...

ホワイト ペーパー: DDoS防御 リファレンスアーキテクチャ

by user

on
Category: Documents
8

views

Report

Comments

Transcript

ホワイト ペーパー: DDoS防御 リファレンスアーキテクチャ
F5 DDoS防御
リファレンスアーキテクチャ
F5は、高度化するアプリケーション層のDDoS攻撃を防御するた
めのアーキテクチャの設計、導入、管理についてのガイダンス
を、セキュリティ アーキテクトやネットワーク アーキテクト
向けに情報を提供しています。
ホワイト ペーパー
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
目次
はじめに
3
DDoSの4つのカテゴリ
3
DDoS防御ソリューションの構築
4
DDoS防御アーキテクチャのコンポーネント
4
マルチティアDDoS防御アーキテクチャ
6
F5の各種コンポーネントとその特徴
7
オンプレミス防御に代わる統合型アプローチ
8
DDoS防御アーキテクチャによる可用性の確保
8
大量攻撃に対するクラウド型防御
8
オンプレミスのネットワーク防御
11
演算処理のDDoS攻撃に注目する:TCP接続フラッド
およびSSL接続フラッドの緩和
11
オンプレミスのアプリケーション防御
12
DNS DDoS攻撃の緩和
13
参照アーキテクチャの使用例
14
大規模FSIのDDoS防御参照アーキテクチャ
15
エンタープライズのDDoS防御参照アーキテクチャ
16
SMBのDDoS防御参照アーキテクチャ
18
サイジングの仕様
19
まとめ
20
2
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
はじめに
F5は設立から15年以上にわたり、分散サービス妨害(DDoS)攻撃から大切なアプリケー
ションを守るソリューションの開発に尽力してきました。そうした取り組みの中で、F5の
TMOS システムの多くのコア機能は、DDoS攻撃に対する効果が実証されています。2012年
以降、大手金融機関は次々とDDoS攻撃を受け、DDoS防御を含むネットワークの再設計を余
儀なくされています。こうした顧客企業からの要請を受け、F5はクラウドとオンプレミス
の両方のコンポーネントを含むDDoS防御参照アーキテクチャを開発するに至りました。
DDoS防御参照アーキテクチャのクラウド コンポーネントは、おびただしい数の攻撃を緩
和する保険のような存在です。それに対して、オンプレミスの参照アーキテクチャは、レ
イヤ3~7を保護する複数の防御層を備えています。たとえば、DNSとレイヤ3、レイヤ4を
対象としたネットワーク防御層でネットワーク攻撃のノイズを排除することにより、アプ
リケーション防御層でCPUリソースを活用し、より高位のレイヤのアプリケーションを保
護することが可能になります。この戦略はすでに複数のF5カスタマ データセンタに導入
されており、あらゆる種類のDDoS攻撃に対して効果を発揮しています。
DDoSの4つのカテゴリ
絶えず進化を続けるDDoSの脅威ですが、ツールや手法は変わっても基本的には「大量」、
「非対向」、「演算処理」、「脆弱性ベース」のいずれかのカテゴリに分類されます。こ
れらの攻撃には、以下の特徴があります。

大量—レイヤ3、4、または7が対象のフラッドベース攻撃

非対向—タイムアウトまたはセッション状態の変化を引き起こす攻撃

演算処理—CPUとメモリを消費する攻撃

脆弱性ベース—ソフトウェアの脆弱性を利用する攻撃
これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の
高い企業は特定の方法でこれらを導入して、セキュリティの確保に最大限取り組んで
います。このような企業と連携して各社のコンポーネントの調整を繰り返し、F5は特
定規模や業界要件を持つデータセンタに対するDDoSを緩和するアーキテクチャを開発
してきました。
3
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
DDoS防御ソリューションの構築
次のアーキテクチャは、定評のあるコンポーネントで構築されたDDoS防御システムです。
デバイスの中にはF5以外のベンダやサプライヤの製品もあれば、F5独自のコンポーネント
もあります。
DDoS防御アーキテクチャのコンポーネント
図1は、4つのカテゴリのDDoS攻撃とDDoSアーキテクチャのコンポーネントを対応させたも
のです。
攻撃のカテゴリ
攻撃緩和コンポーネント
クラウドベースのスクラビング サービス
大量
非対向
Webアプリケーション ファイアウォール
Webアプリケーション ファイアウォール
アプリケーション デリバリ コントローラ
演算処理
ネットワーク ファイアウォール
IPレピュテーション データベース
脆弱性ベース
侵入検知/侵入防止システム(IDS/IPS) アプ
リケーション デリバリ コントローラ
図1:DDoS緩和コンポーネントと攻撃の種類
クラウドベースのDDoSスクラビング サービス
クラウドベースのDDoSスクラビング サービスは、あらゆるDDoS緩和アーキテクチャの重
要なコンポーネントです。攻撃者が組織の1 Gbps入力ポイントで50 Gbpsのデータを送信
した場合、オンプレミスの装置ではこの問題に対処できません。この問題は、沢山の人が
一度にドアに殺到することに似ています。このクラウド サービスは、実際のパブリック
クラウドまたは組織の帯域サービス プロバイダでホストされ、良好とみられるデータか
ら明らかな不良データを大まかに仕分けして、問題に対処します。
4
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
DDoS対応ネットワーク ファイアウォール
ネットワーク ファイアウォールは長い間、境界セキュリティの要となってきました。し
かし、多くのネットワーク ファイアウォールは、DDoS攻撃にまったく対抗できません。
実際、数多く導入されているファイアウォールは、単純なレイヤ4の攻撃でも無効にな
る可能性があります。ファイアウォールが攻撃を認識して緩和しなければ、大量のス
ループット能力では対処できません。
レイヤ3および4ベースのセキュリティ制御デバイスの場合は、DDoS対応の大容量ネット
ワーク デバイスを選択されることをお勧めします。特に、(数千単位ではなく)数百
万の同時接続をサポートし、正規のトラフィックに影響せずにSYNフラッドを撃退でき
るデバイスを見つけましょう。
アプリケーション デリバリ コントローラ
アプリケーション デリバリ コントローラは、ネットワークをコントロールする上で重
要な役割を担っています。選択、プロビジョニングおよび管理を適切に行えば、DDoSか
らの防御が可能です。たとえば、フルプロキシのF5アプリケーション デリバリ コント
ローラは、HTTPやDNSなどの一般的なプロトコルを検証することによって、演算処理お
よび脆弱性ベースの脅威を軽減します。F5がフルプロキシのアプリケーション デリバ
リ コントローラをお勧めするのはこのためです。
DDoS防御が統合されているWebアプリケーション ファイアウォール
この種類のWebアプリケーション ファイアウォールは、アプリケーションのセキュリ
ティ ポリシーを理解して適用する高レベルのコンポーネントです。このコンポーネン
トは大量型のHTTPフラッドでも脆弱性ベースの攻撃でも、アプリケーション レイヤの
攻撃を認識して緩和します。Webアプリケーション ファイアウォールは複数のベンダが
提供しています。DDoSアーキテクチャの有効性を高めるために、F5のWebアプリケー
ション ファイアウォールをお勧めします。その理由は以下のとおりです。

F5のWebアプリケーション ファイアウォールは、アンチハッキング、Webスクレ
イピング保護、PCIコンプライアンスなどの追加のサービスを提供します。

アプリケーション デリバリ コントローラとWebアプリケーション ファイア
ウォールを組み合わせて使用することで、アプリケーション デリバリとアプリ
ケーション セキュリティ ポリシーを同時に利用できます。

F5アプリケーション デリバリ コントローラはSSLトラフィックをオフロードおよ
び検査します。Webアプリケーション ファイアウォールと組み合わせることで、S
SL終端と暗号化されたペイロードのセキュリティ分析を1つのデバイスに統合でき
5
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
ます。
6
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
侵入検知/侵入防止システム
侵入検知/侵入防止システム(IDS/IPS)だけではDDoS攻撃を防御することは困難です。
IDS/IPSは(レイヤ4ファイアウォールへの統合など)1カ所に導入することは避けた
方が良いと考えられます。IDS/IPSは、データベースや特定のWebサーバなど、追加の
特別な保護が必要になるバックエンド コンポーネントの前面にある特定のインスタ
ンスに実装してください。
IPレピュテーション データベース
IPレピュテーション データベースは、DDoS攻撃者があとで利用して侵入するために
既知のスキャナを使用してアプリケーションを探るのを防ぐことで、非対向DDoS攻撃
に対する防御力を高めます。IPレピュテーション データベースは、内部で生成する
ことも、外部のサブスクリプション サービスから利用することもできます。
マルチティアDDoS防御
アーキテクチャ
F5では、クラウドとオンプレミスのハイブリッド型DDoSソリューションをお勧めして
います。F5 Silverline™ DDoS Protectionは、F5 Silverlineクラウドベースのプラッ
トフォームを介して提供されるサービスで、大量の攻撃トラフィックを分析/排除する
ことで大量攻撃を緩和します。DDoS攻撃の中には、オンプレミスでの対処が必要とな
るアプリケーション レイヤ攻撃を含むものもあります。こうした非対向および演算処
理型の攻撃を緩和するには、ネットワーク防御層とアプリケーション防御層を組み合
わせることが効果的です。ネットワーク防御層はレイヤ3とレイヤ4のネットワーク
ファイアウォール サービスと、アプリケーション防御層への単純なロード バランシ
ングで構成されています。アプリケーション防御層には、SSL終端やWebアプリケー
ション ファイアウォール スタックといった、より高度でCPU負荷の高いサービスが含
まれます。
7
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
脅威インテリジェンス フィード
次世代ファイア
ウォール
スキャナ
名
匿
匿名
リクエスト
ボット
ネット
企業ユーザ
攻撃者
プロキシ
クラウド
ネットワーク層
複数のISP
戦略
アプリケーション層
ネットワーク攻撃:
ICMPフラッド、U
DPフラッド、SYN
フラッド
SSL攻撃:
SSL再ネゴシエーション、S
SLフラッド
金融
サービス
正規
ユーザ
クラウド
スクラビング
サービス
DDoS
攻撃者
E-コマース
ISPa/b
大量攻撃および容量フ
ラッド、Operations Cent
erのエキスパート、既知
のL3~7シグネチャ攻撃
DNS攻撃:
DNS増幅、クエリ フラッ
ド、辞書攻撃、
DNSポイズニング
アプリケー
ション
HTTP攻撃:Slowlori
ネットワーク
およびDNS
s、
スローPOST、
再帰POST/GET
サブスク
ライバ
IPS
コントロールの戦略的ポイント
図2:F5ハイブリッドDDoS防御参照アーキテクチャ
DDoS防御アーキテクチャのオンプレミス コンポーネントをネットワーク防御層とアプリ
ケーション防御層に分けることには、次のような明確な利点があります。
1.
ネットワーク防御層とアプリケーション防御層は、それぞれ個別にスケーリング
できます。たとえば、Webアプリケーション ファイアウォールの使用が増えた場
合、ネットワーク防御層に影響を及ぼすことなく、アプリケーション防御層に別
のアプライアンス(ブレード)を追加できます。
2.
各層には異なるハードウェア プラットフォームを使用できます。バージョン違
いのソフトウェアも使用できます。
3.
新しいポリシーをアプリケーション防御層に適用した場合、新しいポリシーの検
証が完了するまで、トラフィックの一部だけをネットワーク防御層から新しいポ
リシーに転送できます。
F5の各種コンポーネントとその特徴
図3は、特定の機能を提供するために必要なコンポーネントを示しています。F5のDDoS防
御参照アーキテクチャのコンポーネントは以下のとおりです。

Silverline DDoS Protection

BIG-IP® Advanced Firewall Manager™(AFM)

BIG-IP® Local Traffic Manager™(LTM)

BIG-IP® Global Traffic Manager™(GTM)およびDNS Express™
8
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ

BIG-IP® Application Security Manager™(ASM)
9
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
F5のコンポーネント
クラウド
ネットワーク防御
アプリケーション防御
DNS
SilverLine DDoS P
BIG-IP AFM
BIG-IP LTM
BIG-IP GTM
rotection
BIG-IP LTM
レイヤ3-4
BIG-IP ASM
レイヤ7
およびDNS Express™
OSIモデル
レイヤ3-4
機能
ボリューム スクラ
ビング トラフィッ
ク ダッシュボード
ネットワーク ファイア SSL終端
ウォール
Webアプリケーション
レイヤ4のロード バ
ファイアウォール
ランシング IPブラッ
クリスト
緩和される攻撃
DNS
DNS解決 DNSSE
C
セカンダリ ロード バ
ランシング
大量型フラッド
SYNフラッド ICMPフ
Slowloris スローPO
UDPフラッド
増幅 プロトコルの
ラッド
ST Apache Killer
DNSフラッド
ホワイトリスト化
マルフォーム パケッ
RUDY/Keep Dead
NXDOMAINフラッド DNSS
ト TCPフラッド
SSL攻撃
EC攻撃
既知の不良アクター
図3:F5のコンポーネントとDDoS緩和機能
オンプレミス防御に代わる統合型アプローチ
高帯域環境にはマルチティア アーキテクチャが推奨されますが、低帯域環境に複数のDDoS防御層
を構築することは過剰です。そのような環境には、アプリケーション デリバリにネットワーク/
Webアプリケーション ファイアウォール サービスを統合した、境界用のDDoS緩和デバイスを導入
します。
この場合にも、このドキュメントでお勧めしている方法は有効です。代替アーキテクチャでは、
ネットワーク防御層およびアプリケーション防御層への参照は統合された単一の層に適用されます。
DDoS防御アーキテクチャによる可用性
の確保
大量攻撃に対するクラウド型防御
ネットワークの許容量を超える大量攻撃を受けるリスクは、すべての組織や企業に存在していま
す。こうした攻撃に対する対策のひとつが、攻撃トラフィックを高帯域データセンタにリダイレ
クトすることです。悪質なトラフィックはデータセンタでスクラブされ、正当なトラフィックだ
けが送信元のデータセンタに転送されます。
10
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
クラウド プロバイダを選定する際には、容量と遅延時間、価値を検討する必要がありま
す。図4のグラフに見られるように、最近では1秒間に数百ギガビットを超えるDDoS攻撃
が一般的となっており、こうした傾向に対応するため、クラウド スクラブの処理容量
も大幅に向上しています。
クラウド スクラビング センタが顧客のデータセンタから距離的に離れていると、多
少の通信遅延が発生します。中小規模企業や地域企業であれば、事業エリアでクラウ
ド スクラブ サービス プロバイダを探すことができますが、多国籍企業であれば各国
で異なる要件に従う必要があります。
処理容量および機能

グローバル カバレッジ—北米、欧州、アジアにデータセンタを設置

全世界でテラビット規模、データセンタあたり数百ギガビットのデータ容量に対応
一般に、クラウド スクラビング サービスの真価は、攻撃を受けて初めてわかるといわ
れています。次のような指標を用いることで、顧客満足度を把握することができます。

コスト

誤検出率

正規トラフィック デリバリの可視性と制御能力
Ready Defenseサブスクリプション:クラウド スクラビング サービスのバック
アップ
すでに外部のDDoSスクラビング サービス プロバイダと契約している場合でも、バック
アップのスクラビング サービスがあればなお安心です。Silverline DDoS Protectionの
Ready Defense™サブスクリプション サービスは、プライマリのDDoSスクラビング サー
ビスをサポートする形で使用することも、単独で攻撃を緩和することもできます。
Always Availableサブスクリプション:防衛の第一線
Silverline DDoS Protection Always Available ™サブスクリプションは、DDoS攻撃を防
止するプライマリ サービスとして理想的です。既存のサービスと置き換えることも、
既存のサービスをセカンダリ サービスに移行させることもできます。
展開モデル
Silverline DDoS Protectionには主に、ルータ構成とF5 IP Reflection™の2つの展開モ
11
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
デルがあります。
12
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
ルータ構成は、ネットワーク インフラストラクチャ全体を保護する必要がある企業を対
象としています。Silverline DDoS Protectionは、ボーダー ゲートウェイ プロトコル
(BGP)を利用してすべてのトラフィックをスクラビング センタにルーティングした後、
汎用ルーティング カプセル化(GRE)トンネルを使って正当なトラフィックを送信元の
ネットワークに戻します。大規模なネットワークを構築している企業であれば、拡張性の
高いルータ構成がお勧めです。アプリケーション固有の設定もなく、Silverline DDoS Pr
otection機能のオン・オフも簡単に行えます。
もう1つのIP Reflectionは、GREトンネルを使用せずにネットワーク インフラストラク
チャを保護する非対称的な代替手段で、送信先NATに対応したデバイスを使用している組
織に適しています。IP ReflectionではIPアドレスを変更する必要がなく、GREを使った
場合のようにIPアドレス空間に影響が生じることもありません。
Silverline DDoS Protectionは次の方法により、リターン トラフィックを処理します。

(AWS) Direct Connect

IP Reflection

GREトンネル

プロキシ

顧客のバンドル(光ファイバ)
大量攻撃に注目する:増幅攻撃
図4は2014年に報告されたDDoS攻撃をグラフにしたものです。これを見ると、これま
でにない規模のDDoS攻撃が何件も発生していることがわかります。これらの攻撃は、
攻撃者がNTPやDNS、SNMPプロトコルの脆弱性を利用して、何千というパブリック イ
ンターネット ホストからの応答を攻撃対象に誘導する「増幅」と呼ばれるテクニッ
クを使っています。
図4:2014年の大規模攻撃
13
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
オンプレミスのネットワーク防御
ネットワーク防御層は、ネットワーク ファイアウォール周辺に構築します。SYNフラッ
ドやICMPフラグメントフラッドなどの演算処理攻撃を緩和する設計です。この層は、入
力ポイントを輻輳させる大量攻撃も緩和します(一般的に、仕様のパイプサイズの
80~90%)。F5のお客様の多くがIPレピュテーション データベースをこの層で統合し、
DDoS攻撃中にIPアドレスを制御しています。
組織によっては、DNSを第1層からDMZのDNSサーバに渡します。この構成では、レイヤ4
のコントロールで、サーバに送信する前にDNSパケットを検証できます。
L3–4とDNSの保護
ネットワーク ファイアウォール サービス
+ 単純なロード バランス
AFM
LTM
VIPRIONプラットフォーム
+ IPインテリジェンス(IPI)モジュール
DNSサービス
GTM
BIG-IPプラットフォーム
図5:ネットワークレイヤのDDoS攻撃に対するネットワーク防御層の保護
演算処理のDDoS攻撃に注目する:TCP接続フラッドおよ
びSSL接続フラッドの緩和
TCP接続フラッドはレイヤ4の攻撃であり、ネットワーク上のステートフル デバイス、特に
DDoS防御機能がないファイアウォールに影響します。この攻撃は各ステートフル デバイ
ス上にある、フロー接続テーブルのメモリを消費します。このような接続フラッドには、
コンテンツが含まれていないことがあります。こうした攻撃は、ネットワーク層で接続を
大容量の接続テーブルに吸収するか、フルプロキシ ファイアウォールを使用することで
11
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
緩和できます。
12
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
SSL接続フラッドは、暗号化されたトラフィックをターミネートするデバイスを特に攻
撃するよう設計されています。SSL接続は暗号化コンテキストを保持しなければならな
いため、メモリを50,000~100,000バイト消費します。そのため、SSL攻撃は特に影響が
大きい攻撃と言えます。
TCP接続フラッドとSSL接続フラッドを緩和するには、容量とフルプロキシ技術の両方を
使用されることをお勧めします。図6は、F5ベースのネットワーク ファイアウォールに
関する接続キャパシティの一覧です。
プラットフォーム シリーズ
TCP接続テーブル サイズ
SSL接続テーブル サイズ
VIPRIONシャーシ
1,200~1億4,400万
100~3,200万
ハイエンド アプライアンス
2,400~3,600万
250~700万
ミドルレンジ アプライアンス 2,400万
400万
ローレンジ アプライアンス
600万
70~240万
仮想アプライアンス
300万
70万
図6:F5ハードウェア プラットフォームの接続キャパシティ
オンプレミスのアプリケーション防御
アプリケーション防御層にはアプリケーションを識別するCPU負荷の高い防御メカニズ
ムを展開することをお勧めします。たとえば、ログインウォール、Webアプリケーショ
ン ファイアウォール ポリシー、F5 iRules®を使用する動的なセキュリティ コンテキス
トなどのメカニズムです。これらのコンポーネントはしばしば、この層でターゲットの
IDS/IPSデバイスとラックスペースを共有します。
この層では通常、SSL終端も処理します。ネットワーク防御層でSSLをターミネートする
場合もありますが、SSLキーおよびポリシーの機密をセキュリティ境界で維持するため、
この方法は一般的ではありません。
L7の保護
Webアプリケーション
ファイアウォール サービス
+ SSL終端
ASM
LTM
BIG-IPプラットフォーム
13
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
図7:アプリケーション レイヤのDDoS攻撃に対するWebアプリケーション ファイアウォール防御
14
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
非対向のDDoS攻撃に注目する:GETフラッドの緩和
再帰GETおよびPOSTは、今日最も有害な攻撃となっています。正規のトラフィックと区
別することが極めて難しいためです。GETフラッドはデータベースやサーバに課題な負
荷をかけ、「フルパイプのリバース」の原因ともなります。F5の記録では、1人の攻撃
者が100 MbpsのGETクエリをターゲットに送信して20 Gbpsのデータを引き出した事例が
あります。
GETフラッドの緩和戦略には以下のものが含まれます。

ログインウォールの防御

DDoS保護プロファイル

リアル ブラウザ エンフォースメント

CAPTCHA

リクエスト スロットリングiRules

カスタムiRules
これらの戦略に対する構成と手順については、F5 DDoSの推奨プラクティスに関
するドキュメントに記載しています。
DNS DDoS攻撃の緩和
DNSは、HTTPに次いで2番目に標的とされるサービスです。DNSが中断されると、すべて
の外部データセンタ サービス(単一のアプリケーションだけではなく)が影響を受け
ます。この重大な単一障害点は、その他の処理能力が十分ではないDNSインフラストラ
クチャとともに、DNSが攻撃を受けやすい原因になっています。
クエリ フラッドに対するDNSサービスのオーバー プロビジョニング
DNSサービスは、歴史的に処理能力が十分ではありません。DNSデプロイメントの大部分が
処理能力が十分ではなく、小規模から中規模のDDoS攻撃にも耐えることができませんでし
た。
DNSサービスのパフォーマンスを飛躍的に向上させ、標準のDNSクエリ攻撃に対する回復力
を増すため、DNSキャッシュが一般的になりました。攻撃者はNo Such Domain(またはNXD
15
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
OMAIN)と呼ばれる攻撃をするようになり、パフォーマンスに関するキャッシュの利点は
あっという間になくなっています。
16
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
これに対処するため、F5ではフロントエンドのBIG-IP GTM DNSサービスを、高パフォー
マンスのDNSプロキシ モジュール(F5 DNS Express™)とともに使用することをお勧めし
ています。DNS Expressは既存のDNSサーバの前面で、高機能リゾルバとして動作します。
ゾーン情報をサーバから読み込み、各リクエストを解決するかNXDOMAINを返します。
キャッシュではないため、NXDOMAINクエリフラッドでは空にできません。
DNSサービスの配置の検討
DNSサービスを、最初のセキュリティ境界から離して、デバイスセットとして配置するこ
とがあります。これは、提供するアプリケーションからDNSを独立させておくために行われ
ます。たとえば、セキュリティ境界の一部がダウンすると、DNSはリクエストをセカンダリ
データセンタまたはクラウドに転送します。DNSをセキュリティ層およびアプリケーション
層から分離しておくことは、柔軟性と可用性を最大限に維持するために効果的な戦略です。
複数のデータセンタを持つ大規模企業では、BIG-IP GTMとDNS ExpressおよびBIG-IP AFM
ファイアウォール モジュールを組み合わせて、DNSをメインのセキュリティ境界の外部に
置く場合があります。このアプローチの主な利点は、DDoSでネットワーク防御層のファイ
アウォールがオフラインになってもDNSサービスを利用できることです。
DNSがDMZの内側と外側のどちらにあっても、BIG-IP GTMまたはBIG-IP AFMにより、DNSリ
クエストがDNSサーバに到達する前に検証できます。
参照アーキテクチャの使用例
参照アーキテクチャを使用する一般的な顧客シナリオの例を3つご紹介します。
1.
大規模金融サービス機関(FSI)データセンタ
2.
エンタープライズ データセンタ
3.
中小規模企業(SMB)データセンタ
以下の使用例ごとに、導入シナリオの図、個別の使用例の簡単な説明、そのシナリオで
のF5コンポーネントの推奨されるサイジングを記載しています。追加のサイジング情報
については図14をご覧ください。
17
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
大規模FSIのDDoS防御参照アーキテクチャ
脅威インテリジェンス フィード
ネットワークHSM(FIPS-140)
スキャナ
名
匿
匿名
ボットネット
リクエスト
両方の層でのSSLインスペクション
攻撃者
プロキシ
ネットワーク層
DDoS攻撃者
ネットワーク攻撃:
ICMPフラッド、UDPフラッド、
SYNフラッド
クラウド スクラビング
アプリケーション層
Webアプリケーション
ファイアウォール サービス
+ SSL終端
ネットワーク ファイアウォール サービス
+ ティア3への単純なロード バランス
DDoS防御
AFM
LTM
ASM
金融
サービス
LTM
顧客
パートナ
DDoS攻撃者
BIG-IPプラットフォーム
F5 Silverlineク
ラウドベース プ
ラットフォーム
大量攻撃および容量フラッド、
Operations Centerのエキス
パート、既知のL3~7シグネ
チャ攻撃
SSL
再暗号化
E-コマース
VIPRIONプラットフォーム
ISPが基本的なDD
oSサービスを提
供
+ IPインテリジェンス(IP
I)モジュール
SSL攻撃:
SSL再ネゴシエーション、
SSLフラッド
DNSサービス
HTTP攻撃:Slowloris、ス
ローPOST、再帰POST/GET
サブスク
ライバ
GTM
AFM
DNS攻撃:DN
S増幅、クエリ フラッド、辞書
攻撃、DNSポイズニング
LTM
BIG-IPプラットフォーム
GTM
ASM
r
BIG-IP Advanced Firewall Manager
BIG-IP Local Traffic Manage
r
BIG-IP Global Traffic Manager
BIG-IP Application Security Manage
シンプルなビジネス モデル
良
高
優良
最
+ IPインテリジェンス
F5 Silverline DDoS Protect
ion
図8:大規模なFSIのデータセンタ展開シナリオのF5 DDoS防御
大規模FSIのカスタマシナリオ
大規模FSIデータセンタのシナリオは、DDoSに対して成熟した、よく知られている使用例で
す。一般的に、FSIは複数のサービス プロバイダを持っていますが、別のスクラビング
サービスを選んで、これらのサービス プロバイダの大量DDoSサービスの利用を避けるこ
とがあります。また、FSIの多くはプライマリのクラウド スクラビング サービスが機能
しなかった場合の保険として、バックアップの大量DDoSサービスを導入しています。
FSIのデータセンタはスタッフが少数であることが多いため、次世代ファイアウォールは必
要ありません。
FSIは連邦/軍以外では最も厳格なセキュリティ ポリシーを持っています
たとえば、ほぼすべてのFSIは、データセンタ全体でペイロードを暗号化しています。FSI
は価値が最も高い情報資産クラス(銀行口座)をインターネット上に持っているため、高
い頻度でDDoSだけでなくハッキングなどの攻撃対象になります。2層のオンプレミス アー
キテクチャでは、ネットワーク層への投資とは切り離して、アプリケーション層でCPU負
荷の高い包括的なセキュリティ ポリシーを拡張できます。
この使用例では、既存のセキュリティ設備を維持(活用)しながら、DDoSに耐えられるソ
リューションを作成できます。ネットワーク防御層のファイアウォールは機能したまま、
アプリケーション防御層のBIG-IP ASMデバイスがセキュリティ侵害を防ぎます。
18
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
場所
F5の装置
クラウド
Silverline DDos Protection:
Ready Defenseサブスクリプション
Always Availableサブスクリプション
ネットワーク層
VIPRIONシャーシ(ペア)
VIPRIONアドオン:BIG-IP AFM
アプリケーション層
ミドルレンジBIG-IPアプライアンス
ライセンス アドオン:BIG-IP ASM
DNS
ミドルレンジBIG-IPアプライアンス(ペア)
図9:FSIのカスタマ導入シナリオに対する推奨サイジング
エンタープライズのDDoS防御参照アーキテクチャ
脅威インテリジェンス フィード
スキャナ
匿名プロキシ
匿名リクエスト
ボット
ネット
次世代ファイア
ウォール
攻撃者
ネットワーク ファイアウォール サービス
+ DNSサービス
+ ティア3への単純なロード バラ ンス
DDoS攻撃者
クラウド スクラビング
ユーザが発信保護にNGFW
を活用
従業員
ネットワーク層
アプリケーション層
Webアプリケーション ファ
イアウォール サービス
DDoS防御
vCMP
LTM
顧客
パートナ
金融サービス
+ SSL終端
F5 Silverline
クラウドベース プ
ラットフォーム
両方の層で
SSLを検査
可能
物理
ASM
E-コマース
仮想
VIPRIONプラットフォーム
ISPが提供
SSL攻撃:
SSL再ネゴシエーション、SS
Lフラッド
基本的なDDoSサービスを
DDoS攻撃者
大量攻撃および容量フ
ラッド、Operations Ce
nterのエキスパート、
既知のL3~7シグネチャ
攻撃
DNS攻撃:
DNS増幅、クエリ フラッド、
辞書攻撃、DNSポイズニング
ネットワーク攻撃:
ICMPフラッド、UDPフラッド、SYN
フラッド
サブスクライバ
HTTP攻撃:Slowloris、
スローPOST、
再帰POST/GET
シンプルなビジネス モデル
AFM
BIG-IP Advanced Firewall Manager
LTM
BIG-IP Local Traffic Manager
GTM
BIG-IP Global Traffic Manager
ASM
BIG-IP Application Security Manager
良
最高
優良
+ IPインテリジェンス
F5 Silverline DDoS Protection
図10:エンタープライズのデータセンタ展開シナリオのF5 DDoS防御
19
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
エンタープライズのカスタマシナリオ
エンタープライズのアンチDDoSシナリオは大規模なFSIのシナリオと似ています。主な違
いは、エンタープライズではデータセンタ内にスタッフがおらず、次世代ファイアウォー
ル(NGFW)のサービスが必要な点です。入力/出力の両方に単一のNGFWを使用することが
一般的ですが、そのため、DDoS攻撃に脆弱です。もう1つの違いは、エンタープライズは
しばしばインターネット サービス プロバイダ(ISP)が提供する大量DDoSサービスを使
用する点です。
F5では、こうしたエンタープライズに対して、ISPのクラウド スクラビング サービスが
機能しなかった場合の保険として、バックアップの大量DDoSサービスを導入することを推
奨しています。また、大量攻撃に対するセカンダリ サービスとして、Ready Defenseサブ
スクリプションを使用することも有効です。
オンプレミスの場合、推奨されるエンタープライズ アーキテクチャとしては、入力アプ
リケーション トラフィックとは別のパスに小規模のNGFWを組み込みます。ネットワーク
防護層とアプリケーション防護層の2つの層を使用するため、エンタープライズは非対向
スケーリングを利用できます。CPUが高額な場合は、BIG-IP ASMデバイスを追加する方法
があります。
業種や会社が異なれば、要件も変わります。エンタープライズ アーキテクチャでは、両
方の層でF5装置を使用することで、SSLトラフィックを復号化する(および必要に応じて
再暗号化する)最適な場所を選択できます。たとえば、ネットワーク防御層でSSLを復号
化し、高度な脅威を監視するネットワーク トラップに復号化したトラフィックをミラー
リングすることができます。
場所
F5の装置
クラウド
Silverline DDoS Protection:
Ready Defenseサブスクリプション
Always Availableサブスクリプション
ネットワーク層
ハイエンドBIG-IPアプライアンス(ペア)
ライセンス アドオン:BIG-IP AFM
アプリケーション層
ミドルレンジBIG-IPアプライアンス
ライセンス アドオン:BIG-IP ASM
DNS
ミドルレンジBIG-IPアプライアンス(ペア)
図11:エンタープライズのカスタマ導入シナリオに対する推奨サイジング
20
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
SMBのDDoS防御参照アーキテクチャ
次世代ファイア
ウォール
従業員
ユーザが発信
保護に
NGFWを活用
DDoS攻撃者
ネットワーク層
クラウド スクラビング
金融
サービス
ネットワーク ファイアウォール サービス
+ DNSサービス
DDoS防御
+ Webアプリケーション ファイアウォール サービス
+ コンプライアンス制御
顧客
E-コマース
パートナ
DDoS攻撃者
F5 Silverline
クラウドベース
プラットフォーム
大量攻撃および容量フ
ラッド、Operations Ce
nterのエキスパート、
既知のL3~7シグネチャ
攻撃
BIG-IPプラットフォーム
ISPが提供基
本的なDDoS
サービスを
サブスク
ライバ
DNS攻撃:
DNS増幅、クエリ フラッド、
辞書攻撃、DNSポイズニング
AFM
LTM
BIG-IP Local Traffic Manager
ネットワーク攻撃:
ICMPフラッド、UDPフラッド、SYN
フラッド
GTM
BIG-IP Global Traffic Manager
ASM
ger
BIG-IP Application Security Mana
SSL攻撃:
SSL再ネゴシエーション、
SSLフラッド
BIG-IP Advanced Firewall Manager
HTTP攻撃:
Slowloris、スローPOST、再帰POST/GET
シンプルなビジネス モデル
良
最高
優良
+ IPインテリジェンス
F5 Silverline DDoS Protection
図12:中小規模企業のデータセンタ展開シナリオのF5 DDoS防御
SMBのカスタマシナリオ
SMBのデータセンタの使用例では、セキュリティを提供しつつ統合することがすべてであり、投
資の価値を最大限に高めることが非常に重要です。1つのデバイスをできる限り機能させ、DDoS
攻撃を受けた場合はオフラインにすることを望んでいます。
この使用例では、1つの資産に投資を集中します。最もコスト効率に優れたソリューションを導
入しますが、可用性の最大化が課題となります。
ただし、専門的なスタッフが1つのプラットフォームの知識を深めていくことで効率を高めるこ
とが可能です。F5は拡張性とパフォーマンスに優れた高可用性システムを、リスクの低減を支援
するワールドクラスのサポートとともに提供しています。
シングル アーキテクチャの最大の利点は費用の節約です。優れたDDoSソリューションを既存の
設備で活用し、日常の業務で収益を創出するアプリケーションを提供します。統合された環境は、
21
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
ラックスペース、電力管理、およびその他のさまざまなコストの節約を支援します。
22
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
場所
F5の装置
クラウド
Silverline DDoS Protection:
Ready Defenseサブスクリプション
Always Availableサブスクリプション
統合されたオンプレミス層
ミッドエンドからハイエンドのBIG-IPアプライア
ンス ペア
ライセンス アドオン:BIG-IP GTM
ライセンス アドオン:BIG-IP ASM
ライセンス アドオン:BIG-IP AFM
ライセンス アドオン:BIG-IP APM
図13:SMBのカスタマ導入シナリオに対する推奨サイジング
サイジングの仕様
図14は、スケーリング要件を満たすためのF5の多様なハードウェア デバイスの仕様です。
VIPRION 2400
HTTPフラッド
スルー
プット
SYNフラッド
(1秒あたり)
ICMP
フラッド
160 Gbps
1億9,600万
100 Gbps
350,000 RPS
4800万
1,000万
80 Gbps
8,000万
56 Gbps
175,000 RPS
3,600万
700万
40 Gbps
4,000万
32 Gbps
131,000 RPS
2,400万
400万
30 Gbps
4,000万
32 Gbps
131,000 RPS
2,400万
400万
(JavaScriptリ
ダイレクト)
TCP
接続
SSL
接続
4ブレード シャーシ
10200V
アプライアンス
ハイエンド
アプライアンス
7200V
アプライアンス
ミドルレンジ
アプライアンス
5200v
アプライアンス
ローレンジ ア
プライアンス
23
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
図14:DDoS防御のためのF5ハードウェアの仕様。特定の推奨サイジングについては、使用例のセクションをご覧ください。
24
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
まとめ
DDoS防御参照アーキテクチャの推奨事項では、F5がお客様とともにDDoS攻撃の対策に長年
取り組んできた経験を活用しています。中小規模企業は統合的なアプローチに勝機を見出
しています。グローバル金融サービス機関は、推奨されているハイブリッド アーキテク
チャが、すべてのセキュリティ コントロールの理想的な配置であると考えています。エ
ンタープライズも、このアーキテクチャでセキュリティ コントロールを再配置、再構築
しています。ハイブリッドDDoS制御アーキテクチャは、今日のDDoS脅威に対抗するために
必要な柔軟性と管理性を継続して提供し、将来を予測可能にする必要があります。
F5 Networks, Inc.
南北アメリカ
[email protected]
401 Elliott Avenue West, Seattle, WA
アジア太平洋地域
[email protected]
98119
欧州/中東/アフリカ
[email protected]
888-882-4447 www.f5.com
日本
[email protected]
ホワイト ペーパー
F5 DDoS防御参照アーキテクチャ
©2014 F5 Networks, Inc. All rights reserved.F5、F5 Networks、およびF5のロゴは、米国および他の所定の国におけるF5 Networks, Inc.の商標です。その他のF5の商標はf5.comに記載されています。本文中に記載さ
れているその他の製品、サービス、または社名はすべて各所有者の商標であり、明示または黙示を問わず、F5が承認または認知するものではありません。DC1213 | WP-TECH-SEC-31701 1214
Fly UP