概要

分散型サービス拒否（DDoS）攻撃とは、通常サービスがホスティングされているサーバーを一時的に遮断、停止させることにより、オンライン サービスを提供できないようにする、悪意のある試みのことです。
インターネットを通じて公にアクセス可能な、あらゆるエンドポイントがDDoS攻撃の標的になり得ます。弊社のミッションは、貴社のビジネスを守るマネージド ソリューションを提供し、本番環境におけるダウンタイムの発生による経済的な損害を防ぐことです。

セキュリティを確保することが、設計及び実装から展開・運用に至るまでの、アプリケーションのライフサイクル全体を通しての最重要課題です。しかし、アプリケーションには相対的にわずかな量のリクエストで過度のリソースが使用され、サービスの停止に至るような予期せぬバグが潜んでいる場合があるため、そうした場合にこのようなサービスが役立ちます。

この記事では、以下について記載しています。

• 前提要件
• 機能
• 制限
• Azure Front DoorのDDoS保護
• 動作の仕組み
• コスト
• サポート範囲
• 関連サービス
• Azure DDoS ProtectionのSLA

前提要件

サービス リクエストを弊社Managed Cloudサポート宛に作成される際、以下の項目についての情報をご提供いただくことが必要です。これらはサービス リクエストのフォーム内に詳細を記載していただいても構いませんし、または必要に応じてセットアップを完了させるエンジニアがお客様に確認して作成することもできます。[1]

• パブリックIPアドレスと関連付けられたApplication Gateway WAFv2を有している必要があります。
• Azure Front Door上にDDoS protectionをインストールすることはできません。

機能

• 常時接続のトラフィック監視: DDoS攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが24時間365日監視されます。Azure DDoS Protectionは、攻撃が検出されると、攻撃を即座に自動的に軽減します。 
• アダプティブ リアルタイム チューニング: インテリジェント トラフィック プロファイリングで一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。 このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。 
• DDoS Protection 分析、メトリック、アラート: Azure DDoS Protectionでは、DDoSが有効になっている仮想ネットワーク内で、保護されたリソースのパブリックIPごとに、3 つの自動調整された軽減ポリシー(TCP SYN、TCP、UDP)を適用します。 ポリシーのしきい値は、機械学習ベースのネットワーク トラフィック プロファイルを使用して自動的に構成されます。 DDoSの軽減は、ポリシーのしきい値を超過した場合にのみ、攻撃を受けているIPアドレスに対して行われます。 
• ネイティブのプラットフォーム統合: Azureにネイティブに統合します。 Azure Portalによる構成が含まれます。 Azure DDoS Protectionは、リソースとリソース構成を理解しています。 
• 多層保護: Webアプリケーション ファイアウォール(WAF)と共にデプロイする場合、Azure DDoS Protectionによって、ネットワーク層(Azure DDoS Protection よって提供されるレイヤー3と4)とアプリケーション層(WAFによって提供されるレイヤー7)の両方で保護されます。 WAFオファリングには、Azure Application Gateway WAF SKUと、Azure Marketplaceで利用できるサードパーティのWebアプリケーション ファイアウォール オファリングが含まれています。 
• 広範囲にわたる軽減スケール: すべてのL3/L4攻撃ベクトルを軽減することができ、地球規模の容量を利用して、過去最大のDDoS攻撃からも保護されます。
• コストの保証: ドキュメント化されたDDoS攻撃の結果として発生するリソース コストについて、データ転送およびアプリケーションのスケールアウト サービス クレジットを受け取ります。 

制限

• パブリックIP Basicレベルの保護はサポートされていません。

Azure Front DoorのDDoS保護

Azure Front Doorは、世界中の192のエッジPOP(Points of Presence)にトラフィックを分散することで、HTTP(S) DDoS攻撃から配信元を保護するのに役立つContent Delivery Network (CDN)です。これらのPOPでは、Azureの大規模なプライベートWANを使用して、Webアプリケーションとサービスをより迅速かつ安全にエンド ユーザーに提供します。Azure Front Doorには、レイヤー3、4、7のDDoS保護とWebアプリケーション ファイアウォール(WAF)も含まれ、一般的な悪用や脆弱性からアプリケーションを保護できます。 

Azure Front DoorのDDoS保護に関するより詳細な情報につきましては、Microsoft社の公式ドキュメントをご参照ください。

動作の仕組み

以下の図は、DDoS Protectionの動作の仕組みを示したものです。

DDoS Protectionが緩和できるDDoS攻撃の種類

• ボリューム型攻撃: 大量の一見正当に見えるトラフィックでネットワーク層を溢れさせる攻撃です。UDPフラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドなどがこれに該当します。DDoS Protectionは、Azureのグローバル ネットワーク スケールを利用して、数GBにもなることのある攻撃を吸収・浄化（スクラビング）することにより、自動的に攻撃を緩和します。

• プロトコル攻撃: レイヤー3およびレイヤー4のプロトコル スタックの弱点を突くことで、ターゲットをアクセス不能な状態にする攻撃です。SYNフラッド攻撃、リフレクション攻撃、その他のプロトコル攻撃がこれに該当します。DDoS Protectionは、クライアントとやり取りをすることで悪意のあるトラフィックと正当なトラフィックを区別し、悪意のあるトラフィックをブロックします。

• リソース（アプリケーション）層攻撃: Webアプリケーションのパケットを標的とし、ホスト間とのデータの伝達を妨害する攻撃です。HTTPプロトコル違反、SQLインジェクション、クロスサイト スクリプティング、およびその他のレイヤー7攻撃がこれに該当します。Azure Application Gateway上のWebアプリケーション ファイアウォールのようなWebアプリケーション ファイアウォールやDDoS Protectionを使用することで、これらの攻撃を防御できるようになります。

Azure DDoS Protectionは、Application Gatewayに紐付けられているパブリックIPアドレスを保護します。パブリックIPアドレスとともに仮想ネットワークにデプロイされた、Application Gateway Webアプリケーション ファイアウォールまたはサードパーティ製Webアプリケーション ファイアウォールと組み合わせると、Azure DDoS Protectionはレイヤー3からレイヤー7までの完全な攻撃緩和能力を提供することができるようになります。

註： Application GatewayのWAFポリシーは、保護モードで設定する必要があります。

コスト

Managed Cloudソリューションのコストが増加します。貴社のご契約についての正確なお見積もりは、貴社担当の弊社アカウント担当者にお問い合わせください。

サポートの範囲

DDoSのRACI図

本ページの以降の図表では、次の記号を使用して各関係者の責任範囲を記載いたします。 

• R = 実行責任者（Responsible）: タスクを直接実施・完了する責任者です。
• A = 説明責任者（Accountable）: 成果物またはタスクの正確かつ完全な完了に対する最終的な責任を負い、作業を実行責任者に委任している責任者です。
• C = 協業先（Consulted）: その他の責任者等から相談を受ける有識者（すなわち、内容領域専門家）であり、双方向のコミュニケーションを行う担当者です。
• I = 報告先（Informed）: 随時タスクの進捗について（もしくはタスクの完了または成果物についてのみ）報告を受ける担当者です。

活動	Sitecore	お客様/パートナー様
Azure DDoS IP Protectionをリクエストする	C, I	R, A
スタンダードSitecoreトポロジにおける、DDoS Protectionの初期設定と、Sitecore CDロールとの統合	R, A	C, I
DDoS Protectionプランを設定する	R, A	C, I
パブリックIPアドレスに対してDDoS Protectionを有効化する	R, A	C, I
DDoS診断ログを設定する	R, A	C, I
DDoS Protectionに関連するSitecoreアプリケーションの課題のトラブルシューティング [3]	C, I	R, A
DDoS Protectionに関連する本番環境の事象の支援 [3]	C, I	R, A

Azure DDoS ProtectionのSLA

Microsoftは、Azure DDoS Protection Standardサービスの可用性が少なくとも99.99%であることを保証しています。[4]

Microsoftのドキュメント

Microsoft Azure DDoSの実装に関する完全なガイドに関しては、Microsoftから提供されている以下のドキュメントをご参照ください。

• Azure DDoS Protection の概要 | Microsoft Learn
• Azure DDoS Protection を監視する | Microsoft Learn
• Azure DDoS Protection のよくあるご質問 | Microsoft Learn

備考:

• [1] 必要とするリソースがない場合、WAF設定のサービス リクエストを利用して全てのリソースを作成していただけます。
• [2] Sitecore Managed Cloud Standardでは、 Sitecoreアプリケーションをどのように動作させるかの責任は、お客様のご担当となります。DDoS Protectionを追加すると、お客様の実装に影響を及ぼす可能性があります。そのような課題のトラブルシューティングは、お客様の責任による実施をお願いいたします。Sitecore Managed Cloudチームは、問題点の特定のお役に立てる場合がありますが、最終的なトラブルシューティングは、実装ソース コードへの完全なアクセスを有し、お客様のSitecore CDロールがどのように動作するかの背景を完全に理解されている、お客様自身で実施してください。
• [3] DDoS Protectionのセキュリティ インシデントの監視と評価は、お客様の責任による実施をお願いいたします。そのようなイベントが発生した場合、お客様のビジネス及びセキュリティのプロトコルに精通しているセキュリティの専門家と協働して、事象の内容をご確認いただくことをお薦めいたします。Sitecore Managed Cloudサポートは、弊社のMicrosoftとの関係を活かして、事象のサポートや、解決に貢献できる場合があります。しかしながら、一義的な責任はお客様のご担当となることをご了承ください。
• [4] Azure DDoS Protectionは、お客様のデータを保存しません。