DDoSスクラビングサービスについて、サービスプロバイダーや企業が知っておくべきこと - パート2
自動化されたDDoS防御ソリューションにより効果的なDDoSスクラビングサービスを展開
本記事は米国A10 Networksが発行したブログをベースにしています。原文はこちらよりご覧ください。
サービスプロバイダーが加入者に DDoSスクラビングサービスを提供する際に考慮すべき点はいくつかありますが、一般的にはこれらの考慮事項はビジネス、技術、経済の3つのカテゴリに分類されます。
- ビジネスに関する考慮事項 - DDoSの動向
- 技術的な考慮事項 - DDoS防御のデプロイメントに関する選択肢
- 経済的考慮事項 - 収益性の高いDDoSスクラビングソリューションの展開
この記事では、DDoSスクラビングサービスを展開する前にサービスプロバイダーが検討すべき事項や、企業がプロバイダーから提供されているDDoS対策サービスを選択する際に考慮するべき事項を紹介します。
パート1では、DDoS攻撃の動向やDDoSスクラビングサービスを提供する際に考慮すべき点を、パート2では自動化されたDDoS防御ソリューションにより効果的なDDoSスクラビングサービスを展開する方法をご紹介します。最後となるパート3では、これらの考慮事項がサービスプロバイダーのサービス向上、普及率の向上、加入者のロイヤリティ改善にどのように役立ったかを示すいくつかの事例を紹介します。
効果的で自動化されたDDoS防御ソリューション
DDoSスクラビングサービスを構築する場合は、可能な限り手動による介入を排除することが不可欠です。攻撃者は、自動化の利点を利用しているので、防御側もこれに続くということだけでも意味があります。
タスクフォースの拡充は、DDoS攻撃の増加に対処するための効果的な経済的解決策ではありません。その代わり、DDoS防御ソリューションが、DDoS攻撃を自動的に検知、緩和し、レポートできる必要があります。非常にシンプルな解決策ですが、すべてのDDoS防御ソリューションが、同様の機能を構成できるわけではないということに注意してください。
DDoS防御の主な目的は、以下を確保することにあります。
- 正常ユーザーに対するサービスの継続的な可用性
- サービスとインフラストラクチャの継続的な可用性
この2つの目的は同じように聞こえるかもしれませんが、微妙ながら重要な違いがあります。
正当なトラフィックと不正なトラフィックの両方を無差別に制限するDDoS防御ソリューションは、サービスとインフラストラクチャの継続的な可用性を確保できる可能性はありますが、正当なユーザーのアクセスを常に保証できるとは限りません。
そのため、DDoS防御ソリューションの実装を検討しているサービスプロバイダーは、正常なユーザーとそうでないユーザーを区別できるソリューションを探す必要があります。
このような自動化されたソリューションでは、次のようなマルチモーダルな検知と防御戦略を使用する必要があります。
- 変化し続ける今日の DDoS攻撃に対応できる防御対策を自動的に適用する
- ゼロデイ攻撃パターンの認識と防御
- DDoS攻撃ツールに関する脅威情報を活用し、既知の悪意あるデバイスへの対策を行う
アダプティブ・エスカレーション、ゼロデイ・パターン認識、DDoS攻撃ツールに関する脅威情報
これら3つの機能を持つ完全に自動化された防御システムは、DDoS攻撃からサービスを保護しながら、不正なトラフィックを排除し、正当なユーザーにサービスを提供し続けることができます。防御サイクル全体を通じて、インテリジェントオートメーションは次のようになります。
自動化された DDoS防御
自動化されたDDoS防御により、攻撃の対応時間を大幅に短縮できます。このようなシステムが脅威に対応するスピードは、手動システムのそれをはるかに上回ります。NimbusDDoSの研究では、次のようなことが明らかになっています。
自動化されたDDoS防御により、対応時間を短縮
企業などの組織の37%が、迅速な対応時間を持つ DDoS防御システムを求めています。従って、サービスプロバイダーが、自社のサービスで自動化されたDDoS防御ソリューションを提供できれば、加入者やテナント数が増加する可能性が高くなるでしょう。
収益と差別化されたサービスの拡大
サービスプロバイダーが収益性の高いスクラビングサービスを構築するには、提供しているDDoS対策サービスが次のような機能を提供できる必要があります:
- 攻撃を検知するためのポリシー数が多いこと
- 同時に防御できる数が多いこと
- 差別化されたサービスであること
1筐体でより多くの検知ポリシーと同時防御をサポートできれば、1台でより多くのテナントを収容できることを意味します。これにより、サービスプロバイダーは、より高い収益率を達成することができます。
ただし、複数のテナント収容できるのは、すべての加入者が持っているニーズに合った差別化された DDoS防御サービスを利用できると感じている場合のみです。
特に差別化されたサービスについて忘れてはならないことは、収容するすべてのテナントが異なるビジネスをしているということです。どのテナントも一つとして全く同じレベルのリスク許容度や予算規模、ビジネスモデルを持っていないのです。
そのため、最も成功したDDoS対策サービスは、安価なものからプレミアムなものまで、複数のメニューに分かれているのです。
成功するDDoS防御サービス
このようなサービスメニューを構成することにより、各テナントはよりフレキシブルにサービスを選択することが可能となり、サービスプロバイダーは、より広範囲の加入者にDDoS防御サービスを販売できるようになります。
例えば、DDoSスクラビングサービスを展開した図を見てみましょう。
DDoSスクラビングサービスの図
次の重要な要素に注目してください:
- サービスプロバイダーの環境内で集約されているスクラビングサービス
- 各テナントが自身のネットワークで何が起こっているかを確認できるポータル
- 平常時、トラフィックはインターネットからルーターを介してテナントのサービスに転送されます。Always-onトラフィック場合、トラフィックは、サーバーに到達する前に常にDDoSスクラビングサービスへリダイレクトされます。
- 攻撃防御中、すべてのトラフィックが、テナントのサーバーに到達する前にスクラビングサービスへリダイレクトされます。
この記事は、A10 Networks., IncのDonShinとHeavy Readingのチーフ・アナリスト、Jim Hodgesが最近行ったWebセミナーの内容を基にしており、こちらから無料でその内容を視聴することができます。(英語)
DDoS 対策専用アプライアンス A10 Thunder ®TPSの詳細はこちらからご覧いただけます。