AWS Transit Gatewayとは?機能・特徴や料金、5つのキーワードを解説
このコラムでは、AWS Transit Gatewayの理解を深めるための用語や機能と特徴、利用料金についてわかりやすく解説します。
COLUMN
Azure DDoS Protectionとは?概要や2つのプラン・料金体系を解説
Microsoft Azureの各サービスの設定・運用は、NTT東日本のクラウド導入・運用サービスで承ります。こちらより資料をダウンロードいただけますので、併せてご確認ください。
インターネット上の悪意のある攻撃は進化しており、常に最新・最善の状態を維持できる情報セキュリティ対策が求められるようになってきました。悪意のある攻撃の中でもDDoS攻撃はサーバーダウンなどビジネス運営に致命的なダメージを及ぼします。
本記事では、AzureリソースをDDoS攻撃から守る、Azure DDoS Protectionについて解説します。加えて、Azure DDoS Protectionで対策できる攻撃の種類、主な機能、有効にする方法について紹介します。
目次:
- 1.Azure DDoS Protectionとは?
- 1-1.ファイアウォールやWAFとの違い
- 1-2.2種類のサービスレベル
- 2.Azure DDoS Protection対策できる攻撃の種類
- 2-1.帯域幅消費型攻撃
- 2-2.プロトコル攻撃
- 2-3.リソース (アプリケーション) レイヤー攻撃
- 3.Azure DDoS Protectionの主な機能
- 3-1.常時トラフィック監視
- 3-2.ターンキー保護
- 3-3.攻撃の分析機能
- 4.Azure DDos Protectionの料金
- 5.Azure DDoS Protectionを有効にする方法
- 5-1.新しい仮想ネットワークに対して有効にする方法
- 5-2.既存の仮想ネットワークに対して有効にする方法
- 6.Microsoft Azureの導入ならNTT東日本にご相談ください
- Azure DDoS Protectionについてまとめ
1.Azure DDoS Protectionとは?
Azure DDoS Protectionとは、DoS攻撃やDDoS攻撃からサーバーを保護し、攻撃の影響を軽減するMicrosoftのサービスです。
DoS攻撃とは、1台のコンピューターから、Webサイトやサーバーに対して過剰で高負荷なアクセスやデータを送付するサイバー攻撃のことです。
DDoS攻撃とは、複数のコンピューターから一斉に攻撃するサイバー攻撃です。DoS攻撃と同様、膨大なアクセスやデータを送付し、標的としたネットワークやサーバー機能を機能停止に追い込みます。複数のコンピューターから攻撃している点で、DoS攻撃よりも過剰な負荷がかかります。
DDoS攻撃を受けると、サーバーリソースが使い切られてしまうので注意が必要です。攻撃を受けた結果、サーバー処理の極端な遅延やサーバーダウンなどが発生する可能性があり、ビジネスやサービス、アプリケーションへ多大な影響が生じます。
Azure DDoS Protectionは、常時DoS攻撃やDDoS攻撃を監視し、万が一攻撃を受けた場合にその攻撃を軽減します。また攻撃内容を分析することも可能です。事前のコミットメントは必要なく、コストの総額はユーザーのクラウドデプロイに応じて増減します。
1-1.ファイアウォールやWAFとの違い
DDoS攻撃対策として一般的に利用されるファイアウォールやWAFには、どのような違いがあるのか見ていきましょう。
- ファイアウォール
ファイアウォールは、ネットワーク通信において、その通信が信頼できるものかどうかを判断したうえで、許可もしくは拒否する仕組みです。この仕組みは、「パケットフィルタリング型」と呼ばれます。
しかし、通信の送信元とあて先の情報だけを見て許可するかどうかを決めており、肝心な通信内容は見ていません。ヘッダー情報(プロトコル種類、送信元、送信先IPアドレス、ポート番号など)だけが判断材料になります。そのため、データ格納部分に不正データが入り込んだとしても、ヘッダー情報が正しいと判断されれば侵入されてしまいます。
一方、Azure DDoS Protectionはネットワークの兆候などから自動で通信を制御することが可能です。
- WAF
WAF(ワフ) とは、Web Application Firewallの略称で、 Webアプリケーションの保護に特化した情報セキュリティ対策です。Webサーバーの前段に設置し、通信を解析・検査します。 SQLインジェクション、 OSコマンドインジェクションなど、サイバー攻撃と疑われる通信を遮断し、Webサイトを保護します。
保護はネットワーク層、トランスポート層全体に及び、さらにSQL インジェクション、クロスサイト スクリプティング攻撃といったアプリケーション層の攻撃も防御します。既定ではOpen Web Application Security Projectにて特定された上位10種類の脅威に対する保護が用意されています。
一般的なファイアウォールとの違いは、アプリケーションレベルで通信の中身が解析でき、決められた条件にマッチする通信を検知・遮断できる点です。
1-2.2種類のサービスレベル
Azure DDoS Protectionでは、DDoS IP保護と、DDoSネットワーク保護の2つのサービス レベルがサポートされています。サービス レベルは、Azure portalの中で構成されます。
機能と対応するサービスレベルは以下の表の通りです。
※2023年12月時点の料金です。
| 機能 | DDoS IP保護 | DDoSネットワーク保護 |
|---|---|---|
| アクティブなトラフィックの監視と常時検出 | ○ | ○ |
| L3/L4 攻撃の自動軽減 | ○ | ○ |
| 攻撃の自動軽減 | ○ | ○ |
| アプリケーション ベースのリスク軽減ポリシー | ○ | ○ |
| メトリックとアラート | ○ | ○ |
| 軽減レポート | ○ | ○ |
| 軽減フロー ログ | ○ | ○ |
| ユーザーのアプリケーションに合わせて調整される軽減ポリシー | ○ | ○ |
| Firewall Managerとの統合 | ○ | ○ |
| Microsoft Sentinelのデータ コネクタとブック | ○ | ○ |
| テナント内のサブスクリプション間でのリソースの保護 | ○ | ○ |
| パブリックIP Standardレベルの保護 | ○ | ○ |
| パブリックIP Basicレベルの保護 | × | ○ |
| DDoSへの迅速な対応のサポート | × | ○ |
| コスト保護 | × | ○ |
| WAF割引 | × | ○ |
| 料金 | 保護されたIP単位 | 100個の保護されたIPアドレス単位 |
参考:Microsoft「クラウド スキル チャレンジ」
Microsoft Azureの各サービスの設定・運用は、NTT東日本のクラウド導入・運用サービスで承ります。こちらより資料をダウンロードいただけますので、併せてご確認ください。
2.Azure DDoS Protection対策できる攻撃の種類
Azure DDoS Protectionが監視・軽減するDDoS攻撃の種類は、帯域幅消費型攻撃、プロトコル攻撃、リソース (アプリケーション) レイヤー攻撃の3つです。
それぞれ詳しく解説していきます。
2-1.帯域幅消費型攻撃
帯域幅消費型攻撃とは、膨大な量のトラフィックをサーバーに送りつけるサイバー攻撃のことです。トラフィックは一見正当な内容に見えますが、ネットワークが大量のトラフィックを処理しきれず、サーバーダウンなどの被害が生じます。
Azure DDoS Protectionは攻撃を検知した際、数GBの攻撃を受け止めて除去することで、DDoS攻撃による被害を軽減させます。
2-2.プロトコル攻撃
ネットワーク層とトランスポート層(レイヤー3とレイヤー4)を集中的に攻撃して、サーバーをアクセス不可などの状態に追い込む攻撃です。Azure DDoS Protectionは正当なトラフィックと悪意のあるトラフィックを見分けて、攻撃を軽減します。
2-3.リソース (アプリケーション) レイヤー攻撃
Webアプリケーションパケットを目標とした攻撃で、ホスト間のデータ転送を妨害します。この攻撃を防ぐにはWebアプリケーションファイアウォール(Azure Application Gateway Web アプリケーション ファイアウォールなど)とAzure DDoS Protectionを共に利用することが大切です。
3.Azure DDoS Protectionの主な機能
Azure DDoS Protectionの主な機能は、常時トラフィック監視、ターンキー保護、攻撃の分析機能の3つです。それぞれの機能の特徴を見ていきましょう。
3-1.常時トラフィック監視
Azure DDoS Protectionは常時トラフィックを監視して、DDoS攻撃の検知や軽減を行います。Azure DDoS Protectionが適用される対象はすべてのAzureリージョンです。
3-2.ターンキー保護
Azure DDoS Protectionの構成は非常に簡素です。DDoSネットワーク保護が有効になるやいなや、簡素化された構成によって、仮想ネットワーク上のすべてのリソースがすぐに保護されます。 ユーザーの介入も、ユーザー自身で何らかの定義を行う必要はありません。
3-3.攻撃の分析機能
攻撃を受けているときには5分ごとに詳細なレポートが提供され、攻撃終了後には攻撃全体の概要レポートを受け取ることができます。 攻撃中は、ほぼリアルタイムで監視するため、軽減フローのログが Microsoft Sentinel に、もしくはオフラインの情報セキュリティ情報イベント管理 (SIEM) システムにストリーム配信されるのが特徴です。
Microsoft Azureの各サービスの設定・運用は、NTT東日本のクラウド導入・運用サービスで承ります。こちらより資料をダウンロードいただけますので、併せてご確認ください。
4.Azure DDos Protectionの料金
本章では、Azure DDoS Protectionの料金体系を解説します。
Azure DDoS Protectionでは、 2つのレベル (ネットワーク保護とIP保護)を提供しています。自社が求める情報セキュリティとコストの応じたものを選びましょう。
- ネットワーク保護
ネットワーク保護には、固定の月額利用料(100個のパブリックIPリソースの保護を含む)が発生します。追加のパブリックIPリソースの保護は、リソースごとに毎月課金されるので留意しておきましょう。テナント内の単一のAzure DDoS Protectionプランは、各種サブスクリプションで使用可能です。
料金の詳細は以下の表の通りです。
| 料金 | |
|---|---|
|
月額利用料 100 個のパブリック IP リソースの保護を含む |
2,944USD/月 |
|
超過料金 パブリック IP リソースが 100 を超えた場合 |
29.5USD/リソース/月 |
※リージョンは日本(東日本)です。
※2023年12月時点の料金です。
参考:Microsoft Azure「Azure DDoS Protection の価格」
- IP保護
IP保護は、それぞれのパブリックIPリソースを保護するために使用されます。保護されたパブリックIPリソースに応じて、固定の月額利用料が生じます。
料金の詳細は以下の表の通りです。
| 料金 | |
|---|---|
| 保護されているパブリックIPリソースあたりの月額利用料 | 199USD/月 |
※料金は 730 時間/月で算出されています。
※リージョンは日本(東日本)です。
※2023年12月時点の料金です。
参考:Microsoft Azure「Azure DDoS Protection の価格」
5.Azure DDoS Protectionを有効にする方法
Azure DDoS Protectionを有効にする方法を解説します。
5-1.新しい仮想ネットワークに対して有効にする方法
① Azure Portalの左上隅のハンバーガーマークを選択しましょう。
② [仮想ネットワーク]を選択します。
③以下の表の値を入力、または選択します。
| 設定 | 値 |
|---|---|
| サブスクリプション | サブスクリプションを選択します。 |
| Resource group | [既存のものを使用] 、 [MyResourceGroup] の順に選択します。 |
| 名前 | 「MyVnet」と入力します。 |
| リージョン | 「米国東部」と入力します。 |
引用:Microsoft Azure「クイック スタート: Azure portal を使用して Azure DDoS のネットワーク保護を作成および構成する」
④[セキュリティ]ウィンドウから、Azure DDoSネットワーク保護ラジオで[有効にする]を選びます。
⑤[DDoS 保護プラン]ウィンドウから “MyDdosProtectionPlan” を選択しましょう。
⑥[次へ]を選びます。[IP アドレス]ウィンドウで、[IPv4 アドレス空間の追加]を選択し、以下の表の値を入力した後、[追加] を選びます。
| 設定 | 値 |
|---|---|
| IPv4 アドレス空間 | 「10.1.0.0/16」を入力します。 |
| サブネット名 | [サブネット名] で [サブネットの追加] リンクを選択し、「mySubnet」と入力します。 |
| サブネットのアドレス範囲 | 「10.1.0.0/24」と入力します。 |
引用:Microsoft Azure「クイック スタート: Azure portal を使用して Azure DDoS のネットワーク保護を作成および構成する」
⑦[確認および作成]、[作成] の順に選びましょう。
5-2.既存の仮想ネットワークに対して有効にする方法
①既存の DDoS Protectionプランがない場合は、「DDoS Protection プランを作成する」の手順を参考に、DDoS Protectionプランを作成して下さい。
②Azure portal上部の、[リソース、サービス、ドキュメントの検索]ボックスに、DDoS ネットワーク保護を有効にする仮想ネットワークの名前を入力しましょう。 仮想ネットワークの名前が検索結果に表示されるので、それを選択します。
③[設定]で、[DDoS 保護]を選びましょう。
④[有効化]を選んで下さい。[DDoS protection plan]でプランを選び、[保存]を選択しましょう。
6.Microsoft Azureの導入ならNTT東日本にご相談ください
現代では、社会インフラや業務システムのほとんどがインターネットに依存しています。そのため、DDoS攻撃の被害に合うと、Webアプリケーションやサービスを提供するビジネスに致命的なダメージを与えかねません。多くの企業にとってDDoS攻撃への備えは大きな課題と言えます。
しかし、「自社に合う保護サービスが分からない」「Azure DDoS Protectionを導入したいが、自社に対応できる人材がいない」といったケースもあります。そのようなときは、NTT東日本のクラウド導入・運用サービスを是非ご検討ください。
NTT東日本では、AWS、Microsoft Azureのクラウドサービスの設計構築・ネットワーク構築・監視保守・運用代行を行い、セキュアなクラウド環境構築やICT業務の効率化を提供します。
Azure DDoS Protectionについてまとめ
Azure DDoS Protectionは、Azureサービス全体を常時オンラインで監視し、サイバー攻撃を検出、被害の軽減を図るサービスです。常時トラフィック監視、ターンキー保護、攻撃の分析機能の3つの機能で、DDoS攻撃やDoS攻撃から守ります。更に、Webアプリケーションファイアウォールを併用することで、SQLインジェクションやクロスサイトスクリプティングといった攻撃を防御できます。
Azure DDoS Protectionでは、ネットワーク保護とIP保護の2つのレベルを提供しています。保護のレベルによって料金が異なるので、自社が求める情報セキュリティとコストの応じたものを選びましょう。
サイバー攻撃が巧妙化している現代において、保護システムは非常に重要です。迷っている方は、是非Azure DDoS Protectionを検討してみてください。
RECOMMEND
その他のコラム
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。