Azure DDoS Protection とは何か?

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客が直面する可用性とセキュリティに関する最大の関心事の一部です。 DDoS 攻撃では、アプリケーションのリソースを使い果たし、正当なユーザーがアプリケーションを使用できなくなるようにすることが試みられます。 DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。

Azure DDoS Protection は、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃から保護するための強化された DDoS 軽減機能が提供されます。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。

DDoS で保護された PaaS Web アプリケーションの参照アーキテクチャの図。

主な利点

常時接続のトラフィック監視:

DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。 Azure DDoS Protection は、攻撃が検出されると、攻撃を即座に自動的に軽減します。

アダプティブ リアルタイム チューニング

インテリジェント トラフィック プロファイリングにより、一定期間にわたってアプリケーションのトラフィックが学習され、そのサービスに最も適したプロファイルが選択および更新されます。 このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。

DDoS 保護のテレメトリ、監視、アラート

Azure DDoS Protection は、DDoS が有効になっている仮想ネットワーク内で、保護されたリソースのパブリック IP ごとに、3 つの自動調整された軽減ポリシー (TCP SYN、TCP、UDP) を適用します。 ポリシーのしきい値は、機械学習ベースのネットワーク トラフィック プロファイルを使用して自動的に構成されます。 DDoS の軽減は、ポリシーのしきい値を超過した場合にのみ、攻撃を受けている IP アドレスに対して行われます。

Azure DDoS Rapid Response

攻撃を受けたとき、Azure DDoS Protection の顧客は、DDoS Rapid Response (DRR) チームのサービスを受けられます。このチームは、攻撃時にその攻撃の調査を行ったり、攻撃後に分析を行ったりすることをサポートします。 詳細については、「Azure DDoS Rapid Response」を参照してください。

SKU

Azure DDoS Protection は、DDoS IP 保護 (プレビュー) と DDoS ネットワーク保護という 2 つの使用可能な SKU で提供されます。 SKU の詳細については、「SKU の比較」を参照してください。

ネイティブのプラットフォーム統合

Azure にネイティブに統合します。 Azure Portal による構成が含まれます。 Azure DDoS Protection は、リソースとリソース構成を理解しています。

ターンキー保護

DDoS ネットワーク保護が有効になるとすぐに、簡略化された構成によって、仮想ネットワーク上のすべてのリソースが直ちに保護されます。 ユーザーが介入したり、ユーザーが定義したりする必要はありません。 同様に、簡素化された構成では、パブリック IP リソースに対して DDoS IP 保護が有効になっている場合、パブリック IP リソースが直ちに保護されます。

多層保護

Web アプリケーション ファイアウォールと共にデプロイする場合、Azure DDoS Protection によって、ネットワーク層 (Azure DDoS Protection によって提供されるレイヤー 3 と 4) とアプリケーション層 (WAF によって提供されるレイヤー 7) の両方で保護されます。 WAF オファリングには、Azure Application Gateway WAF SKU と、Azure Marketplace で利用できるサードパーティの Web アプリケーション ファイアウォール オファリングが含まれています。

広範囲にわたる軽減スケール

すべての L3/L4 攻撃ベクトルを軽減することができ、地球規模の容量を利用して、過去最大の DDoS 攻撃からも保護されます。

攻撃の分析

攻撃中の 5 分ごとの詳細なレポートと、攻撃終了後の完全な概要を取得します。 攻撃中のほぼリアルタイムの監視のために、軽減フローのログが Microsoft Sentinel に、またはオフラインのセキュリティ情報イベント管理 (SIEM) システムにストリーム配信されます。 詳しくは、「DDoS 診断ログの表示と構成」をご覧ください。

攻撃メトリック

各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。 詳しくは、「DDoS 保護テレメトリの表示と構成」をご覧ください。

攻撃のアラート

組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。 アラートは、Microsoft Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などの運用ソフトウェアに統合されます。 詳しくは、「DDoS 保護アラートの表示と構成」をご覧ください。

コストの保証

ドキュメント化された DDoS 攻撃の結果として発生するリソース コストについて、データ転送およびアプリケーションのスケールアウト サービス クレジットを受け取ります。

アーキテクチャ

Azure DDoS Protection は、仮想ネットワークにデプロイされるサービス用に設計されています。 他のサービスでは、既定のインフラストラクチャ レベル DDoS 保護が適用され、これにより、一般的なネットワーク層攻撃から防御されます。 サポートされているアーキテクチャの詳細については、「DDoS Protection の参照アーキテクチャ」を参照してください。

価格

DDoS ネットワーク保護の場合、テナントの下では、1 つの DDoS 保護プランを複数のサブスクリプションで使用できるため、複数の DDoS 保護プランを作成する必要はありません。 DDoS IP 保護の場合、DDoS 保護プランを作成する必要はありません。 お客様は、任意のパブリック IP リソースで DDoS を有効にすることができます。

Azure DDoS Protection Standard の価格については、「Azure DDoS Protection の価格」を参照してください。

DDoS Protection に関する FAQ

よくあるご質問については、DDoS Protection の FAQ に関する記事をご覧ください。

次のステップ