DDoS アーキテクチャ図とホワイトペーパー
F5 は 20 年以上にわたり、お客様と協力して、分散型サービス拒否 (DDoS) 攻撃からお客様のアプリケーションを防御してきました。 F5 は長年にわたり、アプリケーションとサービスが DDoS 攻撃に対する回復力を維持できるようにするためのコア製品機能を開発してきました。 2018 年以降に発生した多くの大規模な攻撃により、サービス プロバイダーやマネージド サービス プロバイダー (MSP)、金融機関、企業は、DDoS 保護を組み込むようにネットワークを再設計するようになりました。 F5 はこれらの顧客と協力して、クラウドとオンプレミスの両方のコンポーネントを含む DDoS 保護リファレンス アーキテクチャを開発しました。
リファレンス アーキテクチャには、レイヤー 3 から 7 を保護するための複数層のオンプレミス防御が含まれています。 ネットワーク防御層は、DNS とレイヤー 3 および 4 を保護します。 ネットワーク攻撃のノイズから解放され、アプリケーション防御層は CPU リソースを使用して上位層のアプリケーションを保護できます。 この設計により、組織はあらゆる種類の DDoS 攻撃から防御できるようになり、組織のデータセンター全体にメリットがもたらされます。 最後に、DDoS 保護ソリューションのクラウド コンポーネントは、ボリューム攻撃の緩和のためのフェイルセーフとして機能します。
DDoS の脅威の状況は常に進化していますが、F5 は、攻撃が次の特徴を持つ 4 つの攻撃タイプに分類され続けていることを発見しました。
- ボリューム型 - レイヤー 3、4、または 7 で発生するフラッドベースの攻撃。 L3~4 での攻撃は通常、UDP スプーフィング トラフィックです。
- 非対称 - 一方向またはステートレス UDP トラフィック。
- 計算 - 通常は TCP 経由で L7 で CPU とメモリを消費するように設計された攻撃。
- 脆弱性ベース - ソフトウェアの脆弱性を悪用する攻撃。
防御メカニズムはこれらのさまざまなカテゴリに対処するために進化しており、著名な組織はセキュリティ体制を最大限に高めるためにそれらを特定の方法で展開することを学んでいます。 F5 はこれらの企業と協力し、そのコンポーネントを微調整することで、特定のデータセンター規模と業界の要件に対応できる推奨 DDoS 緩和アーキテクチャを開発しました。
次の DDoS 保護リファレンス アーキテクチャは、業界でよく知られているコンポーネントを中心に構築されています。 一部は他のベンダーやサプライヤーによって提供される場合もありますが、一部は F5 固有のコンポーネントです。
図 1 は、DDoS アーキテクチャ コンポーネントと、それらが軽減する 4 つの DDoS 攻撃カテゴリをマッピングしています。
| 攻撃カテゴリ | 緩和コンポーネント |
|---|---|
| 容積測定 | クラウドベースのスクラビングサービス スクラビング センター (分散/エニーキャスト モデル) IP レピュテーション データベース ブラックホール フロースペック |
非対称 |
クラウドベースのスクラビングサービス スクラビング センター (分散/エニーキャスト モデル) IP レピュテーション データベース ブラックホール フロースペック |
計算 |
アプリケーション配信コントローラ ネットワークファイアウォール ウェブアプリケーションファイアウォール |
脆弱性ベース |
IP レピュテーション データベース 侵入防止/検知システム(IPS/IDS) アプリケーション配信コントローラ ウェブアプリケーションファイアウォール |
図1: DDoS 緩和コンポーネントと攻撃タイプのマッピング
クラウドベースの DDoS スクラビング サービスは、あらゆる DDoS 軽減アーキテクチャの重要なコンポーネントです。 攻撃者が組織の 1 Gbps の入力ポイントに 50 Gbps のデータを送信している場合、オンプレミスの機器をどれだけ使ってもその問題は解決できません。 クラウド サービスは、真のパブリック クラウドまたは組織の帯域幅サービス プロバイダー内でホストされ、明らかに悪いものとおそらく良いものを選別することで問題を解決します。
ネットワーク ファイアウォールは長い間、境界セキュリティの要となってきました。 しかし、多くのネットワーク ファイアウォールは DDoS 攻撃に対してまったく耐性がありません。 実際、最も売れているファイアウォールの多くは、最も単純なレイヤー 4 攻撃で無効にすることができます。 ファイアウォールが攻撃を認識して軽減しない場合、単なるスループットだけでは解決にはなりません。
F5 では、レイヤー 3 および 4 ベースのセキュリティ制御デバイスの場合、設計者は大容量の DDoS 対応ネットワーク ファイアウォールを選択することを推奨しています。 具体的には、設計者は数百万(数千ではない)の同時接続をサポートし、正当なトラフィックに影響を与えずにさまざまな攻撃(SYN フラッドなど)を撃退できるようにする必要があります。
アプリケーション配信コントローラ (ADC) は、ネットワーク内の戦略的な制御ポイントを提供します。 適切に選択、プロビジョニング、制御することで、DDoS 防御を大幅に強化できます。 たとえば、F5 ADC のフルプロキシ機能により、HTTP や DNS などの一般的なプロトコルを検証することで、計算および脆弱性に基づく脅威が軽減されます。 これらの理由から、F5 はフルプロキシ ADC を推奨しています。
Web アプリケーション ファイアウォールは、アプリケーションのセキュリティ ポリシーを理解して適用する上位レベルのコンポーネントです。 このコンポーネントは、ボリュームベースの HTTP フラッド攻撃であろうと脆弱性ベースの攻撃であろうと、アプリケーション層攻撃を検出して軽減することができます。 いくつかのベンダーが Web アプリケーション ファイアウォールを提供しています。 ただし、効果的な DDoS アーキテクチャを実現するために、F5 では次の理由から独自の Web アプリケーション ファイアウォール モジュールのみを推奨しています。
- F5 Web アプリケーション ファイアウォールは、ハッキング対策、Web スクレイピング保護、PCI コンプライアンスなどの追加サービスを提供できます。
- F5 のお客様は、ADC と Web アプリケーション ファイアウォールを組み合わせて使用することで、アプリケーション配信とアプリケーション セキュリティ ポリシーを同時に適用できるというメリットが得られます。
- F5 ADC は SSL トラフィックをオフロードして検査します。 これを Web アプリケーション ファイアウォールと組み合わせることで、お客様は SSL 終了と暗号化されたペイロードのセキュリティ分析を 1 つのデバイスに統合できます。
侵入検知および防止システム (IDS/IPS) は、DDoS 緩和において重要な役割を果たすことができます。 F5 では、IDS/IPS 機能を単一の場所にのみ展開しない(たとえば、レイヤー 4 ファイアウォールに統合する) ことを推奨しています。 むしろ、IDS/IPS は、データベースや特定の Web サーバーなど、特定の追加保護を必要とする可能性のあるバックエンド コンポーネントの前の戦略的なインスタンスに展開する必要があります。 また、IPS は Web アプリケーション ファイアウォールの代わりとなるものではありません。 インフラストラクチャとアプリケーションのセキュリティ保護は、タマネギの皮をむくことに似ています。 IPS は最上位層 (プロトコル) で攻撃を阻止するように設計されており、WAF は下位層 (アプリケーション) で保護するように設計されています。
IP レピュテーション データベースは、DDoS 攻撃者が既知のスキャナーを使用してアプリケーションを調査し、後で悪用したり侵入したりするのを防ぐことで、非対称のサービス拒否攻撃に対する防御に役立ちます。 IP レピュテーション データベースは、内部で生成される場合もあれば、外部のサブスクリプション サービスから取得される場合もあります。 F5 IP レピュテーション ソリューションは、オープン ソース インテリジェンス (OSINT)、F5 データ、サードパーティ フィードからの情報を組み合わせて、悪意のあるドメインを広範囲にカバーします。
F5 はハイブリッド クラウド/オンプレミス DDoS ソリューションを推奨します。 ボリューム型攻撃は、F5 Silverline クラウドベース プラットフォーム経由で提供されるサービスである F5 Silverline DDoS Protection によって軽減されます。 Silverline DDoS Protection は、攻撃トラフィックの大部分を分析して削除します。
場合によっては、DDoS キャンペーンに、オンプレミスで対処する必要があるアプリケーション層攻撃が含まれることがあります。 これらの非対称攻撃と計算攻撃は、ネットワーク防御層とアプリケーション防御層を使用して軽減できます。 ネットワーク防御層は、L3 および L4 ネットワーク ファイアウォール サービスと、アプリケーション防御層への単純な負荷分散で構成されます。 アプリケーション防御層は、SSL 終了や Web アプリケーション ファイアウォール スタックなどの、より高度な (そして CPU を集中的に使用する) サービスで構成されます。
DDoS 保護アーキテクチャのオンプレミス部分でネットワーク防御とアプリケーション防御を分離することには、大きなメリットがあります。
- ネットワーク防御層とアプリケーション防御層は、互いに独立して拡張できます。 たとえば、Web アプリケーション ファイアウォールの使用が増えた場合、ネットワーク層に影響を与えることなく、別のアプライアンス (またはブレード) をアプリケーション層に追加できます。
- ネットワーク防御層とアプリケーション防御層では、異なるハードウェア プラットフォームや異なるソフトウェア バージョンを使用できます。
- アプリケーション防御層で新しいポリシーが適用されると、ネットワーク防御層では、新しいポリシーが完全に検証されるまで、トラフィックの一部のみを新しいポリシーに誘導できます。
図 3 は、特定の機能を提供するために必要なコンポーネントを示しています。 DDoS 保護リファレンス アーキテクチャの F5 コンポーネントには次のものが含まれます。
- シルバーライン DDoS 保護
- BIG-IP® AFM™ (AFM)
- BIG-IP® ローカル トラフィック マネージャー™ (LTM)
- BIG-IP® DNS™ と DNS Express™
- BIG-IP® アドバンスト Web アプリケーション ファイアウォール ™ (アドバンスト WAF)
| クラウド | ネットワーク防御 | アプリケーション防御 | ドメイン名 | |
|---|---|---|---|---|
F5 コンポーネント |
シルバーラインDDoS 保護 |
BIG-IP AFM BIG-IP LTM |
BIG-IP LTM BIG-IP Advanced WAF |
DNS Express™ を搭載した BIG-IP DNS |
OSIモデル |
レイヤー3と4 |
レイヤー3と4 |
レイヤー7 |
ドメイン名 |
機能 |
容積洗浄 トラフィックダッシュボード |
ネットワークファイアウォール レイヤー4負荷分散 IP 拒否リスト |
SSL終了 ウェブアプリケーションファイアウォール 二次負荷分散 |
DNS解決 ドメイン名 |
攻撃の軽減 |
容積洪水 増幅 プロトコル許可リスト |
SYNフラッド ICMPフラッド 不正なパケット TCPフラッド 悪質な行為者として知られる |
スローロリス 遅いPOST アパッチキラー RUDY/死なないで SSL攻撃 |
UDPフラッド DNSフラッド NXDOMAIN フラッド NXNS DNSSEC攻撃 |
図3: F5 コンポーネントと DDoS 緩和機能のマッピング
多層アーキテクチャは高帯域幅の環境で好まれますが、多くの顧客にとって、低帯域幅の環境で複数の DDoS 層を構築するのは過剰である可能性があると F5 は理解しています。 これらの顧客は、アプリケーション配信をネットワークおよび Web アプリケーション ファイアウォール サービスと統合する DDoS 軽減境界デバイスを導入しています。
ここで推奨されるプラクティスは引き続き適用されます。 ネットワークおよびアプリケーション防御層への参照は、代替アーキテクチャ内の単一の統合層に簡単に適用できます。
組織は、インターネットに接続された入力帯域幅容量を圧倒する可能性のある大規模なボリューム型 DDoS 攻撃を受けるリスクがあります。 これらの攻撃を防御するために、BGP ルートアナウンスメントを使用してルートを変更し、着信トラフィックを高帯域幅のデータセンターに誘導して、悪意のあるトラフィックを除去し、クリーンな除去されたトラフィックを組織の元のデータセンターに送り返すことができます。
クラウド DDoS プロバイダーの選択に影響を与える可能性のある要因には、スクラビング施設の地理的な場所、帯域幅容量、レイテンシ、軽減にかかる時間、ソリューションの価値などがあります。 図 4 が示すように、DDoS 攻撃は数百 Gbps 単位の帯域幅消費に達する可能性があり、インフラストラクチャが完全に圧倒される危険にさらされます。
場合によっては、クラウド スクラバーに組織のデータ センターの近くにスクラビング センターがない場合、受信リクエストに追加の時間が追加されることがあります。 潜在的な遅延を減らすために、MSP やその他のグローバル企業は、攻撃の影響を受ける可能性のある事業を展開している地域内に戦略的に配置されたクラウド スクラバーを活用する必要があります。
ボリューム攻撃に対する可用性を維持するには、グローバルなカバレッジ(北米、ヨーロッパ、アジアのデータ センター)と、テラビット単位のグローバル容量またはセンターあたり数百ギガビットの容量の両方が必要です。
組織は、クラウド スクラバーの真の価値は攻撃キャンペーンの後でのみ実現されると言うでしょう。 満足度を判断する質問には次のようなものがあります。
- 高かったですか?
- 誤検出のレベルはどの程度でしたか?
- 正当なトラフィックの配信に対する可視性と制御はありましたか?
組織は、Silverline DDoS Protection Always Available サブスクリプションを使用して、DDoS 攻撃が検出されたときにトラフィックを F5 Silverline 経由でルーティングできます。 あるいは、Silverline DDoS Protection Always On サブスクリプションを使用すると、トラフィックを常に F5 Silverline 経由でルーティングし、組織のネットワークとアプリケーションの可用性を高めることができます。
Silverline DDoS Protection には、ルーティング モードとプロキシ モードという 2 つの主要な展開モデルがあります。
ルーティング モードは、ネットワーク インフラストラクチャ全体を保護する必要がある企業向けです。 Silverline DDoS Protection は、Border Gateway Protocol (BGP) を使用してすべてのトラフィックをスクラビングおよび保護センターにルーティングし、Generic Routing Encapsulation (GRE) トンネル/L2 VPN/Equinix Cloud Exchange を使用してクリーンなトラフィックを元のネットワークに送り返します。 ルーティング モードは、大規模なネットワークを展開する企業向けのスケーラブルな設計です。 アプリケーション固有の構成は必要なく、Silverline DDoS 保護をオンまたはオフにする簡単なオプションが提供されます。
プロキシ モードは、ボリューム型 DDoS 攻撃からアプリケーションを保護する必要があるが、パブリック クラス C ネットワークを持たない企業向けです。 DNS は、すべてのトラフィックを F5 Silverline スクラビング センターにルーティングするために使用されます。 クリーンなトラフィックは、パブリック インターネット経由でアプリケーションのオリジン サーバーに送信されます。
Silverline DDoS Protection で使用されるリターン トラフィック メソッドは次のとおりです。
- GRE トンネル。
- Equinix クラウド エクスチェンジ。
- L2VPN。
- パブリックインターネット。
図 4 は、2019 年から 2020 年にかけて、世界最大の DDoS 攻撃の記録が何度も破られたことを示しています。 このような帯域幅消費量に達するために、これらの攻撃では、フラッド攻撃(ACK、NTP、RESET、SSDP、SYN、UDP など)と、TCP アノマリー、UDP フラグメント、および意図した被害者への何千もの無意識の公開インターネット投稿からの CLDAP リフレクションを組み合わせて使用しました。
ネットワーク防御層は、ネットワーク ファイアウォールを中心に構築されます。 SYN フラッドや ICMP フラグメンテーション フラッドなどの計算攻撃を軽減するように設計されています。 この層は、入口ポイントの混雑(通常は定格パイプ サイズの 80 ~ 90 パーセント)までのボリューム攻撃も軽減します。 多くの組織では、この層で IP レピュテーション データベースを統合し、DDoS 攻撃中にソースごとに IP アドレスを制御します。
一部の組織では、DNS を第 1 層経由で DMZ 内の DNS サーバーに渡します。 この構成では、適切なレイヤー 4 制御により、DNS パケットをサーバーに送信する前に検証できます。
仮想化を優先する戦略を採用している組織にとって、専用のハードウェアなしで仮想化インフラストラクチャを標的とする DDoS 攻撃を軽減することは困難な場合があります。 x86 COTS サーバー上で実行される仮想化セキュリティ ソリューションには、カスタム アプライアンスの高性能属性が欠けていることが多く、多くの場合、効果的なソフトウェア中心の DDoS 軽減がほぼ不可能になります。
この課題に対する F5 のソリューションは、SmartNIC と呼ばれる新世代のネットワーク インターフェイス カード (NIC) を使用して、BIG-IP AFM 仮想エディション (VE) ソリューションを強化します。 F5 は、これらの SmartNIC 内に組み込まれた高性能 FPGA をプログラミングして、DDoS 攻撃が BIG-IP VE およびアプリケーション サーバーに到達する前に検出してブロックすることで、アプリをオンラインに保つための同等のソフトウェアのみのソリューションよりも桁違いに大きい (最大 300 倍) 攻撃をブロックできます。 DDoS 緩和を BIG-IP AFM VE から SmartNIC にオフロードすると、VE CPU サイクルが解放され、他のセキュリティ機能 (WAF や SSL など) を最適化できるだけでなく、TCO を最大 47% 削減できます。
レイヤー 4 攻撃として、TCP 接続フラッドはネットワーク上のあらゆるステートフル デバイス、特に DDoS 耐性のないファイアウォールに影響を及ぼす可能性があります。 この攻撃は、各ステートフル デバイスのフロー接続テーブルのメモリを消費するように設計されています。 多くの場合、これらの接続フラッドには実際のコンテンツが含まれていません。 これらは、ネットワーク層の大容量接続テーブルに吸収されるか、フルプロキシ ファイアウォールによって軽減されます。
SSL 接続フラッドは、暗号化されたトラフィックを終了するデバイスを攻撃するために特別に設計されています。 維持する必要がある暗号化コンテキストのため、各 SSL 接続は 50,000 ~ 100,000 バイトのメモリを消費する可能性があります。 これにより、SSL 攻撃は特に困難になります。
F5 は、TCP および SSL 接続フラッドを軽減するために、容量とフルプロキシ技術の両方を推奨しています。 図 7 は、F5 ベースのネットワーク ファイアウォールの接続容量を示しています。
| プラットフォームシリーズ | TCP 接続テーブル サイズ | SSL接続テーブルのサイズ |
|---|---|---|
VIPRION シャーシ |
1,200万~1億4,400万 |
100万~3,200万 |
高級家電 |
2,400万~3,600万 |
250万~700万 |
中価格帯家電 |
2400万 |
400万 |
ローレンジ家電 |
600万 |
70万~240万 |
仮想エディション (SmartNIC VE 付き) |
300万 |
70万 |
図7: F5ハードウェアプラットフォームの接続容量
アプリケーション防御層では、F5 は、ログイン ウォール、Web アプリケーション ファイアウォール ポリシー、F5 iRules を使用した動的セキュリティ コンテキストなど、アプリケーションを認識し、CPU を集中的に使用する防御メカニズムを導入することを推奨しています。 多くの場合、これらのコンポーネントは、この層で対象となる IDS/IPS デバイスとラック スペースを共有します。
SSL 終了は通常ここで行われます。 一部の組織ではネットワーク防御層で SSL を終了しますが、SSL キーの機密性と、それらをセキュリティ境界に保持しないというポリシーのため、これはあまり一般的ではありません。
再帰的な GET と POST は、今日最も有害な攻撃の 1 つです。 正当なトラフィックと区別するのは非常に困難です。 GET フラッドはデータベースやサーバーを圧倒する可能性があり、「リバース フル パイプ」を引き起こす可能性もあります。 F5 は、100 Mbps の GET クエリをターゲットに送信し、20 Gbps のデータを持ち出していた攻撃者を記録しました。
GET 洪水の緩和戦略には以下が含まれます。
- ログインウォール防御。
- DDoS 保護プロファイル。
- 実際のブラウザ強制。
- キャプチャ。
- リクエストスロットリング iRules。
- カスタム iRules。
これらの戦略の構成とセットアップについては、F5 DDoS 推奨プラクティスのドキュメントを参照してください。
DNS は、HTTP に次いで 2 番目に標的となるサービスです。 DNS が中断されると、すべての外部データセンター サービス (単一のアプリケーションだけでなく) が影響を受けます。 この単一の完全障害点と、多くの場合十分にプロビジョニングされていない DNS インフラストラクチャにより、DNS は攻撃者にとって魅力的なターゲットになります。
DNS サービスは歴史的に十分に提供されていません。 DNS 導入のかなりの割合が、小規模から中規模の DDoS 攻撃にも耐えられないほどプロビジョニング不足になっています。
DNS キャッシュは、DNS サービスの認識されるパフォーマンスを向上させ、標準的な DNS クエリ攻撃に対する耐性を提供できるため、人気が高まっています。 攻撃者は、キャッシュによって得られるパフォーマンス上の利点をすぐに奪ってしまう「no such domain」(または NXDOMAIN)攻撃と呼ばれる攻撃に切り替えました。
この問題を解決するために、F5 では、BIG-IP DNS ドメイン ネーム サービスのフロントエンドに、F5 DNS Express™ と呼ばれる特殊な高性能 DNS プロキシ モジュールを使用することを推奨しています。 DNS Express は、既存の DNS サーバーの前で絶対リゾルバとして機能します。 サーバーからゾーン情報を読み込み、すべてのリクエストを解決するか、NXDOMAIN を返します。 これはキャッシュではないため、NXDOMAIN クエリ フラッドによって空にすることはできません。
多くの場合、DNS サービスは、最初のセキュリティ境界とは別に、独自のデバイス セットとして存在します。 これは、DNS を、それが提供するアプリケーションから独立させるために行われます。 たとえば、セキュリティ境界の一部がダウンした場合、DNS は要求をセカンダリ データ センターまたはクラウドにリダイレクトできます。 DNS をセキュリティ層およびアプリケーション層から分離しておくことは、最大限の柔軟性と可用性を維持するための効果的な戦略となります。
複数のデータ センターを持つ一部の大企業では、BIG-IP DNS と DNS Express および BIG-IP AFM ファイアウォール モジュールを組み合わせて、メインのセキュリティ境界外で DNS を提供しています。 このアプローチの主な利点は、DDoS によりネットワーク防御層がオフラインになった場合でも DNS サービスが利用可能であり続けることです。
DNS が DMZ の内側で提供されるか外側で提供されるかに関係なく、BIG-IP DNS または BIG-IP AFM は、DNS 要求が DNS サーバーに到達する前にそれを検証できます。
以下は、3 つの一般的な顧客シナリオにマッピングされるリファレンス アーキテクチャの 3 つのユース ケースです。
- マネージド サービス プロバイダー (モビリティまたは固定回線)
- 大規模金融サービス機関 (FSI) データセンター
- エンタープライズデータセンター
以下の各ユース ケースには、展開シナリオの図、ユース ケースの詳細の簡単な説明、およびそのシナリオ内で推奨される F5 コンポーネントが含まれています。 追加のサイズ情報については、図 14 も参照してください。
MSP データ センターのユース ケースは、データ センター リソースの価値を最大化しながら、さまざまなアプリケーションにセキュリティを提供することに重点を置いています。 投資収益率 (ROI) は MSP にとって非常に重要です。MSP は、可能であれば 1 つのデバイスからすべてを実行したいと考えており、DDoS 攻撃中にオフラインになることもいとわないからです。
このユースケースでは、MSP はすべての卵を 1 つのバスケットに入れています。 最もコスト効率の高いソリューションが得られますが、可用性の課題も最も大きくなります。
一方、組織は、深い知識を持つ専門のリソースを単一のプラットフォームに集中させることで効率性を高めます。 F5 は、高可用性システム、優れた拡張性とパフォーマンス、そしてリスクのさらなる軽減に役立つ世界クラスのサポートを提供します。
確かに、この統合アーキテクチャの最大の利点は財務上の節約です。 優れた DDoS ソリューションでは、すでに稼働している機器を使用して、収益を生み出すアプリケーションを毎日提供します。 統合された環境により、ラックスペース、電力、管理の節約につながります。
| 位置 | F5 装備 |
|---|---|
クラウド |
Silverline DDoS 保護: 常時サブスクリプション いつでも利用可能なサブスクリプション |
統合オンプレミス層 |
ミッドエンドからハイエンドの BIG-IP アプライアンス ペア ライセンスアドオン: BIG-IP DNS ライセンスアドオン: 高度なWAF ライセンスアドオン: BIG-IP AFM ライセンスアドオン: BIG-IP アプリケーション ポリシー マネージャ (APM) |
図9: MSP 展開シナリオのサイズ設定の推奨事項
大規模な FSI データ センターのシナリオは、DDoS 保護の成熟した、よく知られたユース ケースです。 通常、FSI には複数のサービス プロバイダーがありますが、それらのプロバイダーのボリューム型 DDoS サービスではなく、別のスクラビング サービスを選択する場合があります。 これらの多くは、プライマリ クラウド スクラバーがボリューム型 DDoS 攻撃を軽減できない場合に備えて、バックアップ クラウド スクラバーを備えている場合もあります。
FSI データ センターには企業スタッフがほとんどいないことが多いため、次世代ファイアウォールは必要ありません。
FSI は連邦軍事機関以外で最も厳格なセキュリティ ポリシーを持っています。 たとえば、ほぼすべての FSI は、データセンター全体でペイロードを暗号化したままにする必要があります。 FSI はインターネット上で最も価値の高い資産クラス (銀行口座) を保有しているため、DDoS 攻撃だけでなくハッキングの標的になることも少なくありません。 2 層のオンプレミス アーキテクチャにより、FSI 組織は、ネットワーク層への投資とは独立して、アプリケーション層で CPU を集中的に使用する包括的なセキュリティ ポリシーを拡張できます。
このユースケースにより、FSI は既存のセキュリティ機器を保持 (実際には活用) しながら、DDoS 耐性ソリューションを作成できます。 ネットワーク防御層のファイアウォールは引き続き機能し、アプリケーション防御層の BIG-IP デバイスは侵害を防止し続けます。
| 位置 | F5 装備 |
|---|---|
クラウド |
Silverline DDoS 保護: 常時サブスクリプション いつでも利用可能なサブスクリプション |
ネットワーク層 |
VIPRION シャーシ (ペア) VIPRIONアドオン: BIG-IP AFM |
アプリケーション層 |
ミッドレンジ BIG-IP アプライアンス ライセンスアドオン: 高度なWAF |
ドメイン名 |
ミッドレンジ BIG-IP アプライアンス (ペア) |
図11: FSI 展開シナリオのサイズ設定の推奨事項
エンタープライズ DDoS 対策シナリオは、大規模な FSI シナリオに似ています。 主な違いは、企業にはデータセンター内にスタッフがいるので、次世代ファイアウォール (NGFW) のサービスが必要になることです。 入口と出口の両方に単一の NGFW を使用したくなるかもしれませんが、NGFW は進化する DDoS 攻撃やマルチベクトルの DDoS 攻撃に対処するように設計されていないため、そうすると DDoS 攻撃に対して脆弱になります。
F5 は、企業が F5 Silverline のようなクラウド スクラバーからボリューム型 DDoS 攻撃に対する保護を得ることを推奨しています。 オンプレミスでは、推奨されるエンタープライズ アーキテクチャには、入力アプリケーション トラフィックとは別のパスにある小規模な NGFW が含まれます。 ネットワーク防御層とアプリケーション防御層を使用することで、企業は非対称スケーリングを活用でき、CPU が不足していることが判明した場合に F5 WAF デバイスを追加できます。
業種や企業によって要件は異なります。 両方の層で F5 機器を使用することにより、エンタープライズ アーキテクチャでは、SSL トラフィックを復号化 (およびオプションで再暗号化) するのに最も適切な場所を顧客が決定できるようになります。 たとえば、企業はネットワーク防御層で SSL を復号化し、復号化されたトラフィックを高度な脅威を監視しているネットワーク タップにミラーリングできます。
| 位置 | F5 装備 |
|---|---|
クラウド |
Silverline DDoS 保護: 常時サブスクリプション いつでも利用可能なサブスクリプション |
ネットワーク層 |
ハイエンド BIG-IP アプライアンス (ペア) ライセンスアドオン: BIG-IP AFM |
アプリケーション層 |
ミッドレンジ BIG-IP アプライアンス ライセンスアドオン: 高度なWAF |
ドメイン名 |
ミッドレンジ BIG-IP アプライアンス (ペア) |
図13: エンタープライズ顧客導入シナリオのサイズ設定の推奨事項
図 14 は、組織の拡張要件を満たすために利用できる F5 ハードウェア デバイスの範囲の仕様を示しています。
| スループット | SYNフラッド(1秒あたり) | ICMPフラッド | HTTP フラッド (JavaScript リダイレクト) | TCP 接続 | SSL接続 | |
|---|---|---|---|---|---|---|
VIPRION 2400 4ブレードシャーシ |
160Gbps |
1億9600万 |
100Gbps |
350,000RPS |
4,800万 |
1000万 |
10200V 家電 高級家電 |
80Gbps |
8000万 |
56Gbps |
175,000RPS |
3,600万 |
700万 |
7200V アプライアンス ミッドレンジ家電 |
40Gbps |
4000万 |
32Gbps |
131,000RPS |
2400万 |
400万 |
5200v 家電 ローレンジ家電 |
30Gbps |
4000万 |
32Gbps |
131,000RPS |
2400万 |
400万 |
図14: DDoS 保護のための F5 ハードウェア仕様。 具体的な推奨事項についてはユースケースを参照してください。
この推奨される DDoS 保護リファレンス アーキテクチャは、F5 が顧客とともに DDoS 攻撃に対抗してきた長年の経験に基づいています。 サービスプロバイダーは統合アプローチで成功を収めています。 世界中の金融サービス機関は、推奨されるハイブリッド アーキテクチャがすべてのセキュリティ制御の理想的な配置であることを認識しています。 企業のお客様も、このアーキテクチャに基づいてセキュリティ制御を再配置し、再構築しています。 当面の間、ハイブリッド DDoS 保護アーキテクチャは、最新の DDoS 脅威に対抗するために設計者が必要とする柔軟性と管理性を継続的に提供する必要があります。
F5とつながる
