Microsoft が DoS 攻撃を防御する方法を理解する
サービス拒否攻撃 (DoS) とは、ネットワークベースの攻撃の一種であり、攻撃者が正当なアクティビティを妨げる目的で被害者のシステムのすべてのリソースを消費するものです。 単一の問題発生源からのトラフィックを特定してブロックすることは軽微なことなので、DoS 攻撃の中で最も脅威となるのは分散型サービス拒否攻撃 (DDoS) です。 DDoS 攻撃は、攻撃者が制御する多くの危険な中間システムを使用して、標的システムを圧倒します。 攻撃源は多様で数がおおいため、DDoS 攻撃の検出とブロックを困難にしています。
DDoS 防御システムの有効性は、吸収、検出、軽減策という 3 つの主要な要素によって決定します。 検出と軽減策のために十分な時間を確保するためには、状態を損なわずに最初の DoS 攻撃を吸収することが必要です。 適切な吸収機能がなければ、システムが圧倒される前に DDoS 攻撃に対応するのに必要な時間を確保できない可能性があります。 このため、DDoS 防御を成功させるには、検知時間を短縮するために、容量の増加と堅牢な監視システムの組み合わせが必要となります。
Microsoft は、独自の巨大なスケールとグローバルな拠点を活かして、吸収機能をサポートしています。 グローバルに分散したネットワークにより、ECMP (Equal-Cost Multi-Path) ルーティングの実装が可能となり、Microsoft 365 サービスへのアクセスのためのネットワーク パスの冗長性を取得して、DDoS 攻撃が発生した地域に隔離することができるようになります。 さらに、サービスと顧客データは、プライマリ データセンターが利用できなくなった場合にはフェールオーバーできる機能を使用してデータセンター間で複製されます。 この手法では、特定のエッジ ポイントにおける個別の DDoS 攻撃が、Microsoft 365 サービスの可用性に重大なリスクになることはありません。
複数の DDoS 攻撃が同時に発生した場合のリスクに対応するために、Microsoft は、多層構造の検知システムと、ネットワーク エッジにグローバルに分散配置された軽減コンポーネントを分離しました。 Microsoft のネットワークにあるさまざまなポイントからのフロー データとパフォーマンス情報は、DDoS の相関システムと検出システムの開発と改善に使用されます。 Microsoft のネットワーク トラフィックに対する暗黙的な拒否原則は、不要な通信をネットワーク エッジで確実に遮断し、サービスの攻撃面や分析の負担を軽減します。
DDoS 攻撃が検出されると、SYN クッキー、レート制限、接続の制限などの標準的な軽減技術を使用して対処します。 DDoS 攻撃は、OSI モデルのネットワーク (L3) 層とトランスポート (L4) 層を標的とすることが多く、ネットワーク回線やデバイスのリソースを飽和させます。 Microsoft では、これらの層を保護することを優先したソリューションを設計し、攻撃トラフィックが正当な顧客トラフィックに干渉したり、損害を与えたりしないようにしました。 データセンターのルーターからのトラフィック サンプリング データは、Microsoft の監視システムに取り込まれて分析され、これらの高リスク層への DDoS 攻撃が検出された場合に作動する自動防御メカニズムを備えています。
Exchange Online や SharePoint Online などのアプリケーションでは、DDoS 防御のための多層的なアプローチの一環として、ユーザーが消費するリソースに応じて調整することができます。 一般的な例として、ユーザーやサービスが短時間に多くのアクションを実行した場合に調整します。 これにより、DDoS 攻撃に対する追加の防御策を講じることができます。