DDoS攻撃の強さや範囲、複雑さは、脅威ベクトル(攻撃経路)の広がりによる攻撃手法の拡大も相まって増加の一途をたどっています。シグネチャベースの侵入防御やトラフィックレート制限に頼る従来型のソリューションでは、もはや効果的な防御は叶いません。さらに、企業システムをクラウドに移行する企業が増えたことで、企業がさらされる攻撃対象領域はより広範なものとなっています。これらの現状により、クラウド上のワークロードを保護するための高度なDDoS保護ソリューションの必要性が高まっています。
現在、クラウド事業者はDDoS緩和サービスを顧客企業(テナント)に直接提供し、多くのテナントが利用しています。しかし、複雑な攻撃に直面した場合には、追加のDDoS防御オプションが必要になります。
その理由は3つあります。
- クラウド事業者のDDoS緩和策は主にL3/L4のDDoS攻撃を対象としており、L7のDDoS攻撃は防ぐことができない
- これらのL3/L4のDDoS対策は、一般的に必要に応じてリアクティブに(迂回経路で事後対策的に)実行され、インライン型(経路上)の対策ではない。このため、DDoS防御が開始されるまでに通常1〜2分の遅延が生じる
- クラウド事業者は提供するDDoS緩和策はあらゆる業種に適用できる汎用的なものであり、アプリケーション固有のDDoS対応は含んでいない
そのため、さまざまな企業(ゲーム、金融など)では、包括的かつ効率的に攻撃に対応でき、企業の業態に応じてカスタマイズされたプラスアルファのDDoS緩和ソリューションが必要になります。
Microsoft Azureでは、Azureマーケットプレイス上でネットワーク仮想アプライアンス(NVA)によるインライン型のDDoS防御追加オプションを提供し、この需要に対応しています。これはAzureのGateway Load Balancer機能を使用することで可能になり、インターネットトラフィックがAzure上にホスティングされるアプリケーションやサービスに流入する際、Gateway Load Balancerがその流入経路に関連するNVAを組み入れます。
