目次
- 概要
- MCS PaaS 2.0で利用可能なDDoSのサービス レベル
- Azureサービス
- 保護されるリソース
- Azure DDoSの実装プロセス
- DDoSのRACI
- PaaS 2.0 向けの大まかなAzure DDoS実装手順
- PaaS 2.0 Azure DDoS実装のRACI:初期設定
- PaaS 2.0 Azure DDoS実装のRACI:運用継続中
- Microsoftのドキュメント
- DDoSを使用したPaaS 2.0のリファレンス アーキテクチャ
概要
この記事では、Managed Cloud PaaS 2.0デプロイでAzure DDoS IP Protectionを実装する支援をリクエストする場合のサービスとサポートの範囲について説明します。
分散型サービス拒否(DDoS)攻撃は、アプリケーションをクラウドに移行する顧客が直面する可用性とセキュリティの最大の懸念事項の1つです。DDoS攻撃は、アプリケーションのリソースを使い果たし、正規のユーザーがアプリケーションを利用できなくしようとします。DDoS攻撃は、インターネット経由で公的にアクセス可能なあらゆるエンドポイントを標的にすることができます。
Azure DDoS Protectionは、アプリケーション設計のベスト プラクティスと組み合わせることで、DDoS攻撃を防御するための強化されたDDoS軽減機能を提供します。これは、仮想ネットワーク内の特定のAzureリソースを保護できるように自動的に調整されます。保護は新規または既存の仮想ネットワーク上で簡単に有効にすることができ、アプリケーションやリソースの変更は必要ありません。
Azure DDoS Protectionは、レイヤ3およびレイヤ4のネットワーク層で保護します。レイヤ7でWebアプリケーションを保護するには、WAFオファリングを使用してアプリケーション レイヤで保護を追加する必要があります。
基盤となるAzure DDoS機能およびよく寄せられるご質問に関する詳細については、本記事の「Microsoft ドキュメント」セクションを参照してください。
MCS PaaS 2.0で利用可能なDDoSのサービス レベル
Sitecore Managed Cloud Standard - PaaS 2.0には、オプションのAzure DDoS IP Protectionプロビジョニングが含まれています。DDoS IP保護は、保護されたIPごとに支払いが行われるモデルです。
Azure DDoS IP Protection機能の包括的な概要については、Microsoft Azure DDoS の公式ドキュメントを参照してください。
Azureサービス
Sitecoreは、プライマリ ハブ環境のプロビジョニング時に、Azure DDoSの実装に必要なAzureサービスをデプロイします。ハブ環境が既にデプロイされている場合は、Sitecore Managed Cloudチケット発行システム* 経由でAzure DDoSをリクエストできます。
* 追加購入が必要となります
ハブ環境に含まれるAzureサービスの詳細については、次の記事を参照してください:
Sitecore Managed Cloud Standard - Sitecore XP 10.3.1以上のバージョン用トポロジーと価格レベルについて(PaaS 2.0)
保護されるリソース
Sitecore Managed Cloud Standard - PaaS 2.0では、MCS PaaS 2.0環境内の以下のAzureリソースに対して、DDoS Protectionを有効にするオプションが提供されています。
- Azure VPN Gateway
- Azure Bastionホスト
- Azure Application Gateway
注意:Azure DDoS IP Protectionは、BasicレベルのIPでは有効にすることができません。VPN GatewayまたはBastionホストがBasicレベルIPで構成されている場合、これらのIPをStandardレベル(またはそれ以上)にアップグレードする必要があります。IPレベルを変更すると、追加のAzureホスティング料金が発生します。
Azure DDoSの実装プロセス
- VPN GatewayのパブリックIPアドレスのIP保護を有効にします。
- Azure Bastion ホストのパブリックIPアドレスのIP保護を有効にします。
- Azure Application GatewayのIP保護を有効にします。
- すべてのログとメトリックをログ分析ワークスペース* に送信するように、保護されたIPの診断設定を構成します。
- IPごとにメトリック アラートを作成して、IPがDDoS攻撃を受けている場合通知するようにします。
- 検出モード** でWAF機能を有効にします。
* これにより、ハブのLog Analyticsワークスペースに送信されるログが増加します。
** Sitecoreアドバンスド ハブを実行しているお客様のみが利用できます。この機能にはマネージド ルール セットが必要であり、これはAzure Front Door Premiumでのみ利用可能です。
DDoSのRACI
本ページの以降の図表では、次の記号を使用して各関係者の責任範囲を記載いたします。
- R = 実行責任者(Responsible): タスクを直接実施・完了する責任者です。
- A = 説明責任者(Accountable): 成果物またはタスクの正確かつ完全な完了に対する最終的な責任を負い、作業を実行責任者に委任している責任者です。
- C = 協業先(Consulted): その他の責任者等から相談を受ける有識者(すなわち、内容領域専門家)であり、双方向のコミュニケーションを行う担当者です。
- I = 報告先(Informed): 随時タスクの進捗について(もしくはタスクの完了または成果物についてのみ)報告を受ける担当者です。
PaaS 2.0向けの大まかなAzure DDoS実装手順
| RACIの説明 | 顧客・パートナー | Sitecore |
|
Azure DDoS IP保護パイプラインの作成 |
- | R, A |
| Azure DDoS IP保護の価格決定とパッケージ化 | C, I | R, A |
| Azure DDoS IP保護サービスの適用性の判断 | R, A | C, I |
| Azure DDoS IP保護のデプロイ (以下の初期設定の表を参照してください) |
C, I | R, A |
| 初期のDDoS Protection機能のカスタマイズ | R, A | C, I |
※すべての仮想ネットワークは、Sitecore環境の最初のプロビジョニング処理(スポーク)中にSitecoreによって作成されます。
PaaS 2.0 Azure DDoS実装のRACI:初期設定
| Sitecoreハブ環境:Azure Bastion DDoS Protection | 顧客・パートナー | Sitecore |
|
Azure DDoS IP保護のリクエスト |
R, A | C, I |
| Azure DDoS IP保護の初期デプロイ | C, I | R, A |
| Sitecoreハブ環境:VPN Gatewayの DDoS Protection | 顧客・パートナー | Sitecore |
|
Azure DDoS IP保護パイプラインの作成 |
R, A | C, I |
| Azure DDoS IP保護の初期デプロイ | C, I | R, A |
| Sitecore本番スポーク環境:アプリケーション ゲートウェイ | 顧客・パートナー | Sitecore |
|
Azure DDoS IP保護のリクエスト |
R, A | C, I |
| Azure DDoS IP保護の初期デプロイ | C, I | R, A |
| Sitecoreハブ環境:診断設定の構成 | 顧客・パートナー | Sitecore |
|
保護されたIPの診断設定を構成して、すべてのログとメトリックをLog Analyticsワークスペースに送信するようにする |
C, I | R, A |
| IPごとにメトリック アラートを作成して、IPがDDoS攻撃を受けている場合に通知するようにする | C, I | R, A |
| 検出モードでWAF機能を有効にする ** | C, I | R, A |
** Basicハブ = 空のルール セットを持つWAF / Advanced ハブ = マネージド ルール セットを持つWAF
PaaS 2.0 Azure DDoS実装のRACI:運用継続中
| Sitecoreハブ環境:プロビジョニング | 顧客・パートナー | Sitecore | Microsoft |
|
初期のDDoS防御機能のカスタマイズ |
R, A | C, I | - |
| 常時接続のトラフィック監視 [1] | I | I | R, A |
| アダプティブ リアルタイム チューニング [1] | I | I | R, A |
| DDoS Protectionの分析、メトリクス、アラート [1] | I | I | R, A |
| Azure DDoS Rapid Response [2] | 利用不可 | - | - |
| 多層保護 | I | C, I | R, A |
| DDoS Protectionに関連するSitecoreアプリケーションの課題のトラブルシューティング [3] | R, A | C, I | - |
| DDoS Protectionに関連する本番インシデントの支援 [4] | R, A | C, I | - |
- [1] Microsoftによって提供されるものです。詳細については、こちらをご覧ください。
- [2] Azure DDoS Rapid Responseは、Azure DDoS Network Protectionでのみ利用できます。機能の比較については、こちらをご覧ください。
- [3] Sitecore Managed Cloud Standardでは、 Sitecoreアプリケーションをどのように動作させるかについては、お客様の責任範囲となります。DDoS Protectionを追加すると、お客様の実装に影響を及ぼす可能性があります。このような課題のトラブルシューティングは、お客様の責任による実施をお願いいたします。Sitecore Managed Cloudチームは、問題点の特定のお役に立てる場合がありますが、最終的なトラブルシューティングは、実装ソース コードへの完全なアクセスを有し、お客様のSitecore CDロールがどのように動作するかの詳細を完全に理解されている、お客様自身での実施をお願いいたします。
[4] DDoS Protectionのセキュリティ インシデントの監視と評価は、お客様の責任による実施をお願いいたします。そのようなイベントが発生した場合、お客様のビジネス及びセキュリティのプロトコルに精通しているセキュリティの専門家と協働して、事象の内容をご確認いただくことをお薦めいたします。Sitecore Managed Cloudチームは、弊社のMicrosoftとの関係を活かして、事象のサポートや解決に貢献できる場合があります。しかしながら、主な責任はお客様のご担当となることをご了承ください。
Microsoftのドキュメント
Microsoft Azure DDoSを実装するための最も信頼のおけるガイドといたしましては、Microsoftが提供する次のページを参照してください。
- Azure DDoS Protection とは何か?
- Azure DDoS Protection サービス レベルの比較について
- Azure DDoS Protectionの制限事項
- ポータルを使用して Azure DDoS Protection メトリック アラートを構成する
- Azure DDoS Rapid Response
- Azure DDoS Protection のよくあるご質問
DDoSを使用したPaaS 2.0のリファレンス アーキテクチャ