分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行する顧客が直面する最大の可用性とセキュリティの問題の一部です。 DDoS 攻撃により、アプリケーションのリソースが使い果たされ、正当なユーザーがアプリケーションを使用できなくなります。 DDoS 攻撃は、インターネット経由でパブリックに到達できる任意のエンドポイントを対象にすることができます。
Azure DDoS Protection とアプリケーション設計のベスト プラクティスを組み合わせることで、DDoS 攻撃から防御するための強化された DDoS 軽減機能が提供されます。 仮想ネットワーク内の特定の Azure リソースの保護に役立つよう、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースを変更する必要はありません。
Azure DDoS Protection は、レイヤー 3 とレイヤー 4 のネットワーク レイヤーで保護されます。 レイヤー 7 の Web アプリケーション保護の場合は、WAF オファリングを使用してアプリケーション層で保護を追加する必要があります。 詳細については、「アプリケーション DDoS Protection」をご覧ください。
層
DDoS ネットワーク保護
Azure DDoS Network Protection とアプリケーション設計のベスト プラクティスを組み合わせることで、DDoS 攻撃から防御するための強化された DDoS 軽減機能が提供されます。 仮想ネットワーク内の特定の Azure リソースの保護に役立つよう、自動的に調整されます。 DDoS ネットワーク保護の有効化の詳細については、「 クイック スタート: Azure portal を使用した Azure DDoS ネットワーク保護の作成と構成」を参照してください。
DDoS IP 保護
DDoS IP 保護は、保護対象の従量課金制 IP モデルです。 DDoS IP Protection には、DDoS ネットワーク保護と同じコア エンジニアリング機能が含まれていますが、DDoS の迅速な応答サポート、コスト保護、WAF の割引という付加価値サービスでは異なります。 DDoS IP 保護の有効化の詳細については、「 クイック スタート: Azure PowerShell を使用して Azure DDoS IP Protection を作成して構成する」を参照してください。
レベルの詳細については、「 DDoS Protection レベルの比較」を参照してください。
主な機能
常時トラフィックの監視: アプリケーションのトラフィックパターンは、24時間年中無休で監視され、DDoS攻撃のインジケーターを検出します。 Azure DDoS Protection は、検出されると、攻撃を即座かつ自動的に軽減します。
アダプティブ リアルタイム チューニング: インテリジェント トラフィック プロファイルは、時間の経過と同時にアプリケーションのトラフィックを学習し、サービスに最適なプロファイルを選択して更新します。 プロファイルは、時間の経過と同時にトラフィックが変化するにつれて調整されます。
DDoS Protection の分析、メトリック、アラート: Azure DDoS Protection は、DDoS が有効になっている仮想ネットワークで、保護されたリソースのパブリック IP ごとに 3 つの自動チューニング軽減ポリシー (TCP SYN、TCP、UDP) を適用します。 ポリシーのしきい値は、機械学習ベースのネットワーク トラフィック プロファイリングを使用して自動構成されます。 DDoS 軽減策は、ポリシーのしきい値を超えた場合にのみ、攻撃を受けている IP アドレスに対して発生します。
攻撃分析: 攻撃中に 5 分単位で詳細なレポートを取得し、攻撃終了後の完全な概要を取得します。 攻撃中にほぼリアルタイムで監視できるように、軽減フロー ログを Microsoft Sentinel またはオフラインのセキュリティ情報およびイベント管理 (SIEM) システムにストリーミングします。 詳細については、 DDoS 診断ログの表示と構成 に関するページを参照してください。
攻撃メトリック: 各攻撃の集計メトリックには、Azure Monitor を介してアクセスできます。 詳細については、 DDoS 保護テレメトリの表示と構成 に関するページを参照してください。
攻撃アラート: アラートは、組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、および攻撃の期間にわたって構成できます。 アラートは、Microsoft Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などの運用ソフトウェアに統合されます。 詳細については、 DDoS 保護アラートの表示と構成に関する ページを参照してください。
Azure DDoS の迅速な応答: アクティブな攻撃中、Azure DDoS ネットワーク保護により、お客様は DDoS Rapid Response (DRR) チームにアクセスでき、攻撃中や攻撃後の分析中の攻撃調査に役立ちます。 詳細については、「 Azure DDoS Rapid Response」を参照してください。
ネイティブ プラットフォーム統合: Azure にネイティブに統合されています。 Azure portal を使用した構成が含まれます。 Azure DDoS Protection は、リソースとリソースの構成を理解します。
ターンキー保護: 簡略化された構成では、DDoS ネットワーク保護が有効になるとすぐに、仮想ネットワーク上のすべてのリソースがすぐに保護されます。 介入またはユーザー定義は必要ありません。 同様に、DDoS IP Protection が有効になっていると、構成が簡略化されると、パブリック IP リソースがすぐに保護されます。
多層保護: Web アプリケーション ファイアウォール (WAF) を使用してデプロイすると、Azure DDoS Protection は、ネットワーク層 (Azure DDoS Protection によって提供されるレイヤー 3 と 4) とアプリケーション層 (WAF によって提供されるレイヤー 7) の両方で保護されます。 WAF オファリングには、Azure Application Gateway WAF SKU と、 Azure Marketplace で使用できるサードパーティの Web アプリケーション ファイアウォールオファリングが含まれます。
広範な軽減策のスケール: すべての L3/L4 攻撃ベクトルをグローバル容量で軽減し、既知の最大 DDoS 攻撃から保護できます。
コスト保証: 文書化された DDoS 攻撃の結果として発生したリソース コストのデータ転送とアプリケーション スケールアウト サービス クレジットを受け取ります。
アーキテクチャ
Azure DDoS Protection は、 仮想ネットワークにデプロイされるサービス用に設計されています。 他のサービスでは、既定のインフラストラクチャ レベルの DDoS 保護が適用され、一般的なネットワーク層攻撃から保護されます。 サポートされているアーキテクチャの詳細については、 DDoS Protection のリファレンス アーキテクチャに関するページを参照してください。
価格設定
DDoS ネットワーク保護の場合、テナントでは、1 つの DDoS 保護プランを複数のサブスクリプションで使用できるため、複数の DDoS 保護プランを作成する必要はありません。 DDoS IP 保護の場合、DDoS 保護プランを作成する必要はありません。 お客様は、任意のパブリック IP リソースで DDoS IP 保護を有効にすることができます。
Azure DDoS Protection Standard の価格については、「Azure DDoS Protection の価格」を参照してください。
ベスト プラクティス
次のベスト プラクティスに従って、DDoS の保護と軽減戦略の有効性を最大化します。
- 冗長性と回復性を念頭に置いて、アプリケーションとインフラストラクチャを設計します。
- ネットワーク、アプリケーション、データ保護などの多層セキュリティ アプローチを実装します。
- DDoS 攻撃に対する調整された対応を確保するために、インシデント対応計画を準備します。
ベスト プラクティスの詳細については、「 基本的なベスト プラクティス」を参照してください。
よくあるご質問
よく寄せられる質問については、 DDoS Protection に関する FAQ を参照してください。