アプリケーションの復元力のための Azure DDoS Protection Standard の実装

アプリケーションの復元力のための Azure DDoS Protection Standard の実装

2024 年 9 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、システム エンジニアが Azure DDoS Protection Standard を実装および構成して、Azure でホストされているアプリケーションの回復性を確保する方法をガイドすることを目的としています。分散型サービス拒否 (DDoS) 攻撃は、オンライン サービスの可用性に対する最大の脅威の 1 つです。 Azure DDoS Protection Standard は、高度な DDoS 攻撃軽減機能を提供し、ボリューム、プロトコル、およびアプリケーション層の攻撃から Azure リソースを保護し、ビジネスの継続性とユーザー エクスペリエンスを保証します [1]。

はじめに

現在のデジタル環境では、アプリケーションとサービスの可用性は、そのセキュリティと完全性と同じくらい重要です。 DDoS 攻撃は、サービスのリソースに過負荷をかけ、正規のユーザーがサービスを利用できなくすることを目的としています。このような攻撃は、重大な経済的損失、風評被害、重要な業務の中断を引き起こす可能性があります。 Azure DDoS Protection Standard は、グローバル軽減ネットワークと機械学習ベースの検出アルゴリズムを使用して、悪意のあるトラフィックがリソースに到達する前に識別して回避することで、これらの攻撃に対する包括的な保護を提供する Azure ネイティブ ソリューションです [2]。

この実践的なガイドでは、DDoS 保護計画の作成、仮想ネットワークとパブリック IP アドレスの保護の有効化、Azure Web Application Firewall (WAF) や Azure Firewall などの他の Azure サービスとの統合、攻撃シミュレーションによる保護の検証について説明します。読者が DDoS 攻撃に対する堅牢な防御を実装してテストし、クラウド アプリケーションとインフラストラクチャの復元力を強化できるように、Azure CLI コマンドの段階的な手順と例が提供されます。

Azure DDoS Protection Standard が重要なのはなぜですか?

  • 包括的な緩和: ボリューム攻撃 (例: UDP フラッド、SYN)、プロトコル攻撃 (例: SYN-ACK フラッド、IP フラグメンテーション)、およびアプリケーション層攻撃 (例: HTTP フラッド) から保護します [3]。
  • 自動検出と適応: 機械学習アルゴリズムを使用して、手動介入なしでリアルタイムで攻撃を検出し、緩和ポリシーを調整します。
  • グローバル スケール: Azure ネットワークのグローバル スケールを活用して、大量の攻撃トラフィックを吸収し、回避します。
  • 詳細なテレメトリ: 分析と調査のために、Azure Monitor で豊富なテレメトリ、緩和ログ、攻撃メトリックを提供します。
  • ネイティブ統合: Azure Firewall や Azure WAF などの他の Azure セキュリティ サービスとシームレスに統合し、多層防御を実現します。
  • コスト保証: DDoS 攻撃中にスケールされたリソースのコストを保護し、攻撃を吸収するためにスケールされるリソースのクレジットをカバーします。

前提条件

Azure DDoS Protection Standard を実装するには、次のものが必要です。

  1. アクティブな Azure サブスクリプション: リソースを作成および管理するための Azure サブスクリプション。
  2. 管理アクセス: Azure サブスクリプション、または VNet とパブリック IP が配置されているリソース グループ内の「所有者」または「共同作成者」のロールを持つアカウント。
  3. 仮想ネットワーク (VNet): 保護するリソース (VM、ロード バランサー、アプリケーション ゲートウェイなど) をホストする VNet。
  4. パブリック IP アドレス: DDoS 攻撃の潜在的なターゲットとなる、パブリック IP アドレスを持つリソース (パブリック IP を持つ VM、パブリック ロード バランサー、アプリケーション ゲートウェイなど)。
  5. Azure CLI または Azure PowerShell: Azure と対話するためのコマンド ライン ツールをインストールおよび構成しました。

ステップバイステップ: Azure DDoS Protection Standard の実装

リソースを保護するために Azure DDoS Protection Standard を構成しましょう。

1. DDoS 防御計画の作成

最初のステップは、DDoS 保護計画を作成することです。このプランは、さまざまなリージョンやサブスクリプションにわたる複数の VNet にリンクできるグローバル リソースです。

  1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 上部の検索フィールドに「DDoS protection plan」と入力し、結果からそれを選択します。
  4. 「+ 作成」をクリックします。
  5. 計画の詳細を入力します。
    • 署名: の場合Azure サブスクリプションを選択します。
    • リソース グループ: 新しいリソース グループ (例: RG-DDoS-Protection) を作成するか、既存のリソース グループを選択します。
    • 名前: プランに名前を付けます (例: DDoS-Plan-Artigos)。
    • 地域: プランを管理する地域を選択します (グローバル保護には影響しません)。
  6. 「確認と作成」をクリックし、「作成」をクリックします。

2. 仮想ネットワークの DDoS 保護の有効化

DDoS 保護プランを作成したら、保護するリソースが含まれる仮想ネットワークにそのプランをリンクする必要があります。

  1. Azure portal で、保護する VNet に移動します (例: Azure Firewall の記事で作成した「VNet-Hub」)。
  2. VNet の左側のナビゲーション ペインで、DDoS Protection を選択します。
  3. 「DDoS Protection Plan」で、作成したプランを選択します (例: 「DDoS-Plan-Artigos」)。

  4. 「保存」をクリックします。

    • VNet で DDoS 保護を有効にするための Azure CLI コマンド: 「」バッシュ # DDoS プラン ID を取得する DDP_PLAN_ID=$(az network ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      DDoS プランを使用するように VNet を更新します

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true 「」

3. パブリック IP アドレスの保護

VNet で DDoS Protection Standard が有効になっている場合、その VNet 内のパブリック IP アドレスを持つすべてのリソース (パブリック IP VM、パブリック ロード バランサー、アプリケーション ゲートウェイなど) が自動的に保護されます。パブリック IP ごとに保護を個別に構成する必要はありません。

  • 検証: パブリック IP が保護されていることを確認するには、Azure portal でパブリック IP リソースに移動します。 「概要」セクションには、関連する「DDoS 防御計画」が表示されます。

4. Azure Web アプリケーション ファイアウォール (WAF) および Azure ファイアウォールとの統合

多層防御のために、Azure DDoS Protection Standard を他のネットワーク セキュリティ ソリューションと組み合わせることが推奨されます。

  • Azure Web アプリケーション ファイアウォール (WAF): WAF は、DDoS Protection ではカバーできない一般的な Web 攻撃 (SQL インジェクション、クロスサイト スクリプティングなど) から Web アプリケーションを保護します。 Web アプリケーションの前に WAF をデプロイします (例: Azure Application Gateway または Azure Front Door を使用)。 DDoS Protection Standard は WAF のネットワーク層を保護し、WAF はアプリケーション層を保護します [4]。

  • Azure Firewall: Azure Firewall は、ネットワークとアプリケーションのトラフィック フィルター、脅威インテリジェンス、IDPS を提供します。 DDoS Protection Standard と組み合わせて使用​​すると、ファイアウォールは DDoS 軽減後に正当なトラフィックを検査し、別のセキュリティ層を追加できます。

検証とテスト

Azure DDoS Protection Standard の有効性を検証することは非常に重要です。ただし、Microsoft からの明示的な許可なしに、自分のリソースに対して実際の DDoS 攻撃を決して実行しないでください。 Microsoft は、顧客向けに DDoS シミュレーション テスト プログラムを提供しています。

1. DDoS 保護テレメトリの確認

攻撃 (またはシミュレーション) 中に、Azure DDoS Protection Standard は Azure Monitor に詳細なメトリックを提供します。

  1. Azure portal で、DDoS 保護プラン (例: DDoS-Plan-Artigos) に移動します。
  2. 左側のナビゲーション ペインで、メトリックを選択します。
  3. 次のような指標を表示できます。
    • DDoS 攻撃トラフィック (受信): 受信攻撃トラフィック。
    • DDoS 攻撃パケット (受信): 受信攻撃パケット。
    • DDoS 攻撃バイト (受信): 受信攻撃バイト。
    • 「DDoS 攻撃でパケットがドロップされました (受信)」: 攻撃パケットがドロップされました。

2. DDoS 攻撃に対するアラートの構成

DDoS 攻撃の進行中に通知されるようにアラートを設定することが重要です。

  1. Azure portal で、DDoS 保護プランに移動します。
  2. 左側のナビゲーション ペインで、アラートを選択します。
  3. 「+ アラート ルールの作成」をクリックします。
  4. 「DDoS 攻撃中かどうか」(値 1 は攻撃を示し、0 は通常を示します) または「DDoS 攻撃トラフィック (受信)」などのメトリックを使用して、アラートの条件を構成します。
  5. アラート アクションを構成します (電子メール、SMS、Webhook の送信、Azure 関数またはロジック アプリのトリガーなど)。

3. DDoS 攻撃シミュレーションの実施 (承認されたパートナーと)

マイクロソフトがパートナーと協力DDoS テスト機能により、お客様は、Azure DDoS Protection Standard で保護されているリソースに対して、制御された安全な方法で攻撃をシミュレートできます。 Microsoft および承認されたパートナーからの承認と調整なしに、自分で DDoS 攻撃をシミュレートしようとしないでください。

  1. Microsoft 認定の DDoS テスト パートナーにお問い合わせください: BreakingPoint (Keysight) や Radware などの企業が DDoS シミュレーション サービスを提供しています。
  2. Microsoft との調整: Azure の自動軽減策によってテストが実際の攻撃と解釈され、予期しないアクションが実行されるのを防ぐために、計画されたテストについて Microsoft に通知します。
  3. テスト中の監視: シミュレーション中に、Azure Monitor で DDoS Protection メトリックを監視して、実際の緩和策を観察し、アプリケーションの復元力を検証します。

セキュリティのヒントとベスト プラクティス

  • 堅牢なアプリケーション設計: Azure DDoS Protection Standard は、堅牢で復元力のあるアプリケーション設計と組み合わせると最も効果的です。これには、スケーラブルなアーキテクチャ、負荷分散、キャッシュ、フォールト トレランスが含まれます。
  • 多層防御: DDoS 保護だけに依存しないでください。 Azure Firewall、Azure WAF、NSG などの他のセキュリティ ソリューションと組み合わせて、多層防御戦略を作成します。
  • コストの最適化: 標準プランは、リンクされた VNet 内のすべてのパブリック IP リソースを保護します。コストを最適化するために、リソースを保護された VNet にグループ化することを検討してください。
  • アクティブな監視: DDoS 攻撃に対して Azure Monitor でアラートを構成し、テレメトリをアクティブに監視して、攻撃の動作と緩和効果を把握します。
  • 定期テスト: 承認されたパートナーと定期的に DDoS 攻撃シミュレーションを実施し、保護の有効性を検証し、ギャップを特定します。
  • DNS 保護: DNS サーバーを攻撃から保護するには、DDoS 保護が組み込まれた Azure DNS の使用を検討してください。
  • アプリケーション層保護: Web アプリケーションの場合、Azure WAF を使用して、DDoS Protection Standard では直接対処しないレイヤー 7 攻撃から保護します。
  • レート制限: アプリケーション ゲートウェイまたはリバース プロキシにレート制限を実装して、少量のアプリケーション層の攻撃を軽減します。

一般的なトラブルシューティング

  • DDoS 保護が有効になっていません: DDoS 保護プランが作成されていること、および VNet がそれにリンクされていることを確認します。保護したいリソースにパブリック IP アドレスがあることを確認します。
  • DDoS 攻撃が検出されません: 攻撃トラフィックが実際に保護されたパブリック IP に送信されていることを確認します。テレメトリ メトリックが Azure Monitor で収集されていることを確認します。少量の攻撃の検出にはわずかな遅れが生じる場合があります。
  • 攻撃中もアプリケーションが影響を受けている: これは、攻撃が純粋な DDoS ではない (WAF を必要とするアプリケーション層攻撃など)、またはアプリケーション自体の回復力が十分でないことを示している可能性があります。アプリケーションの設計と WAF の統合を確認します。
  • DDoS アラートが受信されません: Azure Monitor で構成されているアラート ルールを確認してください。通知アクションが正しく構成されており、受信者が通知を受信して​​いることを確認してください。
  • アクティベーション後のパフォーマンスの問題: DDoS Protection Standard はネットワーク サービスであり、通常はパフォーマンスの問題を引き起こしません。速度が遅い場合は、アーキテクチャの他のコンポーネント (VM、ロード バランサー、ファイアウォール、WAF など) を調査してください。

結論

Azure DDoS Protection Standard は、増大する DDoS 攻撃の脅威からアプリケーションとサービスを保護しようとしている組織にとって重要なサービスです。自動かつスケーラブルで包括的な軽減策を提供することで、Azure リソースの可用性と復元力を確保します。 DDoS Protection Standard を効果的に実装し、堅牢なアプリケーション設計、他のセキュリティ ソリューションによる多層防御、継続的な監視と組み合わせることで、組織はビジネスの継続性を維持し、ユーザー エクスペリエンスを保護できます。この実践的なガイドにより、セキュリティ専門家は Azure DDoS Protection Standard の構成、検証、管理を行うための十分な準備を整え、クラウド アプリケーションのセキュリティ体制と回復力を強化できます。

参考文献:

[1] Microsoft Learn。 プロの概要Azure DDoS 保護。入手可能場所: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Learn。 DDoS 攻撃の種類。入手可能場所: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos- Attack-types [3] Microsoft Learn。 Azure DDoS Protection レイヤーの比較。入手可能場所: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn。 DDoS 保護リファレンス アーキテクチャ。入手可能場所: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures