DDoS 対応戦略のコンポーネント
Azure リソースを狙った DDoS 攻撃では通常、ユーザーの観点から必要とされる対応は最小限で済みます。 それでも、インシデント対応戦略の一環として DDoS 軽減を組み込むことで、ビジネス継続性への影響を最小限にできます。
Microsoft の脅威インテリジェンス
Microsoft では、広範な脅威インテリジェンス ネットワークを構築しています。 このネットワークでは、Microsoft のオンライン サービスをサポートする広範なセキュリティ コミュニティ、Microsoft パートナー、およびインターネット セキュリティ コミュニティ内のリレーションシップの集合的知識が使用されます。
Microsoft は、重要なインフラストラクチャ プロバイダーとして、脅威に関する警告を早期に受信します。 Microsoft では、自社のオンライン サービスとグローバルな顧客ベースから脅威インテリジェンスを収集し、 それらすべての脅威インテリジェンスを Azure DDoS Protection 製品に組み込んでいます。
また、Microsoft Digital Crimes Unit (DCU) では、ボットネットに対する攻撃的な戦略を実施しています。 ボットネットは、DDoS 攻撃のコマンドを発する一般的な制御元です。
Azure リソースのリスク評価
継続的に DDoS 攻撃のリスクの範囲を把握することが不可欠です。 次のことを定期的に確認するようにしてください。
パブリックに使用可能な新しい Azure リソースのうち、保護が必要なものはあるか。
サービスに単一障害点はあるか。
どのようにすれば、サービスを分離して攻撃の影響を制限しながら、有効な顧客がサービスを利用できるようにすることができるか。
DDoS Protection を有効にする必要があるのに有効になっていない仮想ネットワークがあるか。
サービスは複数のリージョンをまたがるフェールオーバーについてアクティブ/アクティブになっているか。
アプリケーションの通常の動作を理解し、DDoS 攻撃中にアプリケーションが想定の動作をしなくなった場合の対応を準備することが不可欠です。 クライアントの動作を模倣するビジネスクリティカルなアプリケーションに監視を構成し、関連する異常が検出された場合に通知されるようにします。 アプリケーションの正常性に関する分析情報を得るには、監視と診断のベスト プラクティスに関するセクションを参照してください。
Azure Application Insights は、複数のプラットフォームで使用できる Web 開発者向けの拡張可能なアプリケーション パフォーマンス管理 (APM) サービスです。 Application Insights を使用して、実行中の Web アプリケーションを監視します。 パフォーマンスに異常があると、自動的に検出されます。 組み込まれている分析ツールを使えば、問題を診断し、ユーザーがアプリを使用して実行している操作を把握できます。 Application Insights は、パフォーマンスやユーザビリティを継続的に向上させるうえで役立つように設計されています。
お客様の DDoS 対応チーム
DDoS 対応チームを作成することは、攻撃に効果的かつ迅速に対応するために重要なステップです。 計画と実行の両方を監視する組織内の担当者を確認しましょう。 この DDoS 応答チームは、Azure DDoS Protection サービスのことを完全に理解している必要があります。 チームが内部や外部の顧客 (Microsoft サポート チームを含む) と連携して攻撃を特定し、緩和できる体制にあることを確認してください。
サービスの可用性と継続性に関する計画の一部としてシミュレーション演習を使用することをお勧めします。これらの演習には、スケール テストを含める必要があります。 Azure パブリック エンドポイントに対して DDoS テスト トラフィックをシミュレートする方法については、「シミュレーションを通じてテストする」を参照してください。
攻撃時のアラート
Azure DDoS Protection は、ユーザーの介入がなくても DDoS 攻撃を識別して軽減します。 保護されているパブリック IP に対してリスク軽減がアクティブになった場合に通知を受け取るには、アラートを構成することができます。
どのようなときに Microsoft サポートに問い合わせるか
Azure DDoS Network Protection のお客様は、攻撃中の攻撃の調査と攻撃後の分析を支援する DDoS Rapid Response (DRR) チームと連絡をとることができます。 どのようなときに DRR チームに協力してもらうのがよいかなどの詳細については、「DDoS Rapid Response」を参照してください。 Azure DDoS IP Protection のお客様の場合、Microsoft サポートに連絡するには要求を作成する必要があります。 詳細については、「サポート要求を作成する」を参照してください。
攻撃後の手順
攻撃を受けた後で事後分析を行い、必要に応じて DDoS 対応戦略を調整するのは、常によい戦略です。 また、以下の点を考慮してください。
スケーラブルなアーキテクチャがないため、サービスまたはユーザーのエクスペリエンスに中断が発生したか。
どのアプリケーションまたはサービスが最も影響を受けたか。
DDoS 対応戦略の効果はどの程度で、どうすれば改善できるか。
DDoS 攻撃を受けている可能性がある場合は、通常の Azure サポート チャネルを通じてエスカレートしてください。
次のステップ
- ポータルを使用してメトリック アラートを構成する方法を確認する。
- DDoS Rapid Response (DRR) に参加する方法を確認する。