DDoSアーキテクチャ ダイアグラムとホワイト ペーパー
はじめに
F5は20年以上にわたり、分散型サービス拒否(DDoS)攻撃からのアプリケーションの保護にお客様とともに取り組んでいます。F5はこれまで、DDoS攻撃に対するアプリケーションやサービスの回復力を維持するためのコア製品の機能を開発してきました。2018年以降、多くの攻撃が注目を集め、サービス プロバイダやマネージド サービス プロバイダ(MSP)、金融機関、そして企業は、ネットワークを再設計してDDoS対策を組み込むことを余儀なくされています。F5は、このようなお客様と協力して、クラウドとオンプレミスの両方のコンポーネントを含むDDoS対策のリファレンス アーキテクチャを開発しています。
リファレンス アーキテクチャには、レイヤ3~7を保護するための複数の層のオンプレミス防御策が組み込まれています。ネットワーク防御層は、DNSとレイヤ3および4を保護します。ネットワーク攻撃のノイズから解放されたアプリケーション防御層は、そのCPUリソースを使用して上位層のアプリケーションを保護できます。この設計によって、組織はあらゆる種類のDDoS攻撃を防御でき、そのメリットは組織のデータ センタ全体に及びます。最後に、DDoS対策ソリューションのクラウド コンポーネントは、ボリューム型攻撃を緩和するための安全装置として機能します。
DDoSの4つのカテゴリ
DDoSの脅威は絶えず進化していますが、F5は、その攻撃が以下の特徴を持つ4つのタイプに分類されることに気付きました。
- ボリューム型攻撃:レイヤ3、4、または7を対象とするフラッドベースの攻撃。通常、L3~4に対する攻撃は偽装UDPトラフィックです。
- 非対称攻撃:片側またはステートレスのUDPトラフィック。
- 演算処理攻撃:CPUとメモリを消費するように設計された攻撃。通常はTCP経由でL7を対象とします。
- 脆弱性攻撃:ソフトウェアの脆弱性を悪用する攻撃。
防御メカニズムは、これらの異なるカテゴリに対処できるよう進化し、名高い企業は、セキュリティ ポスチャの効力を最大限に発揮できるよう特殊な体制でメカニズムを展開することに取り組んでいます。F5は、このような企業と連携してコンポーネントの調整を繰り返し、特定のデータ センタの規模や業界要件に対応できるDDoS緩和アーキテクチャを開発し、提案しています。
DDoS対策ソリューションの構築
以下のDDoS対策リファレンス アーキテクチャは、定評ある業界コンポーネントで構築されています。一部は他のベンダやサプライヤが提供しているものですが、F5固有のコンポーネントもあります。
DDoS対策アーキテクチャのコンポーネント
図1は、DDoSアーキテクチャのコンポーネントと、それによって緩和される4つのDDoS攻撃カテゴリを示しています。
| 攻撃のカテゴリ | 緩和コンポーネント |
|---|---|
| ボリューム型攻撃 | クラウドベースのスクラビング サービス スクラビング センタ(分散/Anycastモデル) IPレピュテーション データベース ブラックホール Flowspec |
非対称攻撃 |
クラウドベースのスクラビング サービス スクラビング センタ(分散/Anycastモデル) IPレピュテーション データベース ブラックホール Flowspec |
演算処理攻撃 |
アプリケーション デリバリ コントローラ ネットワーク ファイアウォール Webアプリケーション ファイアウォール |
脆弱性攻撃 |
IPレピュテーション データベース 侵入防止/検知システム(IPS/IDS) アプリケーション デリバリ コントローラ Webアプリケーション ファイアウォール |
図1:DDoS緩和コンポーネントと対応する攻撃のタイプ
クラウドベースのDDoSスクラビング サービス
クラウドベースのDDoSスクラビング サービスは、あらゆるDDoS緩和アーキテクチャの重要なコンポーネントです。攻撃者が組織の1 Gbpsのイングレス ポイントで50 Gbpsのデータを送信した場合、オンプレミスの機器ではこの問題に対処できません。このクラウド サービスは、実際のパブリック クラウドまたは組織の帯域幅サービス プロバイダ内でホストされ、公正と思われるデータから明らかな不正データを選別して問題に対処します。
DDoS対応ネットワーク ファイアウォール
ネットワーク ファイアウォールは長い間、境界セキュリティの要となってきました。しかし、多くのネットワーク ファイアウォールはDDoS攻撃にまったく対抗できません。実際、数多く導入されているファイアウォールの多くは、最も単純なレイヤ4攻撃で無効になる可能性があります。ファイアウォールが攻撃を認識して緩和しなければ、スループットではまったく対処できません。
F5では、レイヤ3および4ベースのセキュリティ コントロール デバイスについて、大容量のDDoS対応ネットワーク ファイアウォールを選択することを設計者に推奨しています。特に、設計者は数千ではなく数百万の同時接続をサポートし、正規のトラフィックに影響を与えることなくさまざまな攻撃(SYNフラッドなど)を撃退できるものを探すべきです。
アプリケーション デリバリ コントローラ
アプリケーション デリバリ コントローラ(ADC)は、ネットワークに戦略的な制御点を組み込みます。選択、プロビジョニング、管理を適切に行えば、DDoS対策を大幅に強化できます。例えば、F5 ADCのフルプロキシの特性は、HTTPやDNSなどの一般的なプロトコルを検証することで、演算処理攻撃や脆弱性攻撃を軽減します。このような理由から、F5ではフルプロキシADCを推奨しています。
統合DDoS対策機能を備えたWebアプリケーション ファイアウォール
Webアプリケーション ファイアウォールは、アプリケーションのセキュリティ ポリシーを理解して適用する高度なコンポーネントです。このコンポーネントは、アプリケーション層攻撃がボリューム型HTTPフラッドと脆弱性攻撃のいずれであっても、それを検出して緩和します。Webアプリケーション ファイアウォールは、複数のベンダが提供していますが、F5では、効果的なDDoSアーキテクチャを実現するために、以下の理由から独自のWebアプリケーション ファイアウォール モジュールのみを推奨しています。
- F5のWebアプリケーション ファイアウォールは、ハッキング対策、Webスクレイピング対策、PCI準拠などの追加サービスも提供します。
- F5のお客様は、ADCとWebアプリケーション ファイアウォールを組み合わせて使用することで、アプリケーション デリバリとアプリケーション セキュリティ ポリシーを同時に適用できるという利点があります。
- F5 ADCは、SSLトラフィックをオフロードして検査します。お客様は、ADCをWebアプリケーション ファイアウォールと組み合わせることで、暗号化されたペイロードのSSL終端とセキュリティ分析を1つのデバイスに統合できます。
侵入検知および防止システム
侵入検知および防止システム(IDS/IPS)は、DDoS緩和において重要な役割を果たします。F5では、IDS/IPS機能を1か所に配置しないことを推奨しています(レイヤ4ファイアウォールへの統合など)。むしろIDS/IPSは、データベースや特定のWebサーバーなど、追加の特別な保護が必要になる可能性があるバックエンド コンポーネントの前に戦略的なインスタンスで展開する必要があります。また、IPSはWebアプリケーション ファイアウォールの代わりにはなりません。インフラストラクチャとアプリケーションの保護は、玉ねぎの皮のように階層化します。IPSは最上位層(プロトコル)で攻撃を阻止するように設計され、WAFは下位層(アプリケーション)を保護するように設計されています。
IPレピュテーション データベース
IPレピュテーション データベースは、DDoS攻撃者が後で悪用したり侵入したりするために既知のスキャナを使用してアプリケーションを探るのを阻止することで、非対称のサービス拒否攻撃を防御します。IPレピュテーション データベースは、内部で生成される場合と、外部のサブスクリプション サービスから利用する場合があります。F5のIPレピュテーション ソリューションは、オープンソースのインテリジェンス(OSINT)、F5のデータ、およびサードパーティのフィードからのインテリジェンスを組み合わせて、広範な悪意のあるドメインに対応します。
多層化DDoS対策アーキテクチャ
F5は、クラウド/オンプレミスのハイブリッドDDoSソリューションを推奨しています。ボリューム型攻撃は、F5® Silverline® DDoS Protection(F5 Silverlineクラウドベース プラットフォームを介して提供されるサービス)によって緩和されます。Silverline DDoS Protectionは、攻撃トラフィックの大部分を分析して排除します。
DDoSキャンペーンには、オンプレミスで対処する必要があるアプリケーション層攻撃が含まれる場合があります。このような非対称攻撃や演算処理攻撃は、ネットワーク防御層とアプリケーション防御層を使用して緩和できます。ネットワーク防御層は、L3およびL4ネットワーク ファイアウォール サービスで構成され、アプリケーション防御層への単純なロード バランシングが組み込まれています。アプリケーション防御層は、SSL終端とWebアプリケーション ファイアウォール スタックなど、より高度で(よりCPU負荷の高い)サービスで構成されます。
DDoS対策アーキテクチャのオンプレミス部分のネットワーク防御とアプリケーション防御を分離することには、明確な利点があります。
- ネットワーク防御層とアプリケーション防御層を個別に拡張できます。例えば、Webアプリケーション ファイアウォールの使用量が増加した場合、ネットワーク層に影響を与えることなく、別のアプライアンス(またはブレード)をアプリケーション層に追加できます。
- ネットワーク防御層とアプリケーション防御層で、異なるハードウェア プラットフォームを使用できます。バージョンが異なるソフトウェアも使用できます。
- 新しいポリシーをアプリケーション防御層に適用した場合、新しいポリシーが完全に検証されるまで、ネットワーク防御層がトラフィックの一部のみを新しいポリシーに差し向けることができます。
F5のコンポーネントと機能
図3は、特定の機能を提供するために必要なコンポーネントを示しています。DDoS対策リファレンス アーキテクチャのF5コンポーネントは以下のとおりです。
- Silverline DDoS Protection
- BIG-IP® AFM™(AFM)
- BIG-IP® Local Traffic Manager™(LTM)
- BIG-IP® DNS™ with DNS Express™
- BIG-IP® Advanced Web Application Firewall ™(Advanced WAF)
| クラウド | ネットワーク防御 | アプリケーション防御 | DNS | |
|---|---|---|---|---|
F5のコンポーネント |
SilverLine DDoS 保護 |
BIG-IP AFM BIG-IP LTM |
BIG-IP LTM BIG-IP Advanced WAF |
BIG-IP DNS with DNS Express™ |
OSIモデル |
レイヤ3および4 |
レイヤ3および4 |
レイヤ7 |
DNS |
機能 |
大量のスクラビング トラフィック ダッシュボード |
ネットワーク ファイアウォール レイヤ4ロード バランシング IP拒否リスト |
SSL終端 Webアプリケーション ファイアウォール セカンダリ ロード バランシング |
DNS解決 DNSSEC |
緩和される攻撃 |
ボリューム型フラッド アンプ攻撃 プロトコルの許可リスト |
SYNフラッド ICMPフラッド 不正な形式のパケット TCPフラッド 既知の不正ユーザー |
Slowloris Slow POST Apache Killer RUDY/Keep Dead SSL攻撃 |
UDPフラッド DNSフラッド NXDOMAINフラッド NXNS DNSSEC攻撃 |
図3:F5コンポーネントと対応するDDoS緩和機能
オンプレミス保護のための代替統合アプローチ
高帯域幅環境では多層アーキテクチャが推奨されますが、多くのお客様にとって、低帯域幅環境に複数のDDoS防御層を構築することは対策として過剰である場合があることもF5は理解しています。このようなお客様は、アプリケーション デリバリとネットワークおよびWebアプリケーション ファイアウォール サービスを統合したDDoS緩和対策境界デバイスを導入しています。
この場合も、ここで推奨している方法が該当します。ネットワーク防御層とアプリケーション防御層についての説明が、そのまま代替アーキテクチャの統合された単一の層に当てはまります。
DDoS対策アーキテクチャを使用した可用性の維持
クラウドでボリューム型攻撃を防御
組織は、インターネットに接続している受信帯域幅容量を枯渇させる可能性がある大規模なボリューム型DDoS攻撃を受ける危険性があります。このような攻撃を防御するには、ルートを変更して(BGPルート通知を使用)高帯域幅データ センタに受信トラフィックを転送することもできます。このデータ センタは、悪意のあるトラフィックをスクラビングし、クリーンなスクラビング済みトラフィックを組織の元のデータ センタに送り返します。
クラウドDDoSプロバイダの選択に影響を与える要素としては、スクラビング施設の地理的な位置、帯域幅の容量、レイテンシ、緩和に要する時間、ソリューションの価格などがあります。図4に示すように、DDoS攻撃は数百Gbps単位の帯域幅消費量に達する可能性があり、インフラストラクチャが完全に枯渇する危険性があります。
クラウド スクラバのスクラビング センタが組織のデータ センタに近接していないと、要求の受信にさらに時間がかかる場合があります。潜在的なレイテンシを低減するには、MSPやその他のグローバル企業は、攻撃の影響を受けかねない業務を展開している地域内に戦略的に配置されたクラウド スクラバを利用する必要があります。
能力と容量
ボリューム型攻撃に対して可用性を維持するには、北米、ヨーロッパ、アジアのデータ センタを含むグローバルなカバレッジと、テラビット規模のグローバルな容量か、またはセンタごとに数百ギガビットの容量が必要です。
組織にとって、クラウド スクラバの真の価値は、攻撃キャンペーンを受けてみないとわからないでしょう。以下の質問で組織の満足度がわかります。
- コストは高かったですか?
- 誤検出のレベルはどうでしたか?
- 正当なトラフィックのデリバリを可視化して制御できましたか?
Always AvailableまたはAlways On
組織は、DDoS攻撃が検出されたとき、Silverline DDoS Protection Always Availableサブスクリプションを使用し、F5 Silverlineを介してトラフィックをルーティングできます。または、組織のネットワークとアプリケーションの可用性を高めるため、Silverline DDoS Protection Always Onサブスクリプションを使用し、常にF5 Silverlineを介してトラフィックをルーティングすることもできます。
導入モデル
Silverline DDoS Protectionには、主な導入モデルとしてルーティング モードとプロキシ モードの2つがあります。
ルーティング モードは、ネットワーク インフラストラクチャ全体を保護する必要がある企業向けのモードです。Silverline DDoS Protectionは、すべてのトラフィックをスクラビングおよび保護センタにルーティングするためにBorder Gateway Protocol(BGP)を採用し、クリーンなトラフィックを元のネットワークに送り返すためにGeneric Routing Encapsulation(GRE)トンネル/L2 VPN/Equinix Cloud Exchangeを利用します。ルーティング モードは、大規模なネットワークを導入している企業向けの拡張可能な設計です。アプリケーションごとの設定が不要で、Silverline DDoS Protectionのオン/オフを簡単に切り替えることができます。
プロキシ モードは、ボリューム型DDoS攻撃からアプリケーションを保護する必要があるものの、公共のクラスCネットワークを導入していない企業向けのモードです。DNSは、すべてのトラフィックをF5 Silverlineのスクラビング センタにルーティングするために使用されます。クリーンなトラフィックは、公共のインターネットを介してアプリケーションの元のサーバーに送信されます。
Silverline DDoS Protectionで使用されるトラフィックを返す方法には以下があります。
- GREトンネル。
- Equinix Cloud Exchange。
- L2 VPN。
- 公共のインターネット。
ボリューム型攻撃に注目する:アンプ攻撃
図4は、2019年から2020年にかけて、世界最大のDDoS攻撃の記録が何度か更新されたことを示しています。このような帯域幅を消費するために、これらの攻撃ではTCP異常、UDPフラグメント攻撃、CLDAPリフレクション攻撃とともにフラッド攻撃(ACK、NTP、RESET、SSDP、SYN、UDPなど)が組み合わされて使用され、その標的は気付かぬまま利用された何千もの公共インターネットの投稿から意図的に標的とされた被害者まで及びました。
オンプレミスのネットワーク防御
ネットワーク防御層は、ネットワーク ファイアウォールを中心として構築されます。この層は、SYNフラッドやICMPフラグメンテーション フラッドなどの演算処理攻撃を緩和することを目的としています。また、受信ポイントで輻輳(一般的に、定格のパイプ サイズの80~90%)を生じる可能性のあるボリューム型攻撃も緩和します。多くの組織は、この層でIPレピュテーション データベースを統合し、DDoS攻撃中に送信元別にIPアドレスを制御します。
一部の組織は、第1層を介してDMZのDNSサーバーにDNSを渡します。この構成では、レイヤ4を適切に制御することで、サーバーに送信する前にDNSパケットを検証できます。
プライベート クラウドでの防御
仮想化重視の戦略をとる組織では、専用ハードウェアを使用しなければ、仮想化インフラストラクチャを標的としたDDoS攻撃を緩和することは困難です。x86 COTSサーバー上で実行される仮想化セキュリティ ソリューションでは、カスタム アプライアンスに高性能な属性を備えていないことが多く、多くの場合、ソフトウェア中心のDDoS緩和対策を効果的に導入することはほぼ不可能です。
この課題に対するF5のソリューションは、SmartNICと呼ばれている新世代のネットワーク インターフェイス カード(NIC)を利用して、F5® BIG-IP® Advanced Firewall Manager™(AFM)Virtual Edition(VE)ソリューションを強化します。F5は、DDoS攻撃がF5® BIG-IP® Virtual Edition(VE)やアプリケーション サーバーに到達する前にDDoS攻撃を検出してブロックするようにこのSmartNIC内の組み込み高性能FPGAをプログラミングすることで、ソフトウェアのみの同等のソリューションと比較して最大300倍もの規模の攻撃をブロックして、アプリケーションをオンライン状態に保つことができます。BIG-IP AFM VEからSmartNICにDDoS緩和対策をオフロードすることで、VEのCPUサイクルを解放して他のセキュリティ機能(WAFやSSLなど)を最適化できるだけでなく、TCOを最大47%削減できます。
演算処理型DDoS攻撃に注目する:TCP接続フラッドとSSL接続フラッドの緩和
TCP接続フラッドはレイヤ4の攻撃であり、ネットワーク上のステートフル デバイス、特にDDoS防御機能がないファイアウォールに影響を与えます。この攻撃は、各ステートフル デバイスのフロー接続テーブルのメモリを消費するように設計されています。このような接続フラッドの多くは、実際の中身が空です。これらの攻撃は、ネットワーク層の大容量の接続テーブルに吸収するか、フルプロキシ ファイアウォールで緩和することができます。
SSL接続フラッドは、暗号化されたトラフィックを終端するデバイスを特に攻撃するように設計されています。各SSL接続では、暗号化コンテキストを維持する必要があるため、50,000~100,000バイトのメモリを消費する可能性があります。このため、SSL攻撃は特に甚大な影響をもたらします。
F5は、TCPおよびSSL接続フラッドを緩和するために、容量とフルプロキシ技術の両方で対策することを推奨しています。図7は、F5ベースのネットワーク ファイアウォールの接続容量を示しています。
| プラットフォーム シリーズ | TCP接続テーブルのサイズ | SSL接続テーブルのサイズ |
|---|---|---|
VIPRIONシャーシ |
1,200万~1億4,400万 |
100万~3,200万 |
ハイエンド アプライアンス |
2,400万~3,600万 |
250万~700万 |
ミッドレンジ アプライアンス |
2,400万 |
400万 |
ローレンジ アプライアンス |
600万 |
70万~240万 |
Virtual Edition(SmartNIC VE搭載) |
300万 |
70万 |
図7:F5ハードウェア プラットフォームの接続容量
オンプレミスのアプリケーション防御
F5は、アプリケーション防御層に、ログイン ウォール、Webアプリケーション ファイアウォール ポリシー、F5® iRules®を使用した動的セキュリティ コンテキストなど、CPU負荷の高いアプリケーション認識型防御メカニズムを導入することを推奨しています。これらのコンポーネントの多くは、この層でターゲットのIDS/IPSデバイスとラック スペースを共有します。
この層では、通常、SSLの終端も処理されます。組織によってはネットワーク防御層でSSLを終端する場合もありますが、SSLのキーやポリシーの機密情報をセキュリティ境界で維持するため、あまり一般的ではありません。
非対称DDoS攻撃に注目する:GETフラッドの緩和
再帰的なGETやPOSTは、今日最も有害な攻撃に挙げられています。これらの攻撃は、正規のトラフィックと区別するのが極めて難しいためです。GETフラッドはデータベースやサーバーを枯渇させ、「オーバーフローによるデータ漏洩」も引き起こします。F5の記録では、1人の攻撃者が100 MbpsのGETクエリをターゲットに送信して20 Gbpsのデータを引き出した事例があります。
GETフラッドの緩和戦略には以下があります。
- ログインウォールによる防御。
- DDoS対策プロファイル。
- リアル ブラウザ エンフォースメント。
- CAPTCHA。
- リクエスト スロットリングiRule。
- カスタムiRule。
これらの戦略の構成と手順については、F5 DDoSの推奨プラクティスに関するドキュメントに記載されています。
DNS DDoSの緩和
DNSは、HTTPに次いで2番目に標的とされているサービスです。DNSが中断されると、単一のアプリケーションだけでなくすべての外部データ センタ サービスが影響を受けます。この単一障害点に加え、DNSインフラストラクチャの多くはプロビジョニングが不十分なことが、DNSが攻撃を受けやすい原因となっています。
クエリ フラッドに対するDNSサービスのオーバー プロビジョニング
DNSサービスは、従来からプロビジョニングが不十分であり、導入されているDNSの大部分はプロビジョニングが不十分であるために小規模から中規模のDDoS攻撃にも耐えることができません。
DNSキャッシュが一般的となったのは、DNSサービスのパフォーマンスを飛躍的に向上させ、標準的なDNSクエリ攻撃に対して一定の回復力をもたらすためでしたが、攻撃者は「no such domain」(NXDOMAIN)と呼ばれる攻撃に切り替え、キャッシュのパフォーマンス上の利点はすぐになくなりました。
F5は、これに対処するため、F5® BIG-IP® DNSドメイン名サービスを、F5 DNS Express™という高性能の特殊なDNSプロキシ モジュールとともにフロントエンドで使用することを推奨します。DNS Expressは、既存のDNSサーバーの前面で、高機能リゾルバとして機能して、ゾーン情報をサーバーから読み込み、各要求を解決するか、NXDOMAINを返します。キャッシュではないため、NXDOMAINクエリ フラッドによって空にすることはできません。
DNSサービスの配置を考える
DNSサービスを、最初のセキュリティ境界から離して、独自のデバイス セットとして配置することがよくあります。その目的は、提供するアプリケーションからDNSを独立させておくことにあります。例えば、セキュリティ境界の一部がダウンすると、DNSは要求をセカンダリ データ センタまたはクラウドにリダイレクトします。DNSをセキュリティ層やアプリケーション層から切り離しておくことは、柔軟性と可用性を最大限に維持するための効果的な戦略です。
複数のデータ センタを持つ大規模企業では、BIG-IP DNS with DNS ExpressとBIG-IP AFMファイアウォール モジュールを組み合わせて、DNSをメイン セキュリティ境界の外部に配置する場合があります。このアプローチの主な利点は、DDoS攻撃によりネットワーク防御層がオフラインになってもDNSサービスを利用可能な状態に維持できることです。
DNSがDMZの内側と外側のどちらにあっても、DNS要求がDNSサーバーに到達する前にBIG-IP DNSまたはBIG-IP AFMがそれらの要求を検証できます。
リファレンス アーキテクチャのユース ケース
以下に、3つの典型的な顧客シナリオに対応するリファレンス アーキテクチャのユース ケースをご紹介します。
- マネージド サービス プロバイダ(モバイル回線または固定回線)
- 大規模金融サービス機関(FSI)データ センタ
- エンタープライズ データ センタ
以下の各ユース ケースには、導入シナリオのダイアグラム、個々のユース ケースの簡単な説明、そのシナリオで推奨されるF5コンポーネントが示されています。サイジングに関するその他の情報については、図14を参照してください。
マネージド サービス プロバイダのDDoS対策リファレンス アーキテクチャ(モバイル回線または固定回線)
MSPデータ センタのユース ケースでは、データ センタのリソースの価値を最大化しながら、さまざまなアプリケーションにセキュリティを提供することを重視しています。MSPにとって投資収益率(ROI)は非常に重要であり、その多くはできる限り1台のデバイスですべて処理することを求め、DDoS攻撃中はオフラインにすることを望んでいます。
このユース ケースでは、MSPは1つの資産に投資を集中させています。最もコスト効率に優れたソリューションが導入されますが、可用性が最大の課題となります。
一方で、専門のスタッフが1つのプラットフォームの知識を深めていくことで、効率を高めることができます。この事例ではF5は、高可用性システム、優れた拡張性とパフォーマンス、さらなるリスクの低減を支援する世界レベルのサポートを提供します。
この統合アーキテクチャの最大の利点がコスト削減であることは明らかです。優れたDDoSソリューションが、既に稼働している機器を利用して、収益源であるアプリケーションを日常的に提供します。統合された環境は、ラック スペース、電力、管理作業の軽減に役立ちます。
| 場所 | F5の装置 |
|---|---|
クラウド |
Silverline DDoS Protection: Always Onサブスクリプション Always Availableサブスクリプション |
統合されたオンプレミス層 |
ミッドレンジからハイエンドのBIG-IPアプライアンスのペア ライセンス アドオン:BIG-IP DNS ライセンス アドオン:Advanced WAF ライセンス アドオン:BIG-IP AFM ライセンス アドオン:BIG-IP Application Policy Manager(APM) |
図9:MSP導入シナリオの推奨サイジング
大規模FSI DDoS対策リファレンス アーキテクチャ
大規模FSIのシナリオ
大規模FSIデータ センタのシナリオは、よく知られている成熟したDDoS対策のユース ケースです。一般的に、FSIは複数のサービス プロバイダを利用していますが、別のスクラビング サービスを選んで、これらのプロバイダのボリューム型DDoS対策サービスの利用を避ける場合もあります。また、これらの多くは、ボリューム型DDoS攻撃を緩和するため、プライマリ クラウド スクラバの障害に備えてバックアップ クラウド スクラバを用意している場合もあります。
FSIデータ センタは、社内スタッフが少数であることが多いため、次世代ファイアウォールは必要ありません。
FSIは連邦機関や軍を除くと最も厳格なセキュリティ ポリシーを持っています。例えば、ほぼすべてのFSIは、データ センタ全体でペイロードを暗号化しています。FSIは価値が最も高い資産クラス(銀行口座)をインターネット上に配置しているため、しばしば攻撃の標的となり、DDoSだけでなくハッキングの標的にもなります。2層のオンプレミス アーキテクチャを構築することで、ネットワーク層への投資とは切り離して、アプリケーション層でCPU負荷の高い包括的なセキュリティ ポリシーを拡張できます。
このユース ケースでは、FSIは、既存のセキュリティ設備を維持(実際には活用)しながら、DDoS攻撃に耐えられるソリューションを構築できます。ネットワーク防御層のファイアウォールを機能させたまま、アプリケーション防御層のBIG-IPデバイスがセキュリティ侵害を防ぎます。
| 場所 | F5の装置 |
|---|---|
クラウド |
Silverline DDoS Protection: Always Onサブスクリプション Always Availableサブスクリプション |
ネットワーク層 |
VIPRIONシャーシ(ペア) VIPRIONアドオン:BIG-IP AFM |
アプリケーション層 |
ミッドレンジBIG-IPアプライアンス ライセンス アドオン:Advanced WAF |
DNS |
ミッドレンジBIG-IPアプライアンス(ペア) |
図11:FSI導入シナリオの推奨サイジング
エンタープライズ向けDDoS対策リファレンス アーキテクチャ
エンタープライズ顧客のシナリオ
エンタープライズ向けDDoS対策シナリオは大規模FSIのシナリオと似ています。主な違いは、エンタープライズはデータ センタにスタッフがいないため、次世代ファイアウォール(NGFW)のサービスが必要な点です。受信/送信の両方に単一のNGFWを使用することが一般的ですが、NGFWは進化するDDoS攻撃やマルチベクトル型のDDoS攻撃に対応するように設計されていないため、DDoS攻撃に対して脆弱です。
F5では、エンタープライズはF5 Silverlineのようなクラウド スクラバが提供する、ボリューム型DDoS攻撃対策を利用することを推奨しています。オンプレミスの場合、推奨されるエンタープライズ アーキテクチャには、受信アプリケーション トラフィックとは別のパスに小規模のNGFWが組み込まれます。ネットワーク防御層とアプリケーション防御層を使用することで、エンタープライズは非対称スケーリングを利用でき、CPUが高額な場合は、F5 WAFデバイスを追加することができます。
業種や会社が異なれば、要件も変わります。エンタープライズ アーキテクチャでは、両方の層でF5装置を使用することで、SSLトラフィックを復号する(そして必要に応じて再暗号化する)最適な場所をお客様が選択できます。例えば、ネットワーク防御層でSSLを復号し、高度な脅威を監視するネットワーク タップに復号したトラフィックをミラーリングすることができます。
| 場所 | F5の装置 |
|---|---|
クラウド |
Silverline DDoS Protection: Always Onサブスクリプション Always Availableサブスクリプション |
ネットワーク層 |
ハイエンドBIG-IPアプライアンス(ペア) ライセンス アドオン:BIG-IP AFM |
アプリケーション層 |
ミッドレンジBIG-IPアプライアンス ライセンス アドオン:Advanced WAF |
DNS |
ミッドレンジBIG-IPアプライアンス(ペア) |
図13:エンタープライズ顧客導入シナリオの推奨サイジング
サイジングの仕様
図14は、組織のスケーリング要件を満たすために利用可能なさまざまなF5ハードウェア デバイスの仕様を示しています。
| スループット | SYNフラッド(1秒あたり) | ICMPフラッド | HTTPフラッド(JavaScriptリダイレクト) | TCP接続 | SSL接続 | |
|---|---|---|---|---|---|---|
VIPRION 2400 4ブレード シャーシ |
160 Gbps |
1億9,600万 |
100 Gbps |
350,000 RPS |
4,800万 |
1,000万 |
10200Vアプライアンス ハイエンド アプライアンス |
80 Gbps |
8,000万 |
56 Gbps |
175,000 RPS |
3,600万 |
700万 |
7200Vアプライアンス ミッドレンジ アプライアンス |
40 Gbps |
4,000万 |
32 Gbps |
131,000 RPS |
2,400万 |
400万 |
5200vアプライアンス ローレンジ アプライアンス |
30 Gbps |
4,000万 |
32 Gbps |
131,000 RPS |
2,400万 |
400万 |
図14:DDoS対策のためのF5ハードウェアの仕様。具体的な推奨事項については、ユース ケースを参照してください。
まとめ
ここで推奨したDDoS対策リファレンス アーキテクチャには、F5がお客様とともにDDoS攻撃対策に長年取り組んできた経験が活かされています。サービス プロバイダは統合的なアプローチに勝機を見い出しています。グローバル金融サービス機関は、推奨されているハイブリッド アーキテクチャがすべてのセキュリティ コントロールの理想的な配置であることを認めています。エンタープライズ顧客も、このアーキテクチャでセキュリティ コントロールを再配置し、再構築しつつあります。当面の間は、ハイブリッドDDoS対策アーキテクチャが、今日のDDoS攻撃に対抗するために必要な柔軟性と管理性を提供していくことになるでしょう。