Azure DDoS Protectionで可用性の高い運用を!概要と機能について

インターネット上の悪意のある攻撃は常に進化しており、常に最新、最善の状態を維持できるセキュリティ対策が求められるようになってきました。悪意のある攻撃の中でもDDoS攻撃はサーバーダウンなどビジネス運営に致命的なダメージを及ぼします。今回はAzureリソースをDDoS攻撃から守る、Azure DDoS Protectionについて解説します。

Azure DDoS Protectionとは

ビジネスを脅かす悪意のある攻撃のひとつにDDoS攻撃(Denial of Service attack攻撃)があります。この攻撃では攻撃目標としたWebサイトやサーバーに対して、処理できないほど大量のデータが送りつけられます。

DDoS攻撃を受けると、いずれはサーバーリソースが使い切られてしまいます。そうなると、サーバー処理の極端な遅延やサーバーダウンなどが発生する可能性があり、ビジネスや展開しているサービス、アプリケーションは多大な影響を受けることになります。

Microsoftが提供するAzure DDoS Protectionとは、DDoS攻撃から保護し、受ける影響を軽減するAzureサービスのひとつです。

本サービスを導入したシステムでは、常時Azure DDoS ProtectionがDDoS攻撃を監視し、万が一攻撃を受けた場合はこれを軽減します。また攻撃を受けた際には、その攻撃内容を分析することも可能です。

DDoS Protection Standardが軽減する攻撃の種類

Azure DDoS Protectionが監視・軽減する攻撃のDDoS攻撃の種類は、以下の3つです。

帯域幅消費型攻撃

この攻撃は膨大な量のトラフィックをサーバーに送りつける攻撃です。トラフィックの内容は正当な者のように見えますが、ネットワークは大量のトラフィックを処理しきれず、サーバーダウンなど何らかの被害を受けてしまいます。Azure DDoS Protectionは攻撃を検知した際、数GBの攻撃を受け止めて除去することで、DDoS攻撃による被害を軽減させます。

プロトコル攻撃

ネットワーク層とトランスポート層(レイヤー3とレイヤー4)を集中的に攻撃して、サーバーをアクセス不可などの状態に追い込む攻撃です。Azure DDoS Protectionは正当なトラフィックと悪意のあるトラフィックを見分けて、攻撃を軽減します。

リソース (アプリケーション) レイヤー攻撃

Webアプリケーションパケットを目標とした攻撃で、ホスト間のデータ転送を妨害します。この攻撃を防ぐにはWebアプリケーションファイアウォール(Azure Application Gateway Web アプリケーション ファイアウォールなど)とAzure DDoS Protectionを共に利用することで、攻撃に対して防御できます。

DDoS Protection Standardの主な機能

主な機能は以下の3つです。

常時トラフィック監視

Azure DDoS Protectionは常時トラフィックを監視して、DDoS攻撃の検知や軽減を行い、Azure DDoS Protectionが適用される対象はすべてのAzureリージョンとされています。

ターンキー保護

Azure DDoS Protectionの構成はとても簡素なため、導入は比較的容易です。導入後はすべての仮想ネットワーク上にあるリソースをAzure DDoS Protectionが網羅します。保護はネットワーク層、トランスポート層全体に及び、さらにSQL インジェクション、クロスサイト スクリプティング攻撃といったアプリケーション層の攻撃も防御します。既定ではOpen Web Application Security Projectにて特定された上位10種類の脅威に対する保護が用意されています。

攻撃の分析機能

攻撃を受けている時には5分ごとに詳細なレポートが提供され、攻撃終了後には攻撃全体の概要レポートを受け取ることができます。

Azure DDoS Protectionの2つのプラン

Azure DDoS Protectionには「Basic」と「Standard」という2つのプランが用意されています。

両プランともに常時監視、レイヤー3・4レベルの攻撃軽減、リージョン間をまたいだAzure DDoS Protectionの提供などが含まれています。

standardにはBasicで提供される機能に加えて、Azure Virtual Networkリソースに対する攻撃の軽減機能などが提供されます。またWebアプリケーションファイアウォール(Azure Application Gateway Web アプリケーション ファイアウォールなど)とともに使ったアプリケーション層保護の機能はstandardに含まれます。

なお料金はデータ処理量によって異なり、1GB当たりの料金が定められています。詳細はMicrosoft公式ホームページをご覧下さい。
https://azure.microsoft.com/ja-jp/pricing/details/ddos-protection/別ウィンドウで開きます

まとめ

DDoS攻撃はWebアプリケーションやサービスを提供するビジネスに致命的なダメージを与えかねません。そのため多くの企業にとってDDoS攻撃への備えは大きな課題と言えます。Azure DDoS ProtectionはAzureサービス全体を常時オンラインで監視し、DDoS攻撃を検出、被害の軽減を図ります。Webアプリケーションファイアウォールを併用することで、SQLインジェクションやクロスサイトスクリプティングといった攻撃を防御できることから、Azureを使われるサービス提供者に有用なサービスのひとつだと言えるでしょう。

移行準備段階で知っておくべきMicrosoft Azureの
サービスを学び、具体的にクラウド検討を考える!

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

RECOMMEND
その他のコラム

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る