理のベスト プラクティスを使用して、投資収益率 (ROI) を追跡し、ライフサイクル管理を実装して、価値を測定し、不要な保護を使用停止します。 | ROI測定は、保護価値を示し、将来の投資決定を導きます。 非アクティブまたは重要でないリソースを定期的にクリーンアップすると、優先順位の高いリソースの予算を解放しながら、ビジネス価値に合わない支出の増加を防ぐことができます。 |