Microsoft サービス拒否防御戦略
サービス拒否防御の戦略
ネットワークベースの分散型サービス拒否 (DDoS) 攻撃から防御する Microsoft の戦略は、グローバルフットプリントが大きいために固有であり、Microsoft は他のほとんどの組織では利用できない戦略と手法を利用できます。 さらに、Microsoft は、広範な脅威インテリジェンス ネットワーク (Microsoft パートナーや広範なインターネット セキュリティ コミュニティを含む) によって集計された集合的な知識に貢献し、そこから引き出します。 このインテリジェンスは、オンライン サービスと Microsoft のグローバル顧客ベースから収集された情報と共に、Microsoft のすべてのオンライン サービスの資産を保護する Microsoft の DDoS 防御システムを継続的に改善します。
Microsoft の DDoS 戦略の基礎は、グローバルプレゼンスです。 Microsoft は、インターネット プロバイダー、ピアリング プロバイダー (パブリックおよびプライベート)、および世界中の民間企業と連携しています。 この取り組みにより、Microsoft は大規模なインターネットプレゼンスを提供し、Microsoft は大規模な領域にわたる攻撃を吸収できます
Microsoft のエッジ容量が時間の経過と同時に増加するにつれて、個々のエッジに対する攻撃の重要性は大幅に低下しています。 この減少により、Microsoft は DDoS 防止システムの検出と軽減コンポーネントを分離しました。 Microsoft は、エッジ ノードでグローバルな軽減策を維持しながら、飽和ポイントに近い攻撃を検出するために、リージョン データセンターに多層検出システムをデプロイします。 この戦略により、Microsoft サービスが複数の同時攻撃を処理できるようになります。
DDoS 攻撃に対して Microsoft が採用する最も効果的で低コストの防御の 1 つは、サービス攻撃の対象領域を減らすことです。 不要なトラフィックは、データをインラインで分析、処理、スクラブするのではなく、ネットワーク エッジで削除されます。
パブリック ネットワークとのインターフェイスでは、ファイアウォール、ネットワーク アドレス変換、IP フィルタリング機能に特殊な目的のセキュリティ デバイスが使用されます。 Microsoft では、グローバル等コスト マルチパス (ECMP) ルーティングも使用します。 グローバル ECMP ルーティングは、サービスに到達するための複数のグローバル パスがあることを確認するためのネットワーク フレームワークです。 各サービスへのパスが複数ある場合、DDoS 攻撃は攻撃の発生元のリージョンに制限されます。 エンド ユーザーは他のパスを使用してそれらのリージョンのサービスに到達するため、他のリージョンは攻撃の影響を受けません。 また、Microsoft は、フロー データ、パフォーマンス メトリック、その他の情報を使用して DDoS 攻撃を迅速に検出する内部 DDoS 相関および検出システムも開発しました。
クラウド サービスをさらに保護するために、Microsoft は、Microsoft Azure の継続的な監視と侵入テスト プロセスに組み込まれている DDoS 防御システムである Azure DDoS Protection を使用しています。 Azure DDoS Protection は、外部攻撃だけでなく、他の Azure テナントからの攻撃にも耐えられるように設計されています。 Azure では、SYN Cookie、レート制限、接続制限などの標準的な検出と軽減手法を使用して、DDoS 攻撃から保護します。 自動化された保護をサポートするために、ワークロード間の DDoS インシデント対応チームは、チーム全体の役割と責任、エスカレーションの基準、影響を受けるチーム全体のインシデント処理のプロトコルを特定します。
ターゲットに対して開始されるほとんどの DDoS 攻撃は、 オープン システム相互接続 (OSI) モデルのネットワーク (L3) およびトランスポート (L4) レイヤーにあります。 L3 層と L4 層に対する攻撃は、ネットワーク インターフェイスまたはサービスに攻撃トラフィックをあふれさせ、リソースを圧倒し、正当なトラフィックに対応する機能を拒否するように設計されています。 L3 および L4 攻撃から保護するために、Microsoft の DDoS ソリューションでは、データセンター ルーターからのトラフィック サンプリング データを使用して、インフラストラクチャと顧客のターゲットを保護します。 トラフィック サンプリング データは、ネットワーク監視サービスによって分析され、攻撃を検出します。 攻撃が検出されると、自動防御メカニズムが開始され、攻撃を軽減し、ある顧客に向けられた攻撃トラフィックによって、他のお客様のネットワーク品質が損なわれないようにします。
Microsoft では、DDoS 防御にも攻撃的なアプローチを取っています。 ボットネットは、攻撃を増幅し、匿名性を維持するために DDoS 攻撃を実行するためのコマンドと制御の一般的なソースです。 Microsoft Digital Crimes Unit (DCU) は、ボットネットの規模と影響を軽減するために、マルウェアの配布と通信インフラストラクチャを特定、調査、中断することに重点を置いています。
アプリケーション レベルの防御
Microsoft のクラウド サービスは、アプリケーション レベルの DDoS 攻撃から保護するのに役立つ高負荷をサポートするために意図的に構築されています。 Microsoft のスケールアウト アーキテクチャは、関連するワークロードのリージョン分離とワークロード固有の調整機能を使用して、複数のグローバル データセンターにサービスを分散します。
サービスの初期構成時に顧客の管理者が識別する各顧客の国または地域は、その顧客のデータのプライマリ ストレージの場所を決定します。 顧客データは、プライマリ/バックアップ戦略に従って冗長データセンター間でレプリケートされます。 プライマリ データセンターは、アプリケーション ソフトウェアと、ソフトウェアで実行されているすべての主要な顧客データをホストします。 バックアップ データセンターでは、自動フェールオーバーが提供されます。 何らかの理由でプライマリ データセンターが機能しなくなった場合、要求はバックアップ データセンター内のソフトウェアと顧客データのコピーにリダイレクトされます。 お客様のデータは、いつでもプライマリまたはバックアップ データセンターで処理できます。 複数のデータセンターにデータを分散すると、1 つのデータセンターが攻撃された場合に影響を受ける領域が減少します。 さらに、影響を受けるデータセンター内のサービスをセカンダリ データセンターにすばやくリダイレクトして、攻撃中の可用性を維持し、攻撃が軽減されたらプライマリ データセンターにリダイレクトできます。
DDoS 攻撃に対するもう 1 つの軽減策として、個々のワークロードには、リソース使用率を管理する組み込み機能が含まれます。 たとえば、Exchange Online と SharePoint Online の調整メカニズムは、DDoS 攻撃から防御するための多層アプローチの一部です。
Azure SQL Database には、IP アドレスに基づいて失敗したサインイン試行を追跡する DoSGuard というゲートウェイ サービスの形式でセキュリティの追加レイヤーがあります。 同じ IP からのサインイン試行の失敗のしきい値に達した場合、DoSGuard は所定の時間アドレスをブロックします。