Azure Front Door の DDoS 保護
Azure Front Door は、世界中の 192 のエッジ POP (Points of Presence) にトラフィックを分散することで、HTTP(S) DDoS 攻撃から配信元を保護するのに役立つ Content Delivery Network (CDN) です。 これらの POP では、Azure の大規模なプライベート WAN を使用して、Web アプリケーションとサービスをより迅速かつ安全にエンド ユーザーに提供します。 Azure Front Door には、レイヤー 3、4、7 の DDoS 保護と Web アプリケーション ファイアウォール (WAF) も含まれ、一般的な悪用や脆弱性からアプリケーションを保護できます。
Azure Front Door は、既定の Azure インフラストラクチャ DDoS 保護の恩恵を受けます。 この保護は、Azure Front Door のネットワークのグローバル スケールと容量を使用して、ネットワーク層攻撃をリアルタイムで監視および軽減します。 これは、Microsoft のエンタープライズ サービスとコンシューマー サービスを大規模な攻撃から保護してきた実績があります。
Azure Front Door では HTTP プロトコルと HTTPS プロトコルのみがサポートされており、要求ごとに有効な Host
ヘッダーが必要です。 この動作は、さまざまなプロトコルやポートを使用するボリューム攻撃、DNS 増幅攻撃、TCP ポイズニング攻撃など、一般的な種類の DDoS 攻撃を防ぐのに役立ちます。
Azure Front Door は、毎秒数十万件の要求を処理する Microsoft 独自のクラウド製品など、多くのお客様にサービスを提供する大規模でグローバルに分散されたサービスです。 Azure のネットワークのエッジに配置されている Azure Front Door は、大量の攻撃を傍受して地理的に分離できるため、悪意のあるトラフィックが Azure ネットワークのエッジを越えて到達するのを防ぐことができます。
Azure Front Door のキャッシュ機能を使用して、攻撃によって生成される大量のトラフィックからバックエンドを保護することができます。 Azure Front Door エッジ ノードは、キャッシュされたリソースを返し、バックエンドへの転送を回避します。 動的な応答でキャッシュの有効期限 (秒または分) が短い場合でも、バックエンド サービスの負荷を大幅に削減できます。 キャッシュの概念とパターンの詳細については、キャッシュに関する考慮事項に関するページやキャッシュ アサイド パターンに関するページを参照してください。
Azure Web Application Firewall (WAF) を使用すると、さまざまな種類の攻撃を軽減できます。
- マネージド ルール セットは、多くの一般的な攻撃からアプリケーションを保護します。 詳細については、マネージド規則に関するページをご覧ください。
- 特定の地理的リージョンから静的 Web ページへのトラフィックをブロックまたはリダイレクトします。 詳細については、geo フィルタリングに関するページを参照してください。
- 悪意があると特定された IP アドレスと範囲をブロックします。 詳細については、IP の制限に関するページをご覧ください。
- レート制限を適用して、IP アドレスがサービスを頻繁に呼び出すのを防ぐことができます。 詳細については、レートの制限に関するページをご覧ください。
- 既知の署名を持つ HTTP または HTTPS 攻撃を自動的にブロックし、レート制限するためのカスタム WAF ルールを作成します。
- ボット保護マネージド ルール セットは、既知の不適切なボットからアプリケーションを保護します。 詳細については、ボット保護の構成に関するページをご覧ください。
Azure WAF を使用して DDoS 攻撃から保護する方法のガイダンスについては、アプリケーション DDoS 保護に関するページを参照してください。
パブリック IP を DDoS 攻撃から保護するには、配信元の仮想ネットワークで Azure DDoS Protection を有効にします。 このサービスでは、コスト保護、SLA 保証、攻撃の際に DDoS Rapid Response Team に相談してエキスパートの支援を受けるなど、より多くのメリットが得られます。
Azure Private Link を使用して Azure Front Door へのアクセスを制限することで、Azure でホストされる配信元のセキュリティを強化します。 この機能により、Azure Front Door とアプリケーション サーバー間にプライベート ネットワーク接続が確立され、配信元をパブリック インターネットに公開する必要がなくなります。
- Azure Front Door の WAF ポリシーを設定します。
- Azure Front Door プロファイルを作成します。
- Azure Front Door のしくみについて確認します。