Microsoft Azureが提供するAzure DDoS Protectionは、DDoS(Distributed Denial of Service、分散型サービス拒否)攻撃からの防御ソリューションです。Azureのインフラストラクチャーと統合されており、Azureリソース(仮想ネットワーク、ウェブアプリケーションなど)をDDoS攻撃から保護します。
本記事では、DDoS攻撃の概要、Azure DDoS Protectionの概要、メリット、料金・価格、使い方を解説します。
目次
DDoS攻撃とは?
DDoS攻撃は、複数のコンピューターやデバイスから標的となるシステム(サーバー、ウェブサイト、ネットワークなど)に対して大量のトラフィックを送りつけることで、過剰な負荷をかけることによりサービスの停止や遅延を引き起こすサイバー攻撃の一種です。下図のように、攻撃者は通常マルウェアに感染させたボットと呼ばれるデバイスをネットワーク化した、ボットネットを利用して攻撃を行います。DoS攻撃と比較して、多数のデバイスから攻撃が行われるため、検出と防御が困難です。
DDoS攻撃を受けるとサーバーリソースが枯渇し、極端な遅延やダウンが発生する可能性があります。結果として、ビジネスの運営や顧客サービスに深刻な影響を及ぼすことがあるため、企業はこの脅威に対して十分な対策を講じる必要があります。
DDoS攻撃の対策としては以下が挙げられます。
- ネットワーク保護:ファイアウォールやロードバランサーを設定し、不正なトラフィックを制限する。
- トラフィックモニタリング:トラフィックパターンを常時監視し、トラフィックの異常な増加を早期に検知する。
- 冗長性の確保:サーバーやネットワークの冗長化を行い、システム停止を回避する。
- レートリミットの設定:1ユーザーあたりのリクエスト数やデータ転送量に制限を設ける。
- DDoS対策サービスの導入:Azure DDoS ProtectionやAWS Shield、CloudflareなどのDDoS防御サービスを活用する。
最後に挙げたDDoS対策サービスの中で、Azureで利用できるサービスが本記事で解説するAzure DDoS Protectionです。
Azure DDoS Protectionとは?
Azure DDoS Protectionは、AzureリソースをDDoS攻撃から保護するためのサービスです。 DoS攻撃やDDoS攻撃の影響を軽減し、企業や組織が直面するサイバー脅威に対抗するための重要な手段となるでしょう。DDoS攻撃は、複数のコンピューターを利用して一斉に行われるため、単一の防御策では対処が難しいのが特徴です。
Azure DDoS ProtectionにはBasicとStandardの2つのレベルがあります。Basicはデフォルトで提供される保護レベルで、Azureプラットフォーム全体のDDoS攻撃を防御します。
Standardは有料の保護レベルで、ネットワーク保護とIP保護の2つのサービスレベルがあります。(サービスレベルについては、料金・価格の項目で簡単に説明します。詳細なサービスレベルの比較については公式サイトをご確認ください。)特定のリソースに対する詳細なモニタリングやカスタマイズが可能で、DDoS攻撃の検出、緩和、分析を自動的に行います。
Azure DDoS Protectionは、下記の機能によりAzureリソースをDDoS攻撃から保護します。
- レイヤー3(ネットワーク層)、レイヤー4(トランスポート層)のDDoS攻撃を防御する。
- Azure Application GatewayやAzure Front Doorと組み合わせることによる、レイヤー7(アプリケーション層)のDDoS攻撃を防御する。
- DDoS攻撃をリアルタイムで検出し、Azureのネットワークエッジでトラフィックをフィルタリングして防御する。
- 通常のトラフィックパターンを学習し、異常なトラフィックを自動的に検出して緩和する。
- Azure Monitorを利用して、DDoS攻撃が検出された際にアラートを生成し、攻撃の詳細(攻撃時間、規模、トラフィック量)を可視化する。
- 攻撃の履歴、トラフィックの詳細、緩和されたデータをレポートとして提供する。
- 攻撃によって発生した急増トラフィックに対する追加のコストを免除する。
Azureのセキュリティ対策サービスとしては他にAzure Firewallがあります。Azure DDoS ProtectionとAzure Firewallの違いは以下の通りです。システムの課題(DDoS攻撃への対策は必要か、ネットワークアクセスの制御が必要か)に応じて利用するサービスを選ぶ、もしくは併用するとよいでしょう。
Azure DDoS Protection | Azure Firewall | |
利用目的 | DDoS攻撃(大量のトラフィックによる妨害)からの防御 | ネットワークやアプリケーショントラフィックの制御・管理 |
機能 | トラフィックの自動緩和 | 明示的な許可・拒否ルールに基づくトラフィック制御 |
課題 | 大量のトラフィックが集中することによる妨害の防止 | 不正アクセスの防止、特定プロトコル・ドメインへの通信可否の設定 |
Azure DDoS Protectionのメリット
Azure DDoS Protectionを利用することで、以下のメリットが得られます。
- 自動的かつリアルタイムにDDoS攻撃を防御できる。
- DDoS攻撃の緩和によりアプリケーションの可用性を向上できる。
- 初期費用なしで導入できる。
- Azureのセキュリティチームによる24時間体制のモニタリングとサポートを受けられる。
- Azure Portalから簡単に設定や管理が可能で、特別な専門知識がなくても導入できる。
- 防御機能がスケーラブルで、数百GbpsやTbps規模のDDoS攻撃にも対応できる。
これらのメリットにより、常時稼働が求められるサブスクリプションサービスやリアルタイム性が重要なオンラインゲームなどのサービスなど、さまざまなサービスにおいてAzure DDoS Protectionが利用されます。
Azure DDoS Protectionの価格・料金
Azure DDoS Protectionには、ネットワーク保護とIP保護の2つのサービスレベルがあり、それぞれ異なる料金体系を提供しています。2024年12月現在、それぞれ下記の月額料金がかかります。実際に利用する際は公式サイトにて最新の情報をご確認ください。
- ネットワーク保護
ネットワーク保護は、仮想ネットワーク単位で有効化できます。固定の月額料金が設定されており、これには最大100個のパブリックIPリソースの保護が含まれています。このプランは、企業が大規模なDDoS攻撃からの防御を必要とする場合に特に有効です。 さらに、100個を超えるパブリックIPリソースを保護する場合は、追加料金が発生します。 IP保護と比較して、コスト保護やWAF割引に対応しています。料金は下記のとおりです。
パブリックIPリソースが100個までの場合の月額利用料 | $2944/月 |
パブリックIPリソースが100個を超えた場合の超過分 | $29.5/リソース/月 |
2. IP保護
IP保護は個々のパブリックIPリソースを保護するのに使われます。リソースごとに月額料金が発生します。この料金は$199で、特に少数のIPアドレスを保護したい企業にとってはコスト効率の良い選択肢となります。
Azure DDoS Protectionの使い方
Azure Portal上でのAzure DDoS Protectionの基本的な使い方を以下に示します。
ネットワーク保護
- 仮想ネットワークを新規作成する場合
「仮想ネットワーク」を検索し、「+作成」をクリックします。セキュリティの設定画面にて「Azure DDoS Network Protection を有効にする」にチェックを入れ、「DDoS保護プランの作成」をクリックします。
任意のDDoS保護プラン名を入力し、「OK」をクリックします。
- 既存の仮想ネットワークに対して設定変更を行う場合
「仮想ネットワーク」を検索し、設定変更対象の仮想ネットワークを選択します。「概要」>「機能」>「DDoS保護」もしくは「設定」>「DDoS保護」をクリックします。
「DDoS Network Protection」は有効化を選択し、「DDoS保護プランの作成」をクリックします。
任意のDDoS保護プラン名を入力し、「確認および作成」をクリックしてDDoS保護プランを作成します。
作成したDDoS保護プランを選択し、「保存」をクリックします。
- DDoS保護プランを作成済みの場合
DDoS保護プランの画面より、「設定」>「保護されたリソース」>「VNET」を選択し、「+追加」をクリックします。
DDoSネットワーク保護を有効にしたい既存の仮想ネットワークを選択し、「追加」をクリックします。
IP保護
- パブリックIPアドレスを新規作成する場合
「パブリックIPアドレス」を検索し、「+作成」をクリックします。「DDoS保護」の「保護の種類」で「IP」を選択します。
- 既存のパブリックIPアドレスに対して設定変更を行う場合
「仮想ネットワーク」を検索し、設定変更対象のパブリックIPアドレスを選択します。「概要」画面の下にある「開始する」>「IPアドレスの保護」>「保護」をクリックします。
「保護の種類」で「IP」を選択し、「保存」をクリックします。
まとめ
本記事では、DDoS(分散型サービス拒否)攻撃がどのようなサイバー攻撃かということを説明し、AzureにおけるDDoS攻撃からの防御ソリューションであるAzure DDoS Protectionについて説明しました。
Azure DDoS Protectionは、企業が直面するDDoS攻撃からの防御を提供する重要なサービスです。このサービスは、DDoS攻撃を防ぐために設計されており、複数のコンピューターからの攻撃によってサーバーが機能停止に追い込まれるリスクを軽減します。これにより、顧客へのサービス提供を継続することが可能になります。
続けて、Azure DDoS Protectionを利用する際のメリット、ネットワーク保護とIP保護の2つのサービスレベルと料金体系の違い、Azure DDoS Protectionのサービスレベルごとの使い方を説明しました。
Azure DDoS Protectionの2つのプラン、IP保護とネットワーク保護から適切なものを選択することが推奨されます。これにより、必要なセキュリティレベルを確保しつつ、コストを最適化することが可能です。各プランには異なる機能があり、システムの特性やリスクに応じた選択が重要です。
Azureで可用性が求められるシステムを作りたいという方は、本記事を参考にAzure DDoS Protectionの導入を検討してみてはいかがでしょうか。