Azure DDoS Protection とは何か?

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客が直面する可用性とセキュリティに関する最大の関心事の一部です。 DDoS 攻撃では、アプリケーションのリソースを使い果たし、正当なユーザーがアプリケーションを使用できなくなるようにすることが試みられます。 DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。

Azure DDoS Protection は、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃から保護するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。

Diagram of the reference architecture for an Azure DDoS protected PaaS web application.

Azure DDoS Protection は、レイヤー 3 とレイヤー 4 のネットワーク層で保護されます。 レイヤ 7 で Web アプリケーションを保護するには、WAF オファリングを使用してアプリケーション レイヤで保護を追加する必要があります。 詳細については、「アプリケーション DDoS Protection」をご覧ください。

DDoS ネットワーク保護

Azure DDoS ネットワーク保護では、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃から保護するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。 DDoS ネットワーク保護の有効化の詳細については、「クイック スタート: Azure portal を使用して Azure DDoS のネットワーク保護を作成および構成する」を参照してください。

DDoS IP 保護

DDoS IP 保護は、保護された IP モデル単位の課金です。 DDoS IP 保護には、DDoS ネットワーク保護と同じコア エンジニアリング機能が含まれていますが、DDoS Rapid Response サポート、コスト保護、WAF の割引など、付加価値サービスが異なります。 DDoS IP 保護の有効化の詳細については、「クイックスタート: Azure PowerShell を使用した Azure DDoS IP Protection の作成と構成」を参照してください。

サービス レベルの詳細については、DDoS Protection サービス レベルの比較に関する記事を参照してください。

主な機能

  • 常時接続のトラフィック監視: DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。 Azure DDoS Protection は、攻撃が検出されると、攻撃を即座に自動的に軽減します。

  • アダプティブ リアルタイム チューニング: インテリジェント トラフィック プロファイリングで一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。 このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。

  • DDoS Protection 分析、メトリック、アラート: Azure DDoS Protection では、DDoS が有効になっている仮想ネットワーク内で、保護されたリソースのパブリック IP ごとに、3 つの自動調整された軽減ポリシー (TCP SYN、TCP、UDP) を適用します。 ポリシーのしきい値は、機械学習ベースのネットワーク トラフィック プロファイルを使用して自動的に構成されます。 DDoS の軽減は、ポリシーのしきい値を超過した場合にのみ、攻撃を受けている IP アドレスに対して行われます。

    • 攻撃の分析: 攻撃中の 5 分ごとの詳細なレポートと、攻撃終了後の完全な概要を取得します。 攻撃中のほぼリアルタイムの監視のために、軽減フローのログが Microsoft Sentinel に、またはオフラインのセキュリティ情報イベント管理 (SIEM) システムにストリーム配信されます。 詳しくは、「DDoS 診断ログの表示と構成」をご覧ください。

    • 攻撃メトリック: 各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。 詳しくは、「DDoS 保護テレメトリの表示と構成」をご覧ください。

    • 攻撃アラート: 組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。 アラートは、Microsoft Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などの運用ソフトウェアに統合されます。 詳しくは、「DDoS 保護アラートの表示と構成」をご覧ください。

  • Azure DDoS Rapid Response: 攻撃を受けたとき、Azure DDoS Protection の顧客は、DDoS Rapid Response (DRR) チームのサービスを受けられます。このチームは、攻撃時にその攻撃の調査を行ったり、攻撃後に分析を行ったりすることをサポートします。 詳細については、「Azure DDoS Rapid Response」を参照してください。

  • ネイティブのプラットフォーム統合: Azure にネイティブに統合します。 Azure Portal による構成が含まれます。 Azure DDoS Protection は、リソースとリソース構成を理解しています。

  • ターンキー保護: DDoS ネットワーク保護が有効になるとすぐに、簡略化された構成によって、仮想ネットワーク上のすべてのリソースがすぐに保護されます。 ユーザーが介入したり、ユーザーが定義したりする必要はありません。 同様に、簡素化された構成では、パブリック IP リソースに対して DDoS IP 保護が有効になっている場合、パブリック IP リソースが直ちに保護されます。

  • 多層保護: Web アプリケーション ファイアウォール (WAF) と共にデプロイする場合、Azure DDoS Protection によって、ネットワーク層 (Azure DDoS Protection によって提供されるレイヤー 3 と 4) とアプリケーション層 (WAF によって提供されるレイヤー 7) の両方で保護されます。 WAF オファリングには、Azure Application Gateway WAF SKU と、Azure Marketplace で利用できるサードパーティの Web アプリケーション ファイアウォール オファリングが含まれています。

  • 広範囲にわたる軽減スケール: すべての L3/L4 攻撃ベクトルを軽減することができ、地球規模の容量を利用して、過去最大の DDoS 攻撃からも保護されます。

  • コストの保証: ドキュメント化された DDoS 攻撃の結果として発生するリソース コストについて、データ転送およびアプリケーションのスケールアウト サービス クレジットを受け取ります。

アーキテクチャ

Azure DDoS Protection は、仮想ネットワークにデプロイされるサービス用に設計されています。 他のサービスでは、既定のインフラストラクチャ レベル DDoS 保護が適用され、これにより、一般的なネットワーク層攻撃から防御されます。 サポートされているアーキテクチャの詳細については、「DDoS Protection の参照アーキテクチャ」を参照してください。

価格

DDoS ネットワーク保護の場合、テナントの下では、1 つの DDoS 保護プランを複数のサブスクリプションで使用できるため、複数の DDoS 保護プランを作成する必要はありません。 DDoS IP 保護の場合、DDoS 保護プランを作成する必要はありません。 お客様は、任意のパブリック IP リソースで DDoS IP 保護を有効にすることができます。

Azure DDoS Protection Standard の価格については、「Azure DDoS Protection の価格」を参照してください。

ベスト プラクティス

次のベスト プラクティスに従って、DDoS 保護および軽減戦略の有効性を最大化します。

  • 冗長性と回復性を念頭に置いて、アプリケーションとインフラストラクチャを設計します。
  • ネットワーク、アプリケーション、データ保護など、多層セキュリティ アプローチを実装します。
  • DDoS 攻撃に対する調整された対応を確実に行うために、インシデント対応計画を準備します。

ベスト プラクティスの詳細については、基本的なベスト プラクティスに関する記事を参照してください。

よく寄せられる質問

よくあるご質問については、DDoS Protection の FAQ に関する記事をご覧ください。

次のステップ