Front Door の DDoS 保護

Azure Front Door には、分散型サービス拒否 (DDoS) 攻撃を防ぐのに役立ついくつかの機能と特性があります。 これらの機能により、攻撃者がアプリケーションに到達したり、アプリケーションの可用性やパフォーマンスに影響を与えたりすることを防ぐことができます。

インフラストラクチャ DDoS 保護

Front Door は、既定の Azure インフラストラクチャ DDoS 保護によって保護されています。 Front Door のグローバルに展開されるネットワークのフル スケールと容量が、常時有効なトラフィック監視とリアルタイムのリスク軽減によって、一般的なネットワーク層攻撃からの保護を提供します。 このインフラストラクチャ DDoS 保護には、Microsoft のエンタープライズ サービスとコンシューマー サービスを大規模な攻撃から保護してきた実績があります。

プロトコルのブロック

Front Door は、HTTP および HTTPS プロトコルのトラフィックのみを受け入れ、既知の Host ヘッダーを持つ有効な要求だけを処理します。 この動作は、さまざまなプロトコルやポート、DNS 増幅攻撃、TCP ポイズニング攻撃などの帯域幅消費型攻撃を含む一般的な DDoS 攻撃の種類を軽減するのに役立ちます。

容量の吸収

Front Door は、大規模にスケーリングされたグローバル分散サービスです。 マイクロソフトが所有する大規模なクラウド製品を含め、毎秒数十万の要求を受けている多くのお客様がいます。 Front Door は Azure のネットワークのエッジにあり、大量の攻撃を吸収して地理的に隔離します。 これにより、悪意のあるトラフィックが Azure ネットワークのエッジを超えることを防ぐことができます。

キャッシュ

Front Door のキャッシュ機能を使用して、攻撃によって生成される大量のトラフィックからバックエンドを保護することができます。 キャッシュされたリソースは Front Door のエッジ ノードから返されるため、バックエンドに転送されることはありません。 動的な応答でキャッシュの有効期限 (秒または分) が短い場合でも、バックエンド サービスの負荷を大幅に削減できます。 キャッシュの概念とパターンの詳細については、キャッシュに関する考慮事項に関するページやキャッシュ アサイド パターンに関するページを参照してください。

Web アプリケーション ファイアウォール (WAF)

Front Door の Web アプリケーション ファイアウォール (WAF) を使用すると、さまざまな種類の攻撃を軽減できます。

  • マネージド規則セットを使用すると、多くの一般的な攻撃に対する保護が提供されます。
  • 定義された地域外や定義されたリージョン内からのトラフィックは、ブロックしたり、静的な Web ページにリダイレクトしたりできます。 詳細については、geo フィルタリングに関するページを参照してください。
  • 悪意のあるものとして識別された IP アドレスおよび範囲は、ブロックすることができます。
  • レート制限を適用して、IP アドレスがサービスを頻繁に呼び出すのを防ぐことができます。
  • 既知のシグネチャを持つ HTTP または HTTPS 攻撃を自動的にブロックおよびレート制限するためのカスタム WAF ルールを作成できます。

保護の強化

さらに保護を強化する必要がある場合は、バックエンドがデプロイされている VNet で Azure DDoS Protection Standard を有効にすることができます。 DDoS Protection Standard をご利用のお客様は、コスト保護、SLA 保証、攻撃の際に DDoS Rapid Response Team の専門家に相談してすぐに支援を受けるなど、追加の利点を得ることができます。

次のステップ