Comments
Description
Transcript
ホワイト ペーパー: DDoS防御 リファレンスアーキテクチャ
F5 DDoS防御 リファレンスアーキテクチャ F5は、高度化するアプリケーション層のDDoS攻撃を防御するた めのアーキテクチャの設計、導入、管理についてのガイダンス を、セキュリティ アーキテクトやネットワーク アーキテクト 向けに情報を提供しています。 ホワイト ペーパー ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 目次 はじめに 3 DDoSの4つのカテゴリ 3 DDoS防御ソリューションの構築 4 DDoS防御アーキテクチャのコンポーネント 4 マルチティアDDoS防御アーキテクチャ 6 F5の各種コンポーネントとその特徴 7 オンプレミス防御に代わる統合型アプローチ 8 DDoS防御アーキテクチャによる可用性の確保 8 大量攻撃に対するクラウド型防御 8 オンプレミスのネットワーク防御 11 演算処理のDDoS攻撃に注目する:TCP接続フラッド およびSSL接続フラッドの緩和 11 オンプレミスのアプリケーション防御 12 DNS DDoS攻撃の緩和 13 参照アーキテクチャの使用例 14 大規模FSIのDDoS防御参照アーキテクチャ 15 エンタープライズのDDoS防御参照アーキテクチャ 16 SMBのDDoS防御参照アーキテクチャ 18 サイジングの仕様 19 まとめ 20 2 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ はじめに F5は設立から15年以上にわたり、分散サービス妨害(DDoS)攻撃から大切なアプリケー ションを守るソリューションの開発に尽力してきました。そうした取り組みの中で、F5の TMOS システムの多くのコア機能は、DDoS攻撃に対する効果が実証されています。2012年 以降、大手金融機関は次々とDDoS攻撃を受け、DDoS防御を含むネットワークの再設計を余 儀なくされています。こうした顧客企業からの要請を受け、F5はクラウドとオンプレミス の両方のコンポーネントを含むDDoS防御参照アーキテクチャを開発するに至りました。 DDoS防御参照アーキテクチャのクラウド コンポーネントは、おびただしい数の攻撃を緩 和する保険のような存在です。それに対して、オンプレミスの参照アーキテクチャは、レ イヤ3~7を保護する複数の防御層を備えています。たとえば、DNSとレイヤ3、レイヤ4を 対象としたネットワーク防御層でネットワーク攻撃のノイズを排除することにより、アプ リケーション防御層でCPUリソースを活用し、より高位のレイヤのアプリケーションを保 護することが可能になります。この戦略はすでに複数のF5カスタマ データセンタに導入 されており、あらゆる種類のDDoS攻撃に対して効果を発揮しています。 DDoSの4つのカテゴリ 絶えず進化を続けるDDoSの脅威ですが、ツールや手法は変わっても基本的には「大量」、 「非対向」、「演算処理」、「脆弱性ベース」のいずれかのカテゴリに分類されます。こ れらの攻撃には、以下の特徴があります。 大量—レイヤ3、4、または7が対象のフラッドベース攻撃 非対向—タイムアウトまたはセッション状態の変化を引き起こす攻撃 演算処理—CPUとメモリを消費する攻撃 脆弱性ベース—ソフトウェアの脆弱性を利用する攻撃 これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の 高い企業は特定の方法でこれらを導入して、セキュリティの確保に最大限取り組んで います。このような企業と連携して各社のコンポーネントの調整を繰り返し、F5は特 定規模や業界要件を持つデータセンタに対するDDoSを緩和するアーキテクチャを開発 してきました。 3 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ DDoS防御ソリューションの構築 次のアーキテクチャは、定評のあるコンポーネントで構築されたDDoS防御システムです。 デバイスの中にはF5以外のベンダやサプライヤの製品もあれば、F5独自のコンポーネント もあります。 DDoS防御アーキテクチャのコンポーネント 図1は、4つのカテゴリのDDoS攻撃とDDoSアーキテクチャのコンポーネントを対応させたも のです。 攻撃のカテゴリ 攻撃緩和コンポーネント クラウドベースのスクラビング サービス 大量 非対向 Webアプリケーション ファイアウォール Webアプリケーション ファイアウォール アプリケーション デリバリ コントローラ 演算処理 ネットワーク ファイアウォール IPレピュテーション データベース 脆弱性ベース 侵入検知/侵入防止システム(IDS/IPS) アプ リケーション デリバリ コントローラ 図1:DDoS緩和コンポーネントと攻撃の種類 クラウドベースのDDoSスクラビング サービス クラウドベースのDDoSスクラビング サービスは、あらゆるDDoS緩和アーキテクチャの重 要なコンポーネントです。攻撃者が組織の1 Gbps入力ポイントで50 Gbpsのデータを送信 した場合、オンプレミスの装置ではこの問題に対処できません。この問題は、沢山の人が 一度にドアに殺到することに似ています。このクラウド サービスは、実際のパブリック クラウドまたは組織の帯域サービス プロバイダでホストされ、良好とみられるデータか ら明らかな不良データを大まかに仕分けして、問題に対処します。 4 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ DDoS対応ネットワーク ファイアウォール ネットワーク ファイアウォールは長い間、境界セキュリティの要となってきました。し かし、多くのネットワーク ファイアウォールは、DDoS攻撃にまったく対抗できません。 実際、数多く導入されているファイアウォールは、単純なレイヤ4の攻撃でも無効にな る可能性があります。ファイアウォールが攻撃を認識して緩和しなければ、大量のス ループット能力では対処できません。 レイヤ3および4ベースのセキュリティ制御デバイスの場合は、DDoS対応の大容量ネット ワーク デバイスを選択されることをお勧めします。特に、(数千単位ではなく)数百 万の同時接続をサポートし、正規のトラフィックに影響せずにSYNフラッドを撃退でき るデバイスを見つけましょう。 アプリケーション デリバリ コントローラ アプリケーション デリバリ コントローラは、ネットワークをコントロールする上で重 要な役割を担っています。選択、プロビジョニングおよび管理を適切に行えば、DDoSか らの防御が可能です。たとえば、フルプロキシのF5アプリケーション デリバリ コント ローラは、HTTPやDNSなどの一般的なプロトコルを検証することによって、演算処理お よび脆弱性ベースの脅威を軽減します。F5がフルプロキシのアプリケーション デリバ リ コントローラをお勧めするのはこのためです。 DDoS防御が統合されているWebアプリケーション ファイアウォール この種類のWebアプリケーション ファイアウォールは、アプリケーションのセキュリ ティ ポリシーを理解して適用する高レベルのコンポーネントです。このコンポーネン トは大量型のHTTPフラッドでも脆弱性ベースの攻撃でも、アプリケーション レイヤの 攻撃を認識して緩和します。Webアプリケーション ファイアウォールは複数のベンダが 提供しています。DDoSアーキテクチャの有効性を高めるために、F5のWebアプリケー ション ファイアウォールをお勧めします。その理由は以下のとおりです。 F5のWebアプリケーション ファイアウォールは、アンチハッキング、Webスクレ イピング保護、PCIコンプライアンスなどの追加のサービスを提供します。 アプリケーション デリバリ コントローラとWebアプリケーション ファイア ウォールを組み合わせて使用することで、アプリケーション デリバリとアプリ ケーション セキュリティ ポリシーを同時に利用できます。 F5アプリケーション デリバリ コントローラはSSLトラフィックをオフロードおよ び検査します。Webアプリケーション ファイアウォールと組み合わせることで、S SL終端と暗号化されたペイロードのセキュリティ分析を1つのデバイスに統合でき 5 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ ます。 6 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 侵入検知/侵入防止システム 侵入検知/侵入防止システム(IDS/IPS)だけではDDoS攻撃を防御することは困難です。 IDS/IPSは(レイヤ4ファイアウォールへの統合など)1カ所に導入することは避けた 方が良いと考えられます。IDS/IPSは、データベースや特定のWebサーバなど、追加の 特別な保護が必要になるバックエンド コンポーネントの前面にある特定のインスタ ンスに実装してください。 IPレピュテーション データベース IPレピュテーション データベースは、DDoS攻撃者があとで利用して侵入するために 既知のスキャナを使用してアプリケーションを探るのを防ぐことで、非対向DDoS攻撃 に対する防御力を高めます。IPレピュテーション データベースは、内部で生成する ことも、外部のサブスクリプション サービスから利用することもできます。 マルチティアDDoS防御 アーキテクチャ F5では、クラウドとオンプレミスのハイブリッド型DDoSソリューションをお勧めして います。F5 Silverline™ DDoS Protectionは、F5 Silverlineクラウドベースのプラッ トフォームを介して提供されるサービスで、大量の攻撃トラフィックを分析/排除する ことで大量攻撃を緩和します。DDoS攻撃の中には、オンプレミスでの対処が必要とな るアプリケーション レイヤ攻撃を含むものもあります。こうした非対向および演算処 理型の攻撃を緩和するには、ネットワーク防御層とアプリケーション防御層を組み合 わせることが効果的です。ネットワーク防御層はレイヤ3とレイヤ4のネットワーク ファイアウォール サービスと、アプリケーション防御層への単純なロード バランシ ングで構成されています。アプリケーション防御層には、SSL終端やWebアプリケー ション ファイアウォール スタックといった、より高度でCPU負荷の高いサービスが含 まれます。 7 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 脅威インテリジェンス フィード 次世代ファイア ウォール スキャナ 名 匿 匿名 リクエスト ボット ネット 企業ユーザ 攻撃者 プロキシ クラウド ネットワーク層 複数のISP 戦略 アプリケーション層 ネットワーク攻撃: ICMPフラッド、U DPフラッド、SYN フラッド SSL攻撃: SSL再ネゴシエーション、S SLフラッド 金融 サービス 正規 ユーザ クラウド スクラビング サービス DDoS 攻撃者 E-コマース ISPa/b 大量攻撃および容量フ ラッド、Operations Cent erのエキスパート、既知 のL3~7シグネチャ攻撃 DNS攻撃: DNS増幅、クエリ フラッ ド、辞書攻撃、 DNSポイズニング アプリケー ション HTTP攻撃:Slowlori ネットワーク およびDNS s、 スローPOST、 再帰POST/GET サブスク ライバ IPS コントロールの戦略的ポイント 図2:F5ハイブリッドDDoS防御参照アーキテクチャ DDoS防御アーキテクチャのオンプレミス コンポーネントをネットワーク防御層とアプリ ケーション防御層に分けることには、次のような明確な利点があります。 1. ネットワーク防御層とアプリケーション防御層は、それぞれ個別にスケーリング できます。たとえば、Webアプリケーション ファイアウォールの使用が増えた場 合、ネットワーク防御層に影響を及ぼすことなく、アプリケーション防御層に別 のアプライアンス(ブレード)を追加できます。 2. 各層には異なるハードウェア プラットフォームを使用できます。バージョン違 いのソフトウェアも使用できます。 3. 新しいポリシーをアプリケーション防御層に適用した場合、新しいポリシーの検 証が完了するまで、トラフィックの一部だけをネットワーク防御層から新しいポ リシーに転送できます。 F5の各種コンポーネントとその特徴 図3は、特定の機能を提供するために必要なコンポーネントを示しています。F5のDDoS防 御参照アーキテクチャのコンポーネントは以下のとおりです。 Silverline DDoS Protection BIG-IP® Advanced Firewall Manager™(AFM) BIG-IP® Local Traffic Manager™(LTM) BIG-IP® Global Traffic Manager™(GTM)およびDNS Express™ 8 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ BIG-IP® Application Security Manager™(ASM) 9 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ F5のコンポーネント クラウド ネットワーク防御 アプリケーション防御 DNS SilverLine DDoS P BIG-IP AFM BIG-IP LTM BIG-IP GTM rotection BIG-IP LTM レイヤ3-4 BIG-IP ASM レイヤ7 およびDNS Express™ OSIモデル レイヤ3-4 機能 ボリューム スクラ ビング トラフィッ ク ダッシュボード ネットワーク ファイア SSL終端 ウォール Webアプリケーション レイヤ4のロード バ ファイアウォール ランシング IPブラッ クリスト 緩和される攻撃 DNS DNS解決 DNSSE C セカンダリ ロード バ ランシング 大量型フラッド SYNフラッド ICMPフ Slowloris スローPO UDPフラッド 増幅 プロトコルの ラッド ST Apache Killer DNSフラッド ホワイトリスト化 マルフォーム パケッ RUDY/Keep Dead NXDOMAINフラッド DNSS ト TCPフラッド SSL攻撃 EC攻撃 既知の不良アクター 図3:F5のコンポーネントとDDoS緩和機能 オンプレミス防御に代わる統合型アプローチ 高帯域環境にはマルチティア アーキテクチャが推奨されますが、低帯域環境に複数のDDoS防御層 を構築することは過剰です。そのような環境には、アプリケーション デリバリにネットワーク/ Webアプリケーション ファイアウォール サービスを統合した、境界用のDDoS緩和デバイスを導入 します。 この場合にも、このドキュメントでお勧めしている方法は有効です。代替アーキテクチャでは、 ネットワーク防御層およびアプリケーション防御層への参照は統合された単一の層に適用されます。 DDoS防御アーキテクチャによる可用性 の確保 大量攻撃に対するクラウド型防御 ネットワークの許容量を超える大量攻撃を受けるリスクは、すべての組織や企業に存在していま す。こうした攻撃に対する対策のひとつが、攻撃トラフィックを高帯域データセンタにリダイレ クトすることです。悪質なトラフィックはデータセンタでスクラブされ、正当なトラフィックだ けが送信元のデータセンタに転送されます。 10 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ クラウド プロバイダを選定する際には、容量と遅延時間、価値を検討する必要がありま す。図4のグラフに見られるように、最近では1秒間に数百ギガビットを超えるDDoS攻撃 が一般的となっており、こうした傾向に対応するため、クラウド スクラブの処理容量 も大幅に向上しています。 クラウド スクラビング センタが顧客のデータセンタから距離的に離れていると、多 少の通信遅延が発生します。中小規模企業や地域企業であれば、事業エリアでクラウ ド スクラブ サービス プロバイダを探すことができますが、多国籍企業であれば各国 で異なる要件に従う必要があります。 処理容量および機能 グローバル カバレッジ—北米、欧州、アジアにデータセンタを設置 全世界でテラビット規模、データセンタあたり数百ギガビットのデータ容量に対応 一般に、クラウド スクラビング サービスの真価は、攻撃を受けて初めてわかるといわ れています。次のような指標を用いることで、顧客満足度を把握することができます。 コスト 誤検出率 正規トラフィック デリバリの可視性と制御能力 Ready Defenseサブスクリプション:クラウド スクラビング サービスのバック アップ すでに外部のDDoSスクラビング サービス プロバイダと契約している場合でも、バック アップのスクラビング サービスがあればなお安心です。Silverline DDoS Protectionの Ready Defense™サブスクリプション サービスは、プライマリのDDoSスクラビング サー ビスをサポートする形で使用することも、単独で攻撃を緩和することもできます。 Always Availableサブスクリプション:防衛の第一線 Silverline DDoS Protection Always Available ™サブスクリプションは、DDoS攻撃を防 止するプライマリ サービスとして理想的です。既存のサービスと置き換えることも、 既存のサービスをセカンダリ サービスに移行させることもできます。 展開モデル Silverline DDoS Protectionには主に、ルータ構成とF5 IP Reflection™の2つの展開モ 11 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ デルがあります。 12 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ ルータ構成は、ネットワーク インフラストラクチャ全体を保護する必要がある企業を対 象としています。Silverline DDoS Protectionは、ボーダー ゲートウェイ プロトコル (BGP)を利用してすべてのトラフィックをスクラビング センタにルーティングした後、 汎用ルーティング カプセル化(GRE)トンネルを使って正当なトラフィックを送信元の ネットワークに戻します。大規模なネットワークを構築している企業であれば、拡張性の 高いルータ構成がお勧めです。アプリケーション固有の設定もなく、Silverline DDoS Pr otection機能のオン・オフも簡単に行えます。 もう1つのIP Reflectionは、GREトンネルを使用せずにネットワーク インフラストラク チャを保護する非対称的な代替手段で、送信先NATに対応したデバイスを使用している組 織に適しています。IP ReflectionではIPアドレスを変更する必要がなく、GREを使った 場合のようにIPアドレス空間に影響が生じることもありません。 Silverline DDoS Protectionは次の方法により、リターン トラフィックを処理します。 (AWS) Direct Connect IP Reflection GREトンネル プロキシ 顧客のバンドル(光ファイバ) 大量攻撃に注目する:増幅攻撃 図4は2014年に報告されたDDoS攻撃をグラフにしたものです。これを見ると、これま でにない規模のDDoS攻撃が何件も発生していることがわかります。これらの攻撃は、 攻撃者がNTPやDNS、SNMPプロトコルの脆弱性を利用して、何千というパブリック イ ンターネット ホストからの応答を攻撃対象に誘導する「増幅」と呼ばれるテクニッ クを使っています。 図4:2014年の大規模攻撃 13 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ オンプレミスのネットワーク防御 ネットワーク防御層は、ネットワーク ファイアウォール周辺に構築します。SYNフラッ ドやICMPフラグメントフラッドなどの演算処理攻撃を緩和する設計です。この層は、入 力ポイントを輻輳させる大量攻撃も緩和します(一般的に、仕様のパイプサイズの 80~90%)。F5のお客様の多くがIPレピュテーション データベースをこの層で統合し、 DDoS攻撃中にIPアドレスを制御しています。 組織によっては、DNSを第1層からDMZのDNSサーバに渡します。この構成では、レイヤ4 のコントロールで、サーバに送信する前にDNSパケットを検証できます。 L3–4とDNSの保護 ネットワーク ファイアウォール サービス + 単純なロード バランス AFM LTM VIPRIONプラットフォーム + IPインテリジェンス(IPI)モジュール DNSサービス GTM BIG-IPプラットフォーム 図5:ネットワークレイヤのDDoS攻撃に対するネットワーク防御層の保護 演算処理のDDoS攻撃に注目する:TCP接続フラッドおよ びSSL接続フラッドの緩和 TCP接続フラッドはレイヤ4の攻撃であり、ネットワーク上のステートフル デバイス、特に DDoS防御機能がないファイアウォールに影響します。この攻撃は各ステートフル デバイ ス上にある、フロー接続テーブルのメモリを消費します。このような接続フラッドには、 コンテンツが含まれていないことがあります。こうした攻撃は、ネットワーク層で接続を 大容量の接続テーブルに吸収するか、フルプロキシ ファイアウォールを使用することで 11 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 緩和できます。 12 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ SSL接続フラッドは、暗号化されたトラフィックをターミネートするデバイスを特に攻 撃するよう設計されています。SSL接続は暗号化コンテキストを保持しなければならな いため、メモリを50,000~100,000バイト消費します。そのため、SSL攻撃は特に影響が 大きい攻撃と言えます。 TCP接続フラッドとSSL接続フラッドを緩和するには、容量とフルプロキシ技術の両方を 使用されることをお勧めします。図6は、F5ベースのネットワーク ファイアウォールに 関する接続キャパシティの一覧です。 プラットフォーム シリーズ TCP接続テーブル サイズ SSL接続テーブル サイズ VIPRIONシャーシ 1,200~1億4,400万 100~3,200万 ハイエンド アプライアンス 2,400~3,600万 250~700万 ミドルレンジ アプライアンス 2,400万 400万 ローレンジ アプライアンス 600万 70~240万 仮想アプライアンス 300万 70万 図6:F5ハードウェア プラットフォームの接続キャパシティ オンプレミスのアプリケーション防御 アプリケーション防御層にはアプリケーションを識別するCPU負荷の高い防御メカニズ ムを展開することをお勧めします。たとえば、ログインウォール、Webアプリケーショ ン ファイアウォール ポリシー、F5 iRules®を使用する動的なセキュリティ コンテキス トなどのメカニズムです。これらのコンポーネントはしばしば、この層でターゲットの IDS/IPSデバイスとラックスペースを共有します。 この層では通常、SSL終端も処理します。ネットワーク防御層でSSLをターミネートする 場合もありますが、SSLキーおよびポリシーの機密をセキュリティ境界で維持するため、 この方法は一般的ではありません。 L7の保護 Webアプリケーション ファイアウォール サービス + SSL終端 ASM LTM BIG-IPプラットフォーム 13 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 図7:アプリケーション レイヤのDDoS攻撃に対するWebアプリケーション ファイアウォール防御 14 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 非対向のDDoS攻撃に注目する:GETフラッドの緩和 再帰GETおよびPOSTは、今日最も有害な攻撃となっています。正規のトラフィックと区 別することが極めて難しいためです。GETフラッドはデータベースやサーバに課題な負 荷をかけ、「フルパイプのリバース」の原因ともなります。F5の記録では、1人の攻撃 者が100 MbpsのGETクエリをターゲットに送信して20 Gbpsのデータを引き出した事例が あります。 GETフラッドの緩和戦略には以下のものが含まれます。 ログインウォールの防御 DDoS保護プロファイル リアル ブラウザ エンフォースメント CAPTCHA リクエスト スロットリングiRules カスタムiRules これらの戦略に対する構成と手順については、F5 DDoSの推奨プラクティスに関 するドキュメントに記載しています。 DNS DDoS攻撃の緩和 DNSは、HTTPに次いで2番目に標的とされるサービスです。DNSが中断されると、すべて の外部データセンタ サービス(単一のアプリケーションだけではなく)が影響を受け ます。この重大な単一障害点は、その他の処理能力が十分ではないDNSインフラストラ クチャとともに、DNSが攻撃を受けやすい原因になっています。 クエリ フラッドに対するDNSサービスのオーバー プロビジョニング DNSサービスは、歴史的に処理能力が十分ではありません。DNSデプロイメントの大部分が 処理能力が十分ではなく、小規模から中規模のDDoS攻撃にも耐えることができませんでし た。 DNSサービスのパフォーマンスを飛躍的に向上させ、標準のDNSクエリ攻撃に対する回復力 を増すため、DNSキャッシュが一般的になりました。攻撃者はNo Such Domain(またはNXD 15 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ OMAIN)と呼ばれる攻撃をするようになり、パフォーマンスに関するキャッシュの利点は あっという間になくなっています。 16 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ これに対処するため、F5ではフロントエンドのBIG-IP GTM DNSサービスを、高パフォー マンスのDNSプロキシ モジュール(F5 DNS Express™)とともに使用することをお勧めし ています。DNS Expressは既存のDNSサーバの前面で、高機能リゾルバとして動作します。 ゾーン情報をサーバから読み込み、各リクエストを解決するかNXDOMAINを返します。 キャッシュではないため、NXDOMAINクエリフラッドでは空にできません。 DNSサービスの配置の検討 DNSサービスを、最初のセキュリティ境界から離して、デバイスセットとして配置するこ とがあります。これは、提供するアプリケーションからDNSを独立させておくために行われ ます。たとえば、セキュリティ境界の一部がダウンすると、DNSはリクエストをセカンダリ データセンタまたはクラウドに転送します。DNSをセキュリティ層およびアプリケーション 層から分離しておくことは、柔軟性と可用性を最大限に維持するために効果的な戦略です。 複数のデータセンタを持つ大規模企業では、BIG-IP GTMとDNS ExpressおよびBIG-IP AFM ファイアウォール モジュールを組み合わせて、DNSをメインのセキュリティ境界の外部に 置く場合があります。このアプローチの主な利点は、DDoSでネットワーク防御層のファイ アウォールがオフラインになってもDNSサービスを利用できることです。 DNSがDMZの内側と外側のどちらにあっても、BIG-IP GTMまたはBIG-IP AFMにより、DNSリ クエストがDNSサーバに到達する前に検証できます。 参照アーキテクチャの使用例 参照アーキテクチャを使用する一般的な顧客シナリオの例を3つご紹介します。 1. 大規模金融サービス機関(FSI)データセンタ 2. エンタープライズ データセンタ 3. 中小規模企業(SMB)データセンタ 以下の使用例ごとに、導入シナリオの図、個別の使用例の簡単な説明、そのシナリオで のF5コンポーネントの推奨されるサイジングを記載しています。追加のサイジング情報 については図14をご覧ください。 17 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 大規模FSIのDDoS防御参照アーキテクチャ 脅威インテリジェンス フィード ネットワークHSM(FIPS-140) スキャナ 名 匿 匿名 ボットネット リクエスト 両方の層でのSSLインスペクション 攻撃者 プロキシ ネットワーク層 DDoS攻撃者 ネットワーク攻撃: ICMPフラッド、UDPフラッド、 SYNフラッド クラウド スクラビング アプリケーション層 Webアプリケーション ファイアウォール サービス + SSL終端 ネットワーク ファイアウォール サービス + ティア3への単純なロード バランス DDoS防御 AFM LTM ASM 金融 サービス LTM 顧客 パートナ DDoS攻撃者 BIG-IPプラットフォーム F5 Silverlineク ラウドベース プ ラットフォーム 大量攻撃および容量フラッド、 Operations Centerのエキス パート、既知のL3~7シグネ チャ攻撃 SSL 再暗号化 E-コマース VIPRIONプラットフォーム ISPが基本的なDD oSサービスを提 供 + IPインテリジェンス(IP I)モジュール SSL攻撃: SSL再ネゴシエーション、 SSLフラッド DNSサービス HTTP攻撃:Slowloris、ス ローPOST、再帰POST/GET サブスク ライバ GTM AFM DNS攻撃:DN S増幅、クエリ フラッド、辞書 攻撃、DNSポイズニング LTM BIG-IPプラットフォーム GTM ASM r BIG-IP Advanced Firewall Manager BIG-IP Local Traffic Manage r BIG-IP Global Traffic Manager BIG-IP Application Security Manage シンプルなビジネス モデル 良 高 優良 最 + IPインテリジェンス F5 Silverline DDoS Protect ion 図8:大規模なFSIのデータセンタ展開シナリオのF5 DDoS防御 大規模FSIのカスタマシナリオ 大規模FSIデータセンタのシナリオは、DDoSに対して成熟した、よく知られている使用例で す。一般的に、FSIは複数のサービス プロバイダを持っていますが、別のスクラビング サービスを選んで、これらのサービス プロバイダの大量DDoSサービスの利用を避けるこ とがあります。また、FSIの多くはプライマリのクラウド スクラビング サービスが機能 しなかった場合の保険として、バックアップの大量DDoSサービスを導入しています。 FSIのデータセンタはスタッフが少数であることが多いため、次世代ファイアウォールは必 要ありません。 FSIは連邦/軍以外では最も厳格なセキュリティ ポリシーを持っています たとえば、ほぼすべてのFSIは、データセンタ全体でペイロードを暗号化しています。FSI は価値が最も高い情報資産クラス(銀行口座)をインターネット上に持っているため、高 い頻度でDDoSだけでなくハッキングなどの攻撃対象になります。2層のオンプレミス アー キテクチャでは、ネットワーク層への投資とは切り離して、アプリケーション層でCPU負 荷の高い包括的なセキュリティ ポリシーを拡張できます。 この使用例では、既存のセキュリティ設備を維持(活用)しながら、DDoSに耐えられるソ リューションを作成できます。ネットワーク防御層のファイアウォールは機能したまま、 アプリケーション防御層のBIG-IP ASMデバイスがセキュリティ侵害を防ぎます。 18 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 場所 F5の装置 クラウド Silverline DDos Protection: Ready Defenseサブスクリプション Always Availableサブスクリプション ネットワーク層 VIPRIONシャーシ(ペア) VIPRIONアドオン:BIG-IP AFM アプリケーション層 ミドルレンジBIG-IPアプライアンス ライセンス アドオン:BIG-IP ASM DNS ミドルレンジBIG-IPアプライアンス(ペア) 図9:FSIのカスタマ導入シナリオに対する推奨サイジング エンタープライズのDDoS防御参照アーキテクチャ 脅威インテリジェンス フィード スキャナ 匿名プロキシ 匿名リクエスト ボット ネット 次世代ファイア ウォール 攻撃者 ネットワーク ファイアウォール サービス + DNSサービス + ティア3への単純なロード バラ ンス DDoS攻撃者 クラウド スクラビング ユーザが発信保護にNGFW を活用 従業員 ネットワーク層 アプリケーション層 Webアプリケーション ファ イアウォール サービス DDoS防御 vCMP LTM 顧客 パートナ 金融サービス + SSL終端 F5 Silverline クラウドベース プ ラットフォーム 両方の層で SSLを検査 可能 物理 ASM E-コマース 仮想 VIPRIONプラットフォーム ISPが提供 SSL攻撃: SSL再ネゴシエーション、SS Lフラッド 基本的なDDoSサービスを DDoS攻撃者 大量攻撃および容量フ ラッド、Operations Ce nterのエキスパート、 既知のL3~7シグネチャ 攻撃 DNS攻撃: DNS増幅、クエリ フラッド、 辞書攻撃、DNSポイズニング ネットワーク攻撃: ICMPフラッド、UDPフラッド、SYN フラッド サブスクライバ HTTP攻撃:Slowloris、 スローPOST、 再帰POST/GET シンプルなビジネス モデル AFM BIG-IP Advanced Firewall Manager LTM BIG-IP Local Traffic Manager GTM BIG-IP Global Traffic Manager ASM BIG-IP Application Security Manager 良 最高 優良 + IPインテリジェンス F5 Silverline DDoS Protection 図10:エンタープライズのデータセンタ展開シナリオのF5 DDoS防御 19 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ エンタープライズのカスタマシナリオ エンタープライズのアンチDDoSシナリオは大規模なFSIのシナリオと似ています。主な違 いは、エンタープライズではデータセンタ内にスタッフがおらず、次世代ファイアウォー ル(NGFW)のサービスが必要な点です。入力/出力の両方に単一のNGFWを使用することが 一般的ですが、そのため、DDoS攻撃に脆弱です。もう1つの違いは、エンタープライズは しばしばインターネット サービス プロバイダ(ISP)が提供する大量DDoSサービスを使 用する点です。 F5では、こうしたエンタープライズに対して、ISPのクラウド スクラビング サービスが 機能しなかった場合の保険として、バックアップの大量DDoSサービスを導入することを推 奨しています。また、大量攻撃に対するセカンダリ サービスとして、Ready Defenseサブ スクリプションを使用することも有効です。 オンプレミスの場合、推奨されるエンタープライズ アーキテクチャとしては、入力アプ リケーション トラフィックとは別のパスに小規模のNGFWを組み込みます。ネットワーク 防護層とアプリケーション防護層の2つの層を使用するため、エンタープライズは非対向 スケーリングを利用できます。CPUが高額な場合は、BIG-IP ASMデバイスを追加する方法 があります。 業種や会社が異なれば、要件も変わります。エンタープライズ アーキテクチャでは、両 方の層でF5装置を使用することで、SSLトラフィックを復号化する(および必要に応じて 再暗号化する)最適な場所を選択できます。たとえば、ネットワーク防御層でSSLを復号 化し、高度な脅威を監視するネットワーク トラップに復号化したトラフィックをミラー リングすることができます。 場所 F5の装置 クラウド Silverline DDoS Protection: Ready Defenseサブスクリプション Always Availableサブスクリプション ネットワーク層 ハイエンドBIG-IPアプライアンス(ペア) ライセンス アドオン:BIG-IP AFM アプリケーション層 ミドルレンジBIG-IPアプライアンス ライセンス アドオン:BIG-IP ASM DNS ミドルレンジBIG-IPアプライアンス(ペア) 図11:エンタープライズのカスタマ導入シナリオに対する推奨サイジング 20 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ SMBのDDoS防御参照アーキテクチャ 次世代ファイア ウォール 従業員 ユーザが発信 保護に NGFWを活用 DDoS攻撃者 ネットワーク層 クラウド スクラビング 金融 サービス ネットワーク ファイアウォール サービス + DNSサービス DDoS防御 + Webアプリケーション ファイアウォール サービス + コンプライアンス制御 顧客 E-コマース パートナ DDoS攻撃者 F5 Silverline クラウドベース プラットフォーム 大量攻撃および容量フ ラッド、Operations Ce nterのエキスパート、 既知のL3~7シグネチャ 攻撃 BIG-IPプラットフォーム ISPが提供基 本的なDDoS サービスを サブスク ライバ DNS攻撃: DNS増幅、クエリ フラッド、 辞書攻撃、DNSポイズニング AFM LTM BIG-IP Local Traffic Manager ネットワーク攻撃: ICMPフラッド、UDPフラッド、SYN フラッド GTM BIG-IP Global Traffic Manager ASM ger BIG-IP Application Security Mana SSL攻撃: SSL再ネゴシエーション、 SSLフラッド BIG-IP Advanced Firewall Manager HTTP攻撃: Slowloris、スローPOST、再帰POST/GET シンプルなビジネス モデル 良 最高 優良 + IPインテリジェンス F5 Silverline DDoS Protection 図12:中小規模企業のデータセンタ展開シナリオのF5 DDoS防御 SMBのカスタマシナリオ SMBのデータセンタの使用例では、セキュリティを提供しつつ統合することがすべてであり、投 資の価値を最大限に高めることが非常に重要です。1つのデバイスをできる限り機能させ、DDoS 攻撃を受けた場合はオフラインにすることを望んでいます。 この使用例では、1つの資産に投資を集中します。最もコスト効率に優れたソリューションを導 入しますが、可用性の最大化が課題となります。 ただし、専門的なスタッフが1つのプラットフォームの知識を深めていくことで効率を高めるこ とが可能です。F5は拡張性とパフォーマンスに優れた高可用性システムを、リスクの低減を支援 するワールドクラスのサポートとともに提供しています。 シングル アーキテクチャの最大の利点は費用の節約です。優れたDDoSソリューションを既存の 設備で活用し、日常の業務で収益を創出するアプリケーションを提供します。統合された環境は、 21 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ ラックスペース、電力管理、およびその他のさまざまなコストの節約を支援します。 22 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 場所 F5の装置 クラウド Silverline DDoS Protection: Ready Defenseサブスクリプション Always Availableサブスクリプション 統合されたオンプレミス層 ミッドエンドからハイエンドのBIG-IPアプライア ンス ペア ライセンス アドオン:BIG-IP GTM ライセンス アドオン:BIG-IP ASM ライセンス アドオン:BIG-IP AFM ライセンス アドオン:BIG-IP APM 図13:SMBのカスタマ導入シナリオに対する推奨サイジング サイジングの仕様 図14は、スケーリング要件を満たすためのF5の多様なハードウェア デバイスの仕様です。 VIPRION 2400 HTTPフラッド スルー プット SYNフラッド (1秒あたり) ICMP フラッド 160 Gbps 1億9,600万 100 Gbps 350,000 RPS 4800万 1,000万 80 Gbps 8,000万 56 Gbps 175,000 RPS 3,600万 700万 40 Gbps 4,000万 32 Gbps 131,000 RPS 2,400万 400万 30 Gbps 4,000万 32 Gbps 131,000 RPS 2,400万 400万 (JavaScriptリ ダイレクト) TCP 接続 SSL 接続 4ブレード シャーシ 10200V アプライアンス ハイエンド アプライアンス 7200V アプライアンス ミドルレンジ アプライアンス 5200v アプライアンス ローレンジ ア プライアンス 23 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ 図14:DDoS防御のためのF5ハードウェアの仕様。特定の推奨サイジングについては、使用例のセクションをご覧ください。 24 ホワイト ペーパー F5 DDoS防御参照アーキテクチャ まとめ DDoS防御参照アーキテクチャの推奨事項では、F5がお客様とともにDDoS攻撃の対策に長年 取り組んできた経験を活用しています。中小規模企業は統合的なアプローチに勝機を見出 しています。グローバル金融サービス機関は、推奨されているハイブリッド アーキテク チャが、すべてのセキュリティ コントロールの理想的な配置であると考えています。エ ンタープライズも、このアーキテクチャでセキュリティ コントロールを再配置、再構築 しています。ハイブリッドDDoS制御アーキテクチャは、今日のDDoS脅威に対抗するために 必要な柔軟性と管理性を継続して提供し、将来を予測可能にする必要があります。 F5 Networks, Inc. 南北アメリカ [email protected] 401 Elliott Avenue West, Seattle, WA アジア太平洋地域 [email protected] 98119 欧州/中東/アフリカ [email protected] 888-882-4447 www.f5.com 日本 [email protected] ホワイト ペーパー F5 DDoS防御参照アーキテクチャ ©2014 F5 Networks, Inc. All rights reserved.F5、F5 Networks、およびF5のロゴは、米国および他の所定の国におけるF5 Networks, Inc.の商標です。その他のF5の商標はf5.comに記載されています。本文中に記載さ れているその他の製品、サービス、または社名はすべて各所有者の商標であり、明示または黙示を問わず、F5が承認または認知するものではありません。DC1213 | WP-TECH-SEC-31701 1214