Azure portal を使用して Azure DDoS Protection をデプロイする
- 8 分
サービス拒否 (DoS) 攻撃は、サービスまたはシステムへのアクセスを妨げることを目的とした攻撃です。 DoS 攻撃は 1 つの場所で発生します。 分散型サービス拒否 (DDoS) 攻撃は、複数のネットワークとシステムから発生します。
DDoS 攻撃は、アプリケーションをクラウドに移行するお客様が直面するセキュリティ上の問題の 1 つです。 DDoS 攻撃では、API やアプリケーションのリソースを枯渇させ、正当なユーザーがアプリケーションを使用できなくなるようにすることが試みられます。 DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。
Azure DDoS Protection は、仮想ネットワーク内のリソースを保護します。 保護には、仮想マシンのパブリック IP アドレス、ロード バランサー、アプリケーション ゲートウェイが含まれます。 Application Gateway WAF と結合された場合、DDoS Protection はレイヤー 3 からレイヤー 7 までの完全な軽減機能を提供できます。
DDoS 攻撃の種類
DDoS Protection で、次の種類の攻撃を軽減できます。
ボリューム攻撃。 これらの攻撃は、膨大な量の一見正当なトラフィックをネットワーク層に送り込みます。 これには、UDP フラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドが含まれます。
プロトコル攻撃。 これらの攻撃は、レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセス不可にします。 攻撃には、SYN フラッド攻撃、リフレクション攻撃、およびその他のプロトコル攻撃が含まれます。
リソース (アプリケーション) レイヤー攻撃。 これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。 攻撃には、HTTP プロトコル違反、SQL インジェクション、クロスサイト スクリプティング、およびその他のレイヤー 7 攻撃が含まれます。
DDoS 実装レベル
Azure DDoS Protection には、DDoS IP 保護と DDoS ネットワーク保護の 2 つの層が用意されています。 どちらの層でも、アクティブなトラフィック監視、常時オン検出、自動攻撃の軽減策が提供されます。 レベルには、アプリケーション ベースの軽減ポリシー、メトリックとアラート、軽減レポート、Firewall Manager との統合が含まれます。 各レベルは、さまざまなニーズとシナリオに対応するように設計されています。
DDoS IP 保護。 このレベルは、個々のパブリック IP アドレスを保護するのに適しています。 保護するパブリック IP リソースが 15 個未満のシナリオに最適です。
DDoS ネットワーク保護。 このレベルには、迅速な対応サポートやコスト保護など、さらにいくつかの利点があります。 パブリック IP アドレスが 15 を超える大規模なデプロイがある場合は、このレベルを選択します。
Azure DDoS Protection の機能
Azure DDoS Protection には、次のような機能があります。
ネイティブ プラットフォーム統合。 Azure にネイティブに統合され、ポータルを介して構成されます。
ターンキー保護。 すべてのリソースを即座に保護する簡素化された構成。
常時稼働トラフィック監視。 DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。
アダプティブ チューニング。 サービスのトラフィックのプロファイリングと調整。
攻撃分析。 攻撃中の 5 分ごとの詳細なレポートと、攻撃終了後の完全な概要を取得します。
攻撃メトリックとアラート。 各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。 組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。
多層保護。 WAF をデプロイすると、DDoS Protection はネットワーク層とアプリケーション レイヤーの両方で保護されます。
ヒント
DDoS の詳細については、「 Azure DDoS Protection の概要 」モジュールを参照してください。