ソリューションプロファイル: DDoS プロテクション

ソリューション プロファイル | DDoS プロテクション
DDoS プロテクション アーキテクチャの構築
分散型サービス拒否(DDoS)攻撃は、絶えず変化しています。目的がサービス停止であること
は変わりませんが、攻撃者がますます高度になり、攻撃がますます巧妙化しています。攻撃の
動機もさらに金銭的または政治的になり、標的にされた犠牲者の被害もさらに深刻化してい
ます。
以前、DDoS 攻撃はレイヤ 3 ∼ 4 に集中し、ネットワーク ファイアウォールがその防御の要と
して機能していました。これに対し、攻撃者は、スタックを上げ、SSL およびアプリケーション
層の攻撃に切り替え、リソースを対象とするようになりました。
従来のネットワーク ファイアウォールでは、これらの攻撃の量と技術に対応できません。これ
らのファイアウォールは、処理するトラフィックの状況を把握できないので、多層攻撃を防御
できません。
クラウド型のスクラビング サービスは、大規模な大量攻撃に対抗するツールとして開発されま
した。しかし、あらゆる DDoS 攻撃を対して、包括的に防御することはできません。アプリケー
ション サーバを標的とした攻撃(ビジネス ロジック攻撃など)や DNS サーバを標的とした攻
撃だけでなく、SSL 暗号化通信に隠された攻撃も軽減するには、強力なオンプレミス セキュ
リティが必要です。
F5 多層アーキテクチャ: 全層保護
壊滅的な被害を与える可能性のある DDoS 攻撃と向かい合い、多くの金融業界の顧客や企業
は、DDoS を防ぐためにそのネットワークを再設計することが必須となりました。F5 は、この
ようなお客さまと協力することで、2 層間に F5 セキュリティ製品を含む DDoS プロテクショ
ン アーキテクチャを開発しました。第 1 層は、DNS およびレイヤ 3 とレイヤ 4 の DDoS 攻撃
を防御します。ネットワーク攻撃への対策を分離することで、第 2 層は、その CPU リソースを
使用して上位層のアプリケーション プロトコルを保護できます。この戦略の効果はすでに、F5
の数か所のカスタマ データ センタで証明されています。
この多層アーキテクチャにより、第 2 層のアプリケーション層は、第 1 層と独立して拡張でき
ます。また、第 2 層内で、異なるコード バージョン、プラットフォーム、およびセキュリティ ポリ
シーを使用できます。たとえば、F5 の Web アプリケーション ファイアウォールの新しいポリ
シーを第 2 層の単一のスタンドアロン ユニットに導入できます。次に、第 1 層は、新しいポリ
シーが検証されるまで、1 % のトラフィックを第 2 層に送信できます。
中小企業は、IT への投資の価値を最大限に高めるようとして、 単一の統合型セキュリティ プ
ラットフォームを統合します。F5 は、このような企業向けに、DNS や SSL など、レイヤ 3 ∼ 7
の DDoS 攻撃を防御する、コスト効率に優れた一層ソリューションを提供します。
主な機能
• スケ ール およびパ フォーマ ン ス : 最 大
57,600 万の同時接続、640 Gbps のス
ループット、および 1 秒あたり 800 万の
接続に対応します。
• インテリジェンスおよびコンテキスト: 着
信接続の異常なレイテンシーを監視し、
攻撃者と有効なユーザを区別します。
• 全層保護: ネットワーク、DNS、SSL お
よび アプリケーションのすべての層で
DDoS セキュリティを確保します。プロト
コル(UDP、TCP、SIP、DNS、HTTP およ
び SSL)だけでなく、アプリケーションも
保護します。
• 動的な脅威の軽減: F5 iRules を使用し
て、ゼロデイの動的なセキュリティ コンテ
キストを作成します。
主な特長とメリット
• ネットワーク インフラストラクチャを保
護: 専用のハードウェアおよびフルプロキ
シ アーキテクチャにより、攻撃をネット
ワークに到達する前に軽減します。
• ブランドの評判を維持: 顧客は常に Web
アプリケーションを介してビジネスを行
うことができます。
• 標的型攻撃を防御: 幅広い DDoS 攻撃ベ
クトルに対応し、巧妙化する攻撃を軽減
します。
• コストを削 減 : D D o S プロテクション
サービスを既存の F5 プラットフォームで
統合することで、OpEx コストを削減でき
ます。
ソリューション プロファイル | DDoS プロテクション
詳細について
ソリューション
F5 の DDoS 対策ソリューションの詳
細については、以下の参照資料をご覧
になるか、f5.com の検索機能をご利用
ください。
F5 の DDoS ソリューションのコンポーネントは、アプリケーション レベルでも効果的に機能
し、拡張性に優れた高性能フルプロキシ アーキテクチャをサポートします。また、これらのコ
ンポーネントは、埋め込み型として、ミラー ポートのトラフィックをサンプリングまたは監視す
るのではなく、すべてのユーザ接続を検査するため、本質的なセキュリティを提供します。これ
により、世界中の F5 の顧客は、10 年以上に渡り毎日 DDoS に対処しています。通常、F5 は、
DDoS 攻撃に対処し、可用性を保証する唯一のソリューションとして位置付けられます。
ソリューション
F5 DDoS Protection
F5 の DDoS 対策ソリューションは、以下に示す F5 セキュリティ ポートフォリオのインテリ
ジェントで拡張性に優れた各コンポーネントの本質的なセキュリティに基づいています。
製品
• 高性能ネットワーク ファイアウォール機能: SYN フラッドおよび ICMP フラッドなどの
ネットワーク層を標的とした DDoS 攻撃を防御します。
BIG-IP Advanced Firewall Manager
• 業界をリードする Web アプリケーション ファイアウォール: アプリケーション レベルでも
効果的に機能することで、HTTP ベースの攻撃を検知および軽減します。
BIG-IP Global Traffic Manager
BIG-IP Application Security Manager
BIG-IP Local Traffic Manager
• フルプロシキ DNS アーキテクチャ: すべての DNS リクエストを検証し、すべての DNS レ
スポンスを提供しつつ、DNS DDoS フラッドを軽減します。
ホワイト ペーパー
• F5 のアプリケーション デリバリ コントローラ: 高性能かつ高容量の暗号オフロード ハー
ドウェアにより SSL DDoS 攻撃を吸収することで、SSL リソースを保護します。
The DDoS Threat Spectrum
Mitigating DDoS Attacks with
F5 Technology
• F5 は、iRules® のスクリプト言語によるその豊富なデータプレーン プログラミングに基づ
REFERENCE
ARCHITECTURE: DDoS Protection
き、ゼロデイ攻撃を防御してきた長年に渡る経験があります。
CONTENT TYPE: Architecture Diagram
AUDIENCE: IT Director/Security Engineer
CUSTOMER SCENARIO: Enterprise Data Center
次世代
ファイアウォール
第2層
第1層
ネットワーク攻撃:
ICMP フラッド、
UDP フラッド、
SYN フラッド
マルチ ISP
戦略
企業ユーザ
SSL 攻撃:
SSL 再ネゴシエーション、
SSL フラッド
金融サービス
正規ユーザ
E-コマース
ISPa/b
DNS 攻撃:
DNS アンプ攻撃、
クエリ フラッド、
ディクショナリ攻撃、
DNS ポジショニング
DDoS
攻撃者
クラウド
スクラビング
サービス
ネットワーク
および DNS
HTTP 攻撃:
スロー POST、
Slowloris、
再帰的 POST/GET
アプリケーション
IPS
脅威インテリジェンスの情報
スキャナ
匿名
プロキシ
匿名リクエスト ボットネット
サブスクライバ
戦略的な制御ポイント
攻撃者
二層 DDoS 対策アーキテクチャにより、スケール セキュリティ コンポーネントの効率性と柔軟性が向上します。
合同会社
東京本社
〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階
TEL 03-5114-3210 FAX 03-5114-3201
西日本支社
〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階
TEL 06-7222-3731 FAX 06-7222-3838
www.f5networks.co.jp
©2013 F5 Networks, Inc. All rights reserved.F5、F5 Networks、および F5 のロゴは、米国および他の所定の国における F5 Networks, Inc. の商標です。その他の F5 の商標は f5.com に記載されています。本文中に記載されているその他の製品、サービス、または社名
はすべて各所有者の商標であり、明示または黙示を問わず、F5 が承認または認知するものではありません。1013 SOLP-SEC-11851-ddos-protection 1013