Comments
Description
Transcript
ホワイトペーパー
F5 DDoSプロテクション・ リファレンス・アーキテクチャ F5は、ますます高度化するアプリケーション層のDDoS攻撃を防御 するためのアーキテクチャの設計、導入、管理についてのガイダンス を、セキュリティ・アーキテクトやネットワーク・アーキテクト向けに 提供しています。 White Paper ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 目次 はじめに 3 DDoSの4つのカテゴリ 3 DDoSプロテクション・ソリューションの構築 3 DDoSプロテクション・アーキテクチャのコンポーネント 4 マルチティアDDoSプロテクション・アーキテクチャ 6 F5の各種コンポーネントとその機能 7 代替のシングルティア・アプローチ 8 DDoSプロテクション・アーキテクチャによる可用性の確保 ティア1 – ネットワーク防御 8 8 ティア2 – アプリケーション防御 10 DNS DDoS攻撃の緩和 11 リファレンス・アーキテクチャの使用例 12 大規模FSIのDDoSプロテクション・リファレンス・アーキテクチャ 13 エンタープライズのDDoSプロテクション・リファレンス・アーキテクチャ 14 SMBのDDoSプロテクション・リファレンス・アーキテクチャ 15 サイジングの仕様 17 まとめ 18 2 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ はじめに 2012 年以降、金融機関とその顧客は次から次へと DDoS 攻撃の被害を受け、金融機関で は DDoS からの保護を含む、ネットワークの再設計を余儀なくされています。F5 は、金融 機関向けにマルチティア DDoS プロテクション・アーキテクチャを開発しました。ティア 1 では、DNS、レイヤ 3 およびレイヤ 4 に対する DDoS を緩和します。ネットワーク攻撃への 対処から解放されたティア 2 では、CPU リソースを使用してより高位のレイヤのアプリケー ション・プロトコルを保護することができます。複数の F5 カスタマデータセンタに導入済 みのこの戦略は、すべての種類の DDoS 攻撃に対して防御することができます。 DDoS の 4 つのカテゴリ 猛烈な勢いで増し続けている DDoS の脅威は、4 つの種類に分類されると F5 は考えてい ます(大量、非対向、演算処理、脆弱性ベース)。これらの攻撃の分類には、以下の特徴 があります。 • 大量̶レイヤ 3、4、または 7 が対象のフラッドベース攻撃 • 非対向̶タイムアウトまたはセッション状態の変化を引き起こす攻撃 • 演算処理̶ CPU とメモリを消費する攻撃 • 脆弱性ベース̶ソフトウェアの脆弱性を利用する攻撃 これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の高い企 業は特定の方法でこれらを導入して、セキュリティの確保に最大限取り組んでいます。この ような企業と連携して各社のコンポーネントの調整を繰り返し、F5 は特定規模や業界要件 を持つデータセンタに対する DDoS を緩和するアーキテクチャを開発してきました。 DDoS プロテクション・ ソリューションの構築 次のアーキテクチャは、定評のあるコンポーネントで構築されたマルチティア DDoS プロテ クション・システムです。一部のデバイスは F5 以外のベンダおよびサプライヤが提供して いますが(ファイアウォールおよびクラウドベースのスクラビングデバイス)、代替製品をお 勧めできない F5 ならではのコンポーネントもあります。 3 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ DDoS プロテクション・アーキテクチャのコンポーネント 表 1 は、4 つのカテゴリの DDoS 攻撃と DDoS アーキテクチャのコンポーネントを対応させ たものです。 攻撃のカテゴリ 攻撃緩和コンポーネント 大量 非対向 演算処理 脆弱性ベース 推奨サプライヤ クラウドベースのスクラビングサービス Prolexic、Verizon、VeriSign Webアプリケーション・ファイアウォール F5 Webアプリケーション・ファイアウォール F5 アプリケーション・デリバリ・コントローラ F5 ネットワーク・ファイアウォール F5 IPレピュテーション・データベース Webroot 侵入検知 /侵入防止システム(IDS/IPS) Sourcefire アプリケーション・デリバリ・コントローラ F5 表 1: DDoS 緩和コンポーネントと攻撃の種類 クラウドベースの DDoS スクラビングサービス 外部のクラウドベースの DDoS スクラビングサービスは、 あらゆる DDoS 緩和アーキテクチャ の重要なコンポーネントです。攻撃者が組織の 1 Gbps 入力ポイントで 50 Gbps のデータを 送信した場合、オンプレミスの装置ではこの問題に対処できません。この問題は、沢山の人 が一度にドアに殺到することに似ています。このクラウドサービスは、実際のパブリックク ラウドまたは組織の帯域サービスプロバイダでホストされ、良好とみられるデータから明ら かな不良データを大まかに仕分けして、問題に対処します。 現在のところ、使用可能な入力帯域幅をすべて消費するほど大量な攻撃はごくわずかですが、 クラウド・サービス・サプライヤとの合意が必要になる可能性は十分あり、ソリューション全 体の中でクリティカルになることがあります。ただし、クラウドベースのスクラビングは、ク ラウド・サービス・ベンダが推奨したとしても適切ではありません。 クラウドベースの DDoS スクラビング サービスを選択する方法 : · 攻撃される前に選びます。攻撃発生 後に支払う料金は倍増します。 · 頻繁に攻撃される業種の場合、定額 の月極めプランを選びます。 · 攻撃の頻度がそれほど高くないと予 測される場合は、攻撃単位で支払い ます。ポリシーは定期的に見直します。 · プロバイダとの交 渉時には、サービ スの毎年テストを認める条件を追加 します。 今日の多くの組織が認識しているように、ハッカーはこれらのクラウドサービスすべてを理 解しています。攻撃対象にサービスのコスト上昇をもたらしたり、クラウドサービスが認識 しないアプリケーションレイヤの攻撃を行います。低速なゆっくりとした攻撃は、クラウド ベースのスクラビングサービスによる検出を回避するのに特に効果があります。また、スク ラビングサービスでは一般的に、トラフィックや Web フォーム POST の暗号化を処理でき ません。 4 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ DDoS 対応ネットワーク・ファイアウォール ネットワーク・ファイアウォールは長い間、境界のセキュリティの要となってきました。しかし、 DDoS 攻撃にはまったく対抗できません。実際、数多く導入されているファイアウォールは、 単純なレイヤ 4 の攻撃でも無効になる可能性があります。ファイアウォールが攻撃を認識し て緩和しなければ、大量のスループット能力では対処できません。 レイヤ 3 および 4 ベースのセキュリティ制御デバイスの場合は、DDoS 対応の大容量ネット ワークデバイスを選択されることをお勧めします。特に、 (数千単位ではなく)数百万の同 時接続をサポートし、正規のトラフィックに影響せずに SYN フラッドを撃退できるデバイス を探してください。 アプリケーション・デリバリ・コントローラ アプリケーション・デリバリ・コントローラは、ネットワークにコントロールの戦略的ポイン トを提供します。選択、プロビジョニングおよび管理を適切に行えば、DDoS への防御を劇 的に強化します。たとえば、フルプロキシの F5 アプリケーション・デリバリ・コントローラは、 HTTP や DNS などの一般的なプロトコルを検証することによって、演算処理および脆弱性ベー スの脅威を軽減します。F5 がフルプロキシのアプリケーション・デリバリ・コントローラをお 勧めするのはこのためです。 DDoS プロテクションが統合されている Web アプリケーション・ファイアウォール この種類の Web アプリケーション・ファイアウォールは、アプリケーションのセキュリティ ポリシーを理解して適用する高レベルのコンポーネントです。このコンポーネントは大量型 の HTTP フラッドでも脆弱性ベースの攻撃でも、アプリケーションレイヤの攻撃を認識して 緩和します。Web アプリケーション・ファイアウォールは複数のベンダが提供しています。 DDoS アーキテクチャの有効性を高めるために、F5 独自の Web アプリケーション・ファイ アウォールをお勧めします。その理由は以下のとおりです。 • F5 の Web アプリケーション・ファイアウォールは、アンチハッキング、Web スクレ イピング保護、PCI 準拠などの追加のサービスを提供します。 • アプリケーション・デリバリ・コントローラと Web アプリケーション・ファイアウォー ルを組み合わせて使用することで、アプリケーション・デリバリとアプリケーション・ セキュリティ・ポリシーを同時に利用できます。 • F5 アプリケーション・デリバリ・コントローラは SSL トラフィックをオフロードお よび検査します。Web アプリケーション・ファイアウォールと組み合わせることで、 SSLL ターミネーションと暗号化されたペイロードのセキュリティ分析を 1 つのデバイ スに統合できます。 5 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 侵入検知 / 侵入防止システム 侵入検知 / 侵入防止システム (IDS/IPS)が DDoS の緩和で担う役割はわずかです。IDS/IPS は (レ イヤ 4 ファイアウォールへの統合など)1 カ所に導入しないことをお勧めします。IDS/IPS は、 データベースや特定の Web サーバなど、追加の特別な保護が必要になるバックエンド・コ ンポーネントの前面にある特定のインスタンスに実装してください。 IP レピュテーション・データベース IP レピュテーション・データベースは、DDoS 攻撃者があとで利用して侵入するために既知 のスキャナを使用してアプリケーションを探るのを防ぐことで、非対向 DoS 攻撃に対する 防御力を高めます。IP レピュテーション・データベースは F5 が推奨する 2 層アーキテクチャ のどちらの層とも連携可能で、内部で生成することも、外部のサブスクリプション・サービ スから利用することもできます。 マルチティア DDoS プロテクション・ アーキテクチャ 高帯域環境には、2 層の DDoS ソリューションをお勧めします。境界上の第 1 層はレイヤ 3 および 4 のネットワーク・ファイアウォール・サービスで構成し、第 2 層への単純なロード SSL ターミネーションや Web アプリケーション・ファ バランシングを組み込みます。第 2 層は、 イアウォール・スタックなど、より高度で CPU 負荷の高いサービスで構成します。 REFERENCE ARCHITECTURE: DDoS Protection CONTENT TYPE: Architecture Diagram AUDIENCE: IT Director/Security Engineer CUSTOMER SCENARIO: Enterprise Data Center 次世代 ファイアウォール ティア2 ティア1 ネットワーク攻撃: CMPフラッド、 UDPフラッド、 SYNフラッド 複数のISP戦略 企業ユーザ 金融サービス SSL攻撃: SSL再ネゴシエーション、 SSLフラッド 正規ユーザ E-コマース ISPa/b DNS攻撃: DNS増幅、 クエリフラッド、 辞書攻撃、 DNSポイゾニング DDoS 攻撃者 クラウド・ スクラビング・ サービス ネットワーク およびDNS HTTP攻撃: Slowloris、 スローPOST、 再帰POST/GET アプリ ケーション サブスクライバ IPS 脅威フィード情報 スキャナ 匿名 プロキシ 匿名要求 ボット ネット 攻撃者 コントロールの戦略的ポイント 図 1: 2 層の F5 DoS プロテクション・リファレンス・アーキテクチャ 6 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ マルチティアアプローチには明確な利点があります。 1. 各層を個別にスケーリングできます。 たとえば、Web アプリケーション・ファイアウォー ルの使用が増えたら、第 1 層に影響を及ぼさずに、第 2 層に別のアプライアンス(ブ レード)を追加できます 2. 各層には異なるハードウェア・プラットフォームを使用できます。バージョン違いのソ フトウェアも使用できます。 3. 新しいポリシーを第 2 層に適用した場合、新しいポリシーの検証が完全に終わるま で、トラフィックの一部だけを第 1 層から第 2 層に転送できます。 F5 の各種コンポーネントとその機能 表 2 は、特定の機能を提供するために必要なコンポーネントを示しています。F5 の DDoS プロテクション・リファレンス・アーキテクチャのコンポーネントは以下のとおりです。 • BIG-IP® Advanced Firewall Manager ™ (AFM) • BIG-IP® Local Traffic Manager ™ (LTM) • BIG-IP Global Traffic Manager ™ (GTM) • BIG-IP Application Security Manager ™ (ASM) 7 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ ティア1 ティア2 F5のコンポーネ ント BIG-IP AFM BIG-IP LTM DNS BIG-IP GTM OSIモデル レイヤ3-4 レイヤ7 BIG-IP ASM およびDNS Express™ 機能 ネットワーク・ファイアウォール SSLターミネーション ティア1ロードバランシング Webアプリケーション・ファイ DNSSEC アウォール BIG-IP LTM IPレピュテーションのブラック リスト 緩和される攻撃 SYNフラッド セカンダリ・ロード・バラン シング DNS DNS解決 Slowloris UDPフラッドDNSフラッド スローPOST NXDOMAINフラッド マルフォームパケット Apache Killer DNSSEC攻撃 TCPフラッド RUDY/Keep Dead 既知の不良アクター SSL再ネゴシエーション ICMPフラッド 表 2: F5 のコンポーネントと DDoS 緩和機能 代替のシングルティア・アプローチ 高帯域環境には 2 層アーキテクチャが推奨されますが、低帯域環境にはマルチティア DDoS プロテ クションは過剰です。そのような環境には、アプリケーション・デリバリにネットワーク /Web アプリ ケーション・ファイアウォール・サービスを統合した、境界用の DDoS 緩和デバイスを導入します。 この場合にもこのドキュメントでお勧めしている方法は有効です。代替アーキテクチャでは、ティア 1 およびティア 2 への参照は統合された単一の層に適用されます。 DDoS プロテクション・アーキテクチャに よる可用性の確保 ティア 1 – ネットワーク防御 第 1 層はネットワーク・ファイアウォール周辺に構築します。SYN フラッドや ICMP フラグメントフラッ ドなどの演算処理攻撃を緩和する設計です。この層は、入力ポイントを輻輳させる大量攻撃も緩和 します (一般的に、 仕様のパイプサイズの 80 ∼ 90%)。F5 のお客様の多くが IP レピュテーション・デー タベースをこの層で統合し、DDoS 攻撃中に IP アドレスを制御します。 8 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 組織によっては、DNS を第 1 層から DMZ の DNS サーバに渡します。この構成では、レイ ヤ 4 のコントロールで、サーバに送信する前に DNS パケットを検証できます。 ティア1:L3-4とDNSの保護 ネットワーク・ ファイアウォール・サービス + ティア2への単純な ロードバランス AFM LTM VIPRIONプラットフォーム + IPインテリジェンス(IPI)モジュール DNSサービス GTM BIG-IPプラットフォーム 図 2: ネットワークレイヤの DDoS 攻撃に対するティア 1 の保護 演算処理の DDoS 攻撃に注目する : TCP 接続フラッドおよび SSL 接続フラッドの緩和 TCP 接続フラッドはレイヤ 4 の攻撃であり、ネットワーク上のステートフルデバイス、特に DDoS 防御機能がないファイアウォールに影響します。この攻撃は各ステートフルデバイス 上にある、フロー接続テーブルのメモリを消費します。このような接続フラッドには、コン テンツが含まれていないことがあります。ティア 1 は、接続を大容量の接続テーブルに吸収 することで、この攻撃を緩和できます。TCP 接続フラッドは、フルプロキシ・ファイアウォー ルで緩和することができます。 SSL 接続フラッドは、暗号化されたトラフィックをターミネートするデバイスを特に攻撃す るように設計されています。SSL 接続は暗号化コンテキストを保持しなければならないため、 メモリを 50,000 ∼ 100,000 バイト消費します。そのため、SSL 攻撃は特に影響が大きい攻 撃と言えます。TCP 接続フラッドと SSL 接続フラッドを緩和するには、容量とフルプロキシ 技術の両方を使用されることをお勧めします。 9 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 表 3 は、F5 ベースのネットワーク・ファイアウォールに関する接続容量の一覧です。 プラットフォーム・シリーズ TCP 接続テーブルサイズ SSL 接続テーブルサイズ VIPRIONシャーシ 12∼144百万 1∼32百万 ハイエンド・アプライアンス 24∼36百万 2.5∼7百万 ミドルレンジ・アプライアンス 24百万 4百万 ローレンジ・アプライアンス 6百万 0.7∼2.4百万 Virtual Edition 3百万 0.7百万 表 3: F5 ハードウェア・プラットフォームの接続容量 ティア 2 – アプリケーション防御 第 2 層にはアプリケーションを識別する CPU 負荷の高い防御メカニズムを展開することを お勧めします。たとえば、ログインウォール、Web アプリケーション・ファイアウォール・ ポリシー、および F5® iRules® を使用する動的なセキュリティ・コンテキストなどのメカニズ ムです。これらのコンポーネントはしばしば、この層でターゲットの IDS/IPS デバイスとラッ クスペースを共有します。 ティア 2 では、通常、SSL ターミネーションも処理します。ティア 1 で SSL をターミネートす る場合もありますが、SSL キーおよびポリシーの機密をセキュリティ境界で維持するため、 この方法は一般的ではありません。 ティア2:L7の保護 WEBアプリケーション・ ファイアフォール・サービス + SSLターミネーション ASM LTM BIG-IPプラットフォーム 図 3: アプリケーションレイヤの DDoS 攻撃に対するティア 2 の保護 10 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 非対向の DDoS 攻撃に注目する : GET フラッドの緩和 再帰 GET および POST は、今日最も有害な攻撃となっています。正規のトラフィックと区 別することが極めて難しいためです。GET フラッドはデータベースやサーバに過大な負荷を かけ、 「フルパイプのリバース」の原因ともなります。F5 の記録では、1 人の攻撃者が 100 Mbps の GET クエリをターゲットに送信して 20 Gbps のデータを引き出した事例があります。 GET フラッドの緩和戦略には以下のものが含まれます。 • ログインウォールの防御 • DDoS 保護プロファイル • リアル・ブラウザ・エンフォースメント • CAPTCHA • リクエスト・スロットリング iRules • カスタム iRules これらの戦略に対する構成と手順については、F5 DDoS の推奨プラクティスに関するドキュ メントに記載しています。これらの各戦略は、ティア 2 で Web アプリケーション・ファイア ウォール・デバイスのスタックを使用することで利用できます。 DNS DDoS の緩和 DNS は、HTTP の後の第 2 のターゲット・サービスです。DNS が中断されると、すべての 外部データセンタサービス(単一のアプリケーションだけではなく)が影響を受けます。こ の重大な単一障害点は、その他の処理能力が十分ではない DNS インフラストラクチャとと もに、DNS が攻撃を受けやすい原因になっています。 クエリフラッドに対する DNS サービスのオーバー・プロビジョニング DNS サービスは、歴史的に処理能力が十分ではありません。DNS デプロイメントの大部分 が処理能力が十分ではなく、小規模から中規模の DDoS 攻撃にも耐えることができません でした。 DNS サービスのパフォーマンスを飛躍的に向上させ、標準の DNS クエリ攻撃に対する回復 (Non-Existent 力を増すため、DNS キャッシュが一般的になりました。攻撃者は NXDOMAIN Domain)と呼ばれる攻撃をするようになり、パフォーマンスに関するキャッシュの利点は あっという間になくなっています。 11 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ これに対処するため、フロントエンドの BIG-IP GTM DNS サービスを、高パフォーマンスの 特別な DNS プロキシモジュール(DNS Express)とともに使用されることをおすすめします。 DNS Express は既存の DNS サーバの前面で、高機能リゾルバとして動作します。ゾーン情 報をサーバから読み込み、各要求を解決するか NXDOMAIN を返します。キャッシュではな いため、NXDOMAIN クエリフラッドでは空にできません。 DNS サービスの配置の検討 DNS サービスを、最初のセキュリティ境界から離して、デバイスセットとして配置することが あります。これは、提供するアプリケーションから DNS を独立させておく方法で行われます。 たとえば、セキュリティ境界の一部がダウンすると、DNS はリクエストをセカンダリ・データ・ センタまたはクラウドに転送します。DNS をセキュリティ層およびアプリケーション層から分 離しておくことは、柔軟性と可用性を最大限に維持するための効果的な戦略です。 複数のデータセンタを持つ大規模企業では、BIG-IP GTM と DNS Express および BIG-IP AFM ファイアウォール・モジュールを組み合わせて、DNS をメインのセキュリティ境界の外 部に置く場合があります。このアプローチの主な利点は、DDoS でティア 1 のファイアウォー ルがオフラインになっても DNS サービスを利用できることです。 DNS が DMZ の内側と外側のどちらにあっても、BIG-IP GTM または BIG-IP AFM が、DNS リクエストが DNS サーバに到達する前に検証できます。 リファレンス・アーキテクチャの使用例 リファレンス・アーキテクチャを使用する一般的な顧客シナリオの例を 3 つご紹介します。 1. 大規模金融サービス機関(FSI)データセンタ 2. エンタープライズ・データ・センタ 3. 中小規模企業(SMB) データセンタ 以下の使用例ごとに、導入シナリオの図、個別の使用例の簡単な説明、そのシナリオでの F5 コンポーネントの推奨されるサイジングを記載しています。追加のサイジング情報につい ては表 7 をご覧ください。 12 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ REFERENCE ARCHITECTURE: DDoS Protection CONTENT TYPE: Product Map AUDIENCE: Security Architect CUSTOMER SCENARIO: Large FSI Data Center 大規模 FSI の DDoS プロテクション・リファレンス・ アーキテクチャ ISPa DDoS攻撃 ネットワーク・ファイア ウォール・サービス + ティア2への単純な ロードバランス AFM パートナ DDoS攻撃 ティア2:L7の保護 ティア1:L3-4とDNSの保護 顧客 Webアプリケーション・ ファイアウォール・ サービス + SSLターミネーション LTM ASM BIG-IPプラットフォーム ISPb 複数の ISP戦略 LTM VIPRIONプラットフォーム + IPインテリジェンス(IPI)モジュール クラウド・ スクラビング・ サービス SSL 再暗号化 DNSサービス ネットワークHSM(FIPS140) GTM 両方の層でのSSLインスペクション BIG-IP Advanced Firewall Manager BIG-IPプラットフォーム BIG-IP Local Traffic Manager BIG-IP Global Traffic Manager BIG-IP Application Security Manager シンプルなビジネスモデル 良 優良 最高 + IP情報 図 4: 大規模な FSI のデータセンタ展開シナリオの F5 DDoS プロテクション FSI のカスタマシナリオ 大規模 FSI データセンタのシナリオは、DDoS に対して成熟した、よく知られている使用例 です。FSI が現在構築しているものです。一般的に、FSI は複数のサービスプロバイダを持っ ていますが、クラウドベースのスクラビングサービスを選んで、これらのサービスプロバイ ダの大量 DDoS サービスの利用を避けることがあります。FSI のデータセンタはスタッフが 少数であることが多いため、次世代ファイアウォールは必要ありません。 FSI は連邦 / 軍以外では最も厳格なセキュリティポリシーを持っています。たとえば、ほぼ すべての FSI は、データセンタ全体でペイロードを暗号化しています。FSI は価値が最も高 い情報資産クラス(銀行口座)をインターネット上に持っているため、高い頻度で攻撃の対 象になります。DDoS だけではなくハッキングの対象にもなります。2 層のアーキテクチャで は、ティア 1 への投資とは切り離して、ティア 2 で CPU 負荷の高い包括的なセキュリティポ リシーを拡張できます。 この使用例では、既存のセキュリティ設備を維持(活用)しながら、DDoS に耐えられる ソリューションを作成できます。ティア 1 のファイアウォールは機能したまま、ティア 2 の BIG-IP ASM がセキュリティ侵害を防ぎます。 13 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 場所 F5の装置 ティア1 VIPRIONシャーシ(ペア) VIPRIONアドオン: BIG-IP AFM ティア2 ミドルレンジBIG-IPアプライアンス ライセンスアドオン: BIG-IP ASM DNS ミドルレンジBIG-IPアプライアンス(ペア) 表 4: FSI のカスタマ導入シナリオに対する推奨サイジング エンタープライズの DDoS プロテクション・リファレンス・ アーキテクチャ REFERENCE ARCHITECTURE: DDoS Protection CONTENT TYPE: Product Map AUDIENCE: Security Architect CUSTOMER SCENARIO: Enterprise Data Center 次世代 ファイアウォール 顧客 ISPa DDoS攻撃 パートナ DDoS攻撃 ISPb ISPが大量 DDoSサービスを 提供 ティア1: L3-4とDNSの保護 ティア2: L7の保護 ネットワーク・ ファイアウォール・サービス + DNSサービス + ティア2への単純なロードバランス Webアプリケーション・ ファイアウォール・サービス + SSLターミネーション BIG-IPプラットフォーム 両方の層で SSLを 検査可能 従業員 ユーザが発信保護に NGFWを活用 BIG-IPプラットフォーム + IPインテリジェンス (IPI)モジュール クラウド・ スクラビング・ サービス BIG-IP Advanced Firewall Manager BIG-IP Local Traffic Manager BIG-IP Global Traffic Manager BIG-IP Access Policy Manager BIG-IP Application Security Manager シンプルなビジネスモデル 良 優良 最高 + IP情報 図 5: エンタープライズのデータセンタ展開シナリオの F5 DDoS プロテクション エンタープライズのカスタマシナリオ エンタープライズのアンチ DDoS シナリオは大規模 FSI のシナリオと似ています。主な違いは、 エンタープライズではデータセンタ内にスタッフがおらず、次世代ファイアウォール(NGFW) のサービスが必要な点です。入力 / 出力両方に単一の NGFW を使用することが一般的で すが、そのため、DDoS 攻撃に脆弱です。もう 1 つの違いは、エンタープライズはしばしば インターネット・サービス・プロバイダ(ISP)が提供する大量 DDoS サービスを使用する点 です。 14 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ 推奨されるエンタープライズ・アーキテクチャでは、入力アプリケーション・トラフィックと は別のパスに小規模の NGFW を組み込みます。2 つの層を使用するため、エンタープライ ズは非対向スケーリングを利用できます。ティア 2 の CPU が高額な場合は、BIG-IP ASM を追加する方法があります。 業種や会社が異なれば、要件も変わります。エンタープライズ・アーキテクチャでは、両方 の層で F5 装置を使用することで、SSL トラフィックを復号化する(および必要に応じて再暗 号化する)最適な場所を選択できます。たとえば、ティア 1 で SSL を復号化し、高度な脅威 を監視するネットワークタップに復号化したトラフィックをミラーリングすることができます。 場所 F5の装置 ティア 1 ハイエンドBIG-IPアプライアンス(ペア) ライセンスアドオン: BIG-IP AFM ミドルレンジBIG-IPアプライアンス ティア2 ライセンスアドオン: BIG-IP ASM ミドルレンジBIG-IPアプライアンス(ペア) DNS 表 5: エンタープライズのカスタマ導入シナリオに対する推奨サイジング REFERENCE ARCHITECTURE: DDoS Protection CONTENT TYPE: Product Map AUDIENCE: Security Architect CUSTOMER SCENARIO: Small Business Data Center SMB の DDoS プロテクション・リファレンス・アーキテクチャ 次世代 ファイアウォール L3-7とDNSの保護 顧客 ISPa DDoS攻撃 パートナ DDoS攻撃 従業員 ユーザが発信保護に NGFWを活用 ネットワーク・ファイアウォール・サービス + DNSサービス + Webアプリケーション・ ファイアウォール・サービス + コンプライアンス制御 ISPb ISPが大量 DDoSサービスを 提供 BIG-IPプラットフォーム BIG-IP Advanced Firewall Manager BIG-IP Local Traffic Manager BIG-IP Global Traffic Manager BIG-IP Access Policy Manager シンプルなビジネスモデル 良 優良 最高 BIG-IP Application Security Manager 図 6: 中小規模企業のデータセンタ導入シナリオの F5 DDoS プロテクション 15 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ SMB のカスタマシナリオ SMB のデータセンタの使用例では、セキュリティを提供しつつ統合することがすべてであり、 投資の価値を最大限に高めることが非常に重要です。1 つのデバイスをできる限り機能さ せ、DDoS 攻撃を受けた場合はオフラインにすることを望んでいます。 この使用例では、1 つの資産に投資を集中します。最もコスト効率に優れたソリューション を導入しますが、可用性の最大化が課題となります。たとえば、BIG-IP ASM でポリシーを 発行する場合、またはアプリケーションの可視化およびレポート機能がトラフィックに追い つかない場合、デバイス全体の機能が停止します。 ただし、大規模な 2 層アーキテクチャをサポートするスタッフがいない小規模組織では、1 層のアーキテクチャでリスクを軽減できます。担当するスタッフが 1 つのプラットフォームの 知識を深めていくことで効率を高めます。F5 は拡張性とパフォーマンスに優れた高可用性 システムを、リスクの低減を支援するワールドクラスのサポートとともに提供しています。 シングルティア・アーキテクチャの最大の利点は費用の節約です。優れた DDoS ソリューショ ンを既存の設備で活用し、日常の業務で収益を創出するアプリケーションを提供します。 統合された環境は、ラックスペース、電力管理、およびその他のさまざまなコストの節約 を支援します。 場所 F5の装置 シングルティア ミッドエンドからハイエンドのBIG-IPアプライアンスペア ライセンスアドオン: BIG-IP GTM ライセンスアドオン: BIG-IP ASM ライセンスアドオン: BIG-IP AFM ライセンスアドオン: BIG-IP APM 表 6: SMB のカスタマ導入シナリオに対する推奨サイジング 16 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ サイジングの仕様 表7は、スケーリング・リクエストを満たすためのF5の多様なハードウェアデバイスの仕様です。 スループット SYNフラッド SYNフラッド (1秒あたり) VIPRION 2400 4ブレード シャージ ICMP フラッド HTTPフラッド SSLフラッド (JavaScript リダイレクト) (2 万以上の攻撃 要求) TCP 接続 SSL 接続 160 Gbps 196百万 100 Gbps 350,000* RPS 16,000 TPS 48百万 10百万 80 Gbps 80百万 56 Gbps 175,000* RPS 16,000 TPS 36百万 7百万 40 Gbps 40百万 32 Gbps 131,000 RPS 16,000 TPS 24百万 4百万 40百万 32 Gbps 131,000 RPS 16,000 TPS 24百万 4百万 10200V アプライアンス ハイエンド・ア プライアンス 7200V アプライアンス ミドルレンジ・ アプライアンス 5200v アプライアンス 30 Gbps ローレンジ・ア プライアンス 表7: DDoS保護のためのF5ハードウェアの仕様.特定の推奨サイジングについては、使用例のセクションをご覧ください。 17 ホワイトペーパー F5 DDoSプロテクション・リファレンス・アーキテクチャ まとめ DDoS プロテクション・リファレンス・アーキテクチャの推奨事項では、F5 がお客様とともに DDoS 攻撃の対策に長年取り組んできた経験を活用しています。中小規模企業は統合的なアプロー チに勝機を見出しています。グローバル金融サービス機関は、推奨されている 2 層アーキテクチャ が、すべてのセキュリティ・コントロールの理想的な配置であると考えています。エンタープライ ズ企業でも、このアーキテクチャでセキュリティ・コントロールを再配置、再構築しています。2 層の DDoS プロテクション・アーキテクチャは、今日の DDoS の脅威に対抗するために必要な柔 軟性と管理性を継続して提供し、将来を予測可能にする必要があります。 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 TEL 03-5114-3210 FAX 03-5114-3201 西日本支社 〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階 TEL 06-7222-3731 FAX 06-7222-3838 www.f5networks.co.jp © 2013 F5 Networks, Inc. All rights reserved. F5、F5 Networks 、F5 のロゴは、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。これらの仕様はすべて予告なく変更さ れる場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。 WP-SEC-13307-ddos-protection 1013