ソリューション プロファイル | DDoS プロテクション DDoS プロテクション アーキテクチャの構築 分散型サービス拒否(DDoS)攻撃は、絶えず変化しています。目的がサービス停止であること は変わりませんが、攻撃者がますます高度になり、攻撃がますます巧妙化しています。攻撃の 動機もさらに金銭的または政治的になり、標的にされた犠牲者の被害もさらに深刻化してい ます。 以前、DDoS 攻撃はレイヤ 3 ∼ 4 に集中し、ネットワーク ファイアウォールがその防御の要と して機能していました。これに対し、攻撃者は、スタックを上げ、SSL およびアプリケーション 層の攻撃に切り替え、リソースを対象とするようになりました。 従来のネットワーク ファイアウォールでは、これらの攻撃の量と技術に対応できません。これ らのファイアウォールは、処理するトラフィックの状況を把握できないので、多層攻撃を防御 できません。 クラウド型のスクラビング サービスは、大規模な大量攻撃に対抗するツールとして開発されま した。しかし、あらゆる DDoS 攻撃を対して、包括的に防御することはできません。アプリケー ション サーバを標的とした攻撃(ビジネス ロジック攻撃など)や DNS サーバを標的とした攻 撃だけでなく、SSL 暗号化通信に隠された攻撃も軽減するには、強力なオンプレミス セキュ リティが必要です。 F5 多層アーキテクチャ: 全層保護 壊滅的な被害を与える可能性のある DDoS 攻撃と向かい合い、多くの金融業界の顧客や企業 は、DDoS を防ぐためにそのネットワークを再設計することが必須となりました。F5 は、この ようなお客さまと協力することで、2 層間に F5 セキュリティ製品を含む DDoS プロテクショ ン アーキテクチャを開発しました。第 1 層は、DNS およびレイヤ 3 とレイヤ 4 の DDoS 攻撃 を防御します。ネットワーク攻撃への対策を分離することで、第 2 層は、その CPU リソースを 使用して上位層のアプリケーション プロトコルを保護できます。この戦略の効果はすでに、F5 の数か所のカスタマ データ センタで証明されています。 この多層アーキテクチャにより、第 2 層のアプリケーション層は、第 1 層と独立して拡張でき ます。また、第 2 層内で、異なるコード バージョン、プラットフォーム、およびセキュリティ ポリ シーを使用できます。たとえば、F5 の Web アプリケーション ファイアウォールの新しいポリ シーを第 2 層の単一のスタンドアロン ユニットに導入できます。次に、第 1 層は、新しいポリ シーが検証されるまで、1 % のトラフィックを第 2 層に送信できます。 中小企業は、IT への投資の価値を最大限に高めるようとして、 単一の統合型セキュリティ プ ラットフォームを統合します。F5 は、このような企業向けに、DNS や SSL など、レイヤ 3 ∼ 7 の DDoS 攻撃を防御する、コスト効率に優れた一層ソリューションを提供します。 主な機能 • スケ ール およびパ フォーマ ン ス : 最 大 57,600 万の同時接続、640 Gbps のス ループット、および 1 秒あたり 800 万の 接続に対応します。 • インテリジェンスおよびコンテキスト: 着 信接続の異常なレイテンシーを監視し、 攻撃者と有効なユーザを区別します。 • 全層保護: ネットワーク、DNS、SSL お よび アプリケーションのすべての層で DDoS セキュリティを確保します。プロト コル(UDP、TCP、SIP、DNS、HTTP およ び SSL)だけでなく、アプリケーションも 保護します。 • 動的な脅威の軽減: F5 iRules を使用し て、ゼロデイの動的なセキュリティ コンテ キストを作成します。 主な特長とメリット • ネットワーク インフラストラクチャを保 護: 専用のハードウェアおよびフルプロキ シ アーキテクチャにより、攻撃をネット ワークに到達する前に軽減します。 • ブランドの評判を維持: 顧客は常に Web アプリケーションを介してビジネスを行 うことができます。 • 標的型攻撃を防御: 幅広い DDoS 攻撃ベ クトルに対応し、巧妙化する攻撃を軽減 します。 • コストを削 減 : D D o S プロテクション サービスを既存の F5 プラットフォームで 統合することで、OpEx コストを削減でき ます。 ソリューション プロファイル | DDoS プロテクション 詳細について ソリューション F5 の DDoS 対策ソリューションの詳 細については、以下の参照資料をご覧 になるか、f5.com の検索機能をご利用 ください。 F5 の DDoS ソリューションのコンポーネントは、アプリケーション レベルでも効果的に機能 し、拡張性に優れた高性能フルプロキシ アーキテクチャをサポートします。また、これらのコ ンポーネントは、埋め込み型として、ミラー ポートのトラフィックをサンプリングまたは監視す るのではなく、すべてのユーザ接続を検査するため、本質的なセキュリティを提供します。これ により、世界中の F5 の顧客は、10 年以上に渡り毎日 DDoS に対処しています。通常、F5 は、 DDoS 攻撃に対処し、可用性を保証する唯一のソリューションとして位置付けられます。 ソリューション F5 DDoS Protection F5 の DDoS 対策ソリューションは、以下に示す F5 セキュリティ ポートフォリオのインテリ ジェントで拡張性に優れた各コンポーネントの本質的なセキュリティに基づいています。 製品 • 高性能ネットワーク ファイアウォール機能: SYN フラッドおよび ICMP フラッドなどの ネットワーク層を標的とした DDoS 攻撃を防御します。 BIG-IP Advanced Firewall Manager • 業界をリードする Web アプリケーション ファイアウォール: アプリケーション レベルでも 効果的に機能することで、HTTP ベースの攻撃を検知および軽減します。 BIG-IP Global Traffic Manager BIG-IP Application Security Manager BIG-IP Local Traffic Manager • フルプロシキ DNS アーキテクチャ: すべての DNS リクエストを検証し、すべての DNS レ スポンスを提供しつつ、DNS DDoS フラッドを軽減します。 ホワイト ペーパー • F5 のアプリケーション デリバリ コントローラ: 高性能かつ高容量の暗号オフロード ハー ドウェアにより SSL DDoS 攻撃を吸収することで、SSL リソースを保護します。 The DDoS Threat Spectrum Mitigating DDoS Attacks with F5 Technology • F5 は、iRules® のスクリプト言語によるその豊富なデータプレーン プログラミングに基づ REFERENCE ARCHITECTURE: DDoS Protection き、ゼロデイ攻撃を防御してきた長年に渡る経験があります。 CONTENT TYPE: Architecture Diagram AUDIENCE: IT Director/Security Engineer CUSTOMER SCENARIO: Enterprise Data Center 次世代 ファイアウォール 第2層 第1層 ネットワーク攻撃: ICMP フラッド、 UDP フラッド、 SYN フラッド マルチ ISP 戦略 企業ユーザ SSL 攻撃: SSL 再ネゴシエーション、 SSL フラッド 金融サービス 正規ユーザ E-コマース ISPa/b DNS 攻撃: DNS アンプ攻撃、 クエリ フラッド、 ディクショナリ攻撃、 DNS ポジショニング DDoS 攻撃者 クラウド スクラビング サービス ネットワーク および DNS HTTP 攻撃: スロー POST、 Slowloris、 再帰的 POST/GET アプリケーション IPS 脅威インテリジェンスの情報 スキャナ 匿名 プロキシ 匿名リクエスト ボットネット サブスクライバ 戦略的な制御ポイント 攻撃者 二層 DDoS 対策アーキテクチャにより、スケール セキュリティ コンポーネントの効率性と柔軟性が向上します。 合同会社 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 TEL 03-5114-3210 FAX 03-5114-3201 西日本支社 〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階 TEL 06-7222-3731 FAX 06-7222-3838 www.f5networks.co.jp ©2013 F5 Networks, Inc. All rights reserved.F5、F5 Networks、および F5 のロゴは、米国および他の所定の国における F5 Networks, Inc. の商標です。その他の F5 の商標は f5.com に記載されています。本文中に記載されているその他の製品、サービス、または社名 はすべて各所有者の商標であり、明示または黙示を問わず、F5 が承認または認知するものではありません。1013 SOLP-SEC-11851-ddos-protection 1013
© Copyright 2024 Paperzz