Comments
Description
Transcript
大規模環境向けDDoS防御ソリューション のミチゲーション能力
利点 大規模環境向けDDoS防御ソリューション のミチゲーション能力 近年では、今までになく容易に、また安価に、利益や顧客の損失、サービス可用性の低下、 会社の信頼の損失、機密データの窃取などの被害をもたらすような大規模なDDoS攻撃を 仕掛けることができるようになっています。ボットネットの貸出し増加や高度な攻撃増幅技術 の発達により、かつては数百Mbps程度だったDDoS攻撃が、今では数千Gbpsへと進化して います。近年のDDoS攻撃に対応でき、かつ、将来出てくる可能性のあるパフォーマンス面 への要求に応えることのできる拡張可能なDDoSミチゲーションソリューションの導入が今ま で以上に重要視されています。NSFOCUS DDoS防御ソリューションは、大企業、ホスティン グ会社、クラウドおよびサービスプロバイダにおける現在そして未来のニーズに合った最適 なパフォーマンスを可能にするスケーラブルアーキテクチャを採用しています。 NSFOCUS DDoS防御ソリューションを支える3つの要素: ネットワークトラフィックアナライザ―(NTA) 利益や顧客の損失、信頼を 失うといった被害、サービス 可用性への影響、機密 データの盗用などに対する 懸念を払しょく 運用コストを低減し、貴重な ITセキュリティ担当者を解 放 重要な特長 • 業界最先端の正確さ 悪意のあるトラフィックを フィルタリングし、正規トラ フィックのみがお客様のイ ンフラに到達 • スケーラブルアーキテクチャ いかなる規模の環境に対 応するスケーラブルアーキ テクチャのインランまたは アウトオブパス配置 悪意のあるトラフィックを識別する脅威検知アプリケーション Anti-DDoSシステム(ADS) 不要かつ悪意のあるトラフィックを排除するミチゲーションアプリケーション Anti-DDoSシステムマネージャ(ADS-M) サービスプロバイダ、ホスティングプロバイダ、クラウドおよび大企業向けデータセンタ用に設計されたマルチテナ ント型管理システムです。ADSおよびNTAアプライアンスの集中管理を行うとともに、顧客ごとに複数ある個別設 定やレポーティングドメインのサポートを行います。また、これらシステムは、最も過酷なネットワーク条件下におい てでも、いかなる執拗な脅威に耐えうる実質的に無制限なDDoSミチゲーション能力を発揮します。 ソリューションアーキテクチャお よびオペレーション 本ソリューションは10Gbps以上のDDoSミチ ゲーション能力を必要とするネットワーク環境向 けに開発されています。 分散型のアーキテクチャを採用すること で、DDoSミチゲーション、脅威の検知および集 中管理を分離して実行し、それぞれの役割ごと に調整を行います。クラスタおよびアウトオブパ スモードでの配置により、数百Gbpsおよびそれ 以上のミチゲーション能力を発揮することがで きます。 Out-of-path Traffic Diversion • マルチテナント・集中管 理特定ドメインのコンフィグ レーションとポリシーを簡 略化されたマネージド DDoSサービスへロギング とレポート • 多層防衛 ネットワーク、アプリケー ション、Webアプリケーショ ンセキュリティは最新の DDoS攻撃に対応するよ うに設計 本ソリューションの中核であるNTAは、境界およびコアルータからのxFlow統計を受信し、解析することでネットワークア クティビティを監視します。複数のアルゴリズムおよびその他メカニズムを搭載した革新的なマルチステージDDoS検知 エンジンが正確に悪意のあるトラフィックを識別します。RFCチェック、プロトコル解析、アクセスコントロールリスト、IPレ ピュテーション、アンチスプーフィング、L4からL7までのアルゴリズム解析、ユーザのふるまい解析、正規表現および接 続/レート制限などが実施されます。また、本アプライアンスは、既知およびゼロデイ攻撃による脅威からの防御を可 能にする業界最先端の正確性を誇ります。この検知エンジンは頻繁に最適化されるため、お客様に可能な限り最も正 確な防御を提供することができます。 ADSシステムは、NTAの指示の下、境界ルータと連動してトラフィックをダイバージョンし、次に悪意のあるフローをフィ ルタリングしたのち、正規トラフィックをお客様のネットワークに転送します。複数のADSシステムをクラスタし、本ソ リューションの全体的なミチゲーション能力を向上させることが可能です。 ADS-Mは、集中設定、管理およびレポーティング を行います。マルチテナント型モードで構成可能で 顧客毎の個別の管理ドメインの提供を行い、 お客様独自の環境のための自動プロビジョニング およびレポートを行う柔軟なwebサービスAPIを 含みます。ネットワークオペレータは、ADS-Mを 使用して、トラブルシューティングおよびインシデント レスポンスタイムを短縮するために連動する ADSシステムからキャプチャしたパケットの誘導 および収集を行うことが可能です。 広範囲のレポートオプションには、攻撃タイプ、 攻撃の標的、プロトコル、アラート、ネットワーク ステータス、アラート情報、デバイスログ等の 情報が表記されます。ADS-Mは、最大60,000フロー/秒の環境をサポートすることのできる一体型管理および脅威検 知ソリューションを提供するDDoS検知ソフトウェアモジュール(オプション)をサポートしています。 業界最先端の正確性および高速脅威検知 DDoS防御ソリューションは、世界的に認識された研究機関による最新のインテリジェンスを取り入れ、10年以上に渡っ て世界最大の銀行、通信事業者、ゲームおよびソーシャルメディアの運営会社を防御してきた実績を基に開発されま した。NSFOCUS研究所(NSRI)は、サイバーセキュリティ研究所および脅威レスポンスセンターであり、脆弱性アセスメ ント、脅威の検知およびミチゲーションに関する研究を行う最先端の研究機関です。弊社研究所での成果と、世界をけ ん引する技術力とを掛け合わせた結果、早ければ20秒で高度なマルチレイヤDDoS攻撃を正確に検知することのでき る業界最先端のソリューションを生み出すことができました。そして、本ソリューションはネットワーク状況を素早く変化 させながら、多様なソースから得た新たな情報に素早く対応することができます。 スケーラビリティ ADSシリーズは、1Gbpsから320Gbpsのミチゲーション能力を搭載したモデルを各種揃えています。NTAまたはADS-M アプラインスと共に導入し、システム同士をクラスタすることで、いかなる大容量な攻撃やアプリケーションレイヤDDoS 攻撃にも耐えることが可能になります。 マルチテナント型の集中管理 ADS-Mは、マルチテナント型構成のインターフェースを提供することで、マネージドDDoSサービスの管理および監視を 簡素化します。サービスプロバイダは、お客様独自のポリシーやレポート(たとえば、日/週/月/年毎の円グラフ、棒グ ラフ、線グラフなど)を提供することができます。また、リアルタイムのトラフィック監視、ログ情報および事件発生後の フォレンジック解析のための詳細な攻撃履歴なども表記することができます。 簡単な配置と統合 ADSは通常ネットワークの入口に配置され、NTAやADS-Mアプラインスはネットワーク内の任意の位置にインストール することができます。ADSは、標準のルーティングプロトコルを使用して他のルータと通信を行い、疑わしいトラフィック をリダイレクトし、正規フローをネットワークに戻します。ADS-Mの柔軟なwebサービスAPIは、時間のかかるタスクを自 動化するために使用されるプログラミングインターフェースの提供によって、ネットワークとシステムとの統合を容易に します。NSFOCUS DDoS防御ソリューションは、近年の高度かつ進化し続ける脅威に対する理想的なソリューションで す。高い拡張性と、大企業やサービスプロバイダの環境化における現在そして将来のニーズに対応できるよう最適化 されたパフォーマンスを誇ります。また、アプライアンスは簡単に設置ができ、柔軟かつマルチテナント型構成のイン ターフェースを提供することで、大規模なマネージドDDoSサービスの設定および管理を容易に行うことが可能になりま す。 NSFOCUSハイブリッドDDoS防御ソリューション 企業の多くが、ハイブリッドアプローチを活用してDDoS攻撃からの影響を回避しています。このアプローチで は、NSFOCUSのオンプレミス防御とオンデマンドのNSFOCUSクラウドDDoS防御ソリューション(DPS)を組み合わ せています。この2つの手法を組み合わせることで本ソリューションは、オンプレミスで小規模/短い攻撃を防御 し、もう一方でクラウドを使用して帯域消費型のDDoS攻撃からインフラを防御することができます。この2つの防 御を完全に一体化することで、帯域幅の可視性の向上、ミチゲーション時のクラウドのリダイレクト時間の削減お よびL3からL7までのDDoS攻撃ベクトルの完全網羅を実現します。 ソフトウェアの仕様 NTA • フロー監視 - sFlow-v4/v5, Netflow-v5/v9, NetStream-v5, Flexible Netflow, IPFIX • DDoS攻撃検知 - SYN/ACK/UDP/ICMP/IGMP/HTTP/HTTPS/DNS/ Land/SIP floods、TCP flag misuse、flag null、プライ ベートIP、異常なトラフィック、アラート閾値の自己学 習、IPグループインバウンド/アウトバウンド攻撃トラ フィック、ビジネスドメインおよびリージョンインバウン ド/アウトバウンド攻撃トラフィック • ADSトラフィックダイバージョン - トラフィック量に応じてルータにダイバージョン通知を送信 • 管理インターフェースおよびレポート - SNMP GET/Trap、syslog、Email、フローデータ転送 ADSシリーズ • DDoS防御 - 大容量の攻撃、アプリケーション攻撃およびwebアプ リケーション攻撃に対する包括的なマルチレイヤ防御 - -TCP、UDP、HTTP、ICMP、NTP、DNS、SIP、フラグメ ント、フラッド、接続枯渇、ヘッダ操作などを含むマル チプロトコルサポートおよび高度な検査 • DDoS検知およびミチゲーションアルゴリズム - RFCチェック、プロトコル解析、アクセスコントロー ルリスト、IPレピュテーション、アンチスプーフィン グ、L4からL7のアルゴリズム解析、ユーザのふるま い解析、正規表現および接続/レート制限 - 既知およびゼロデイ攻撃に対する脅威からの防御 • 管理 - プロトコル: HTTP、SNMP、Email、Syslog - 認証: ローカルデータベース、Radius、TACACS+ - API: レポートおよび自動設定のためのwebサービ ス • IPプロトコル - アドレス: IPv4/v6 - ルーティング: BGP、OSPF、RIP、IS-IS、静的ルー ティングおよびPBR - データリンクおよびネットワークレイヤ: MPLS、GRE、VLAN (802.1q) • レポート - 攻撃タイプ、ソース/宛先IPなどを掲載したリアルタ イムおよび履歴レポート - フォーマット: XML、PDF、HTMLおよびMicrosoft Word - フォレンジックおよびコンプライアンスイニシアチブの ためのWebサービスAPI ADS-M • 集中管理および設定 - デバイス: 追加、削除および設定 - マルチテナント型 - セキュリティポリシー - 高可用性 - ADSクラスタリング • レポート - 攻撃イベント、攻撃サマリ、トラフィックトレンド - 拡張ログ: 攻撃サマリ、トラフィックアラート、パ フォーマンス、リンクステート、認証アクティビティ • 役割ベースの管理認証 -管理者、スーパーバイザおよびユーザ ハードウェアの仕様 NSFOCUSジャパン株式 会社 〒101-0041 東京都千代田区神田須 田町1-26高野ビル7階 03-6206-8156 www.nsfocusglobal.com ADS-M NTA ハードウェア ADS-M 1600E Hardware NTA 2000E インターフェース 2*USB ports 2*GE management interfaces 4-port GE copper, 4-port GE fiber SFP, 2*NIC extension slot Single 2T hard disk インターフェース 1* RJ45 serial port, 2* USB2.0 interface,2* RJ45 mgt. interface, 4*GE copper port, 4* GE SFP fiber port 寸法(WxDxH) 17.0”x22.6”x3.5” 2 RU 寸法(WxDxH) 17”x20”x3.5” 2 RU 重量 35.27 lbs (16kg) 重量 36.6 lbs (16.6 kg) 環境 動作環境: 32-113° F (0-45° C) 保管環境: -4-149° F (-20-65° C) 環境 動作環境: 32-113° F (0-45° C) 保管環境:-4-149° F (-20-65° C) 電源 ACデュアル電源(350W total) 電源 AC Dual Power Supply (350W total) 50,000 flows/sec フロー接続の キャパシティ 120,000 ows/sec (オプションのNTAライセンス) フロー接続の キャパシティ (オプションのNTAライセンス) 監視ルータの最大管理数 20 50 監視ルータインター フェースの最大管理数 1,000 最大リージョン数 1024 MTBF 60,000 時間 最大IPアドレス/ リージョン数 65,535 MTBF 60,000 時間 管理デバイスの最大数 ADS40台 NTA20台 最大同時ユーザ数 ADSシリーズ ハードウェア ADS 8000 ADS 6025 ADS 4020 ADS 2020 ミチゲーション能力 40 Gbps* 29,760,000 pps 20 Gbps* 14,880,000 pps 10 Gbps 8,928,000 pps 4 Gbps 2,976,000 pps インターフェース 8x10GE (SFP+) 4x10GE (SFP+) or 4x10GE (SX fiber) 16xGE (copper) または 16xGE (SX ber) または 12xGE (SFP) または 4x10GE (SFP+) または 4x10GE (SX ber) または 2x10GE(SX ber) および 8xGE(SX ber) or 2x10GE (SFP+) および 8xGE(SFP) 4xGE (copper) または 4xGE (SX ber) および 4xGE (copper) 寸法(WxDxH) 24.7”x17.4”x3.5” 2 RU 22.6”x17”x3.5” 2 RU 重量 36.49 lbs (16.55 kg) 24.25 lbs (11 kg) 環境 動作環境: 41-104° F (5-40° C) 環境:14-158° F (10-70° C) 動作環境: 32-104° F, (0-40° C) 保管環境: -4-176° F, (-20-80° C) 電源 ACデュアル電源 (500W total) ACデュアル電源(350W total) MTBF 45,000 時間 DOCUMENT NUMBER 01062016