2022年版DDoS脅威インテリジェンスレポートからひも解く、DDoS攻撃対策。本ブログでは近年の攻撃傾向に対して有効な対策方法をA10ネットワークスのDDoS対策ソリューションを交えて3回にわたって解説します。
パート1では、近年のDDoS攻撃の傾向から「攻撃耐性の強化」と「未知の脅威への準備」が必要であることを解説しました。パート2である本編では「攻撃耐性の強化」に焦点を当ててA10ネットワークスのソリューションを紹介します。
2.1. 攻撃耐性の強化
A10 Thunder TPSは、大手サービスプロバイダやオンラインゲーム会社で多くの実績を持つDDoS攻撃対策ソリューションです。AI/機械学習を活用し、DDoS攻撃を検知・緩和することで、ネットワークを大規模なDDoS攻撃から保護します。A10 Thunder TPSは様々なプラットフォームにて提供していますが、ハードウェアアプライアンスの最新フラッグシップモデルA10 Thunder 7655S TPSでは、380 Gbpsのスループット(ソフトウェアスクラビング)、1.2 Tbpsのハードウェアブロッキング性能を誇ります。このモデルは、A10ネットワークス独自のハードウェアアクセラレーション(SPE: Security and Policy Engine)を搭載したモデルで、SPEにて不正トラフィックを遮断することができ、CPUへの負荷を軽減します。
通信キャリアやサービスプロバイダ、クラウドプロバイダが提供するサービスにとって、DNSサーバは、その基盤です。DNSサーバがダウンしてしまうと、同じDNSを参照している全サービスがアクセス不能になってしまい、その影響は甚大です。過去には一般のニュースでも取り扱われるような障害となった例もあります。
そのような重要なDNSサーバを、A10 Thunder TPSのハードウェアアプライアンスによるNon-Stop DNSが強力に守ります。こちらは、DNSサーバへのDDoS攻撃に対応すべく開発したもので、オリジナルの権威DNSサーバの代わりとしてA10 Thunder TPSのハードウェアアプライアンスがやはり権威DNSサーバとして動作します。モデルにもよりますが、3,500万qps(query per second)の処理能力を誇ります。また、Non-Stop DNS は、BINDベースではなくA10独自のDNSサーバを用いているため、システム全体での実装の多様性、という視点でも有用です。
攻撃耐性としては、単なる攻撃トラフィックの処理能力だけを指すのではなく、攻撃検知から対策実施までに要する時間を短くすることも重要だと考えます。その点においても、A10ネットワークスは様々な機能を備えています。
A10 Thunder TPSは、DDoS攻撃を検知する機能とDDoS攻撃のトラフィックを緩和(Mitigation)する機能を有しており、検知機能だけを独立して用いることもできます。それぞれ aGalaxy(A10ネットワークス の管理アプライアンス製品)と連携が可能で、aGalaxyにてDDoS攻撃状況の監視や、個々のハードウェアまたは仮想アプライアンスで処理されたコネクション数を確認できます。状況のモニタリングだけでなくセキュリティを含めた総合的な分析が行え、豊富なポリシー設定と閾値設定により、管理者はトラフィックを細かく規制したり不審なふるまいをブロックしたりすることができます。aGalaxyをオーケストレータとして配置し、A10 Thunder TPSのDDoS攻撃検知機能とDDoS攻撃緩和機能とを連携させることによって、検知から対策までを自動化することができるのです。このことは、対策までの時間を大幅に短縮します。
サービスプロバイダ向けにaGalaxyのオーケストレータ機能を拡張するものとしてSubscriber Portal機能があります。これは、aGalaxyが行う可視化やレポーティング機能をサブスクライバ(サービスの利用者グループ。テナント)ごとに提供するマルチテナント機能です。Subscriber PortalとaGalaxyが連携することで実現しています。サービスプロバイダのサービス利用者は、あるサブスクライバ(テナント)に紐づけられ、自分に割り当てられた防御対象の現状やインシデントのレポートを見ることができます。サービスプロバイダには、テナント毎のポータルWebサイトが提供されます。
A10 Thunder TPSはMicrosoft Azure上でも利用できます。クラウド上でトラフィックスクラビングを実施でき、AzureのGateway Load Balancerに対応させることで、Azure DDoS Protection Standardを補完する形でA10 Thunder TPSが持つ高度なDDoS緩和機能を利用することができます。クラウド事業者でのDDoS対策サービスとしての展開にも利用しやすくなっています。
<< パート1:2022年版 DDoS脅威インテリジェンスレポートから見る近年の攻撃傾向
パート3:DDoS攻撃対策に必要な、未知の脅威への準備 >>