ホワイトペーパー

F5 DDoSプロテクション・
リファレンス・アーキテクチャ
F5は、ますます高度化するアプリケーション層のDDoS攻撃を防御
するためのアーキテクチャの設計、導入、管理についてのガイダンス
を、セキュリティ・アーキテクトやネットワーク・アーキテクト向けに
提供しています。
White Paper
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
目次
はじめに
3
DDoSの4つのカテゴリ
3
DDoSプロテクション・ソリューションの構築
3
DDoSプロテクション・アーキテクチャのコンポーネント
4
マルチティアDDoSプロテクション・アーキテクチャ
6
F5の各種コンポーネントとその機能
7
代替のシングルティア・アプローチ
8
DDoSプロテクション・アーキテクチャによる可用性の確保
ティア1 – ネットワーク防御
8
8
ティア2 – アプリケーション防御
10
DNS DDoS攻撃の緩和
11
リファレンス・アーキテクチャの使用例
12
大規模FSIのDDoSプロテクション・リファレンス・アーキテクチャ
13
エンタープライズのDDoSプロテクション・リファレンス・アーキテクチャ
14
SMBのDDoSプロテクション・リファレンス・アーキテクチャ
15
サイジングの仕様
17
まとめ
18
2
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
はじめに
2012 年以降、金融機関とその顧客は次から次へと DDoS 攻撃の被害を受け、金融機関で
は DDoS からの保護を含む、ネットワークの再設計を余儀なくされています。F5 は、金融
機関向けにマルチティア DDoS プロテクション・アーキテクチャを開発しました。ティア 1
では、DNS、レイヤ 3 およびレイヤ 4 に対する DDoS を緩和します。ネットワーク攻撃への
対処から解放されたティア 2 では、CPU リソースを使用してより高位のレイヤのアプリケー
ション・プロトコルを保護することができます。複数の F5 カスタマデータセンタに導入済
みのこの戦略は、すべての種類の DDoS 攻撃に対して防御することができます。
DDoS の 4 つのカテゴリ
猛烈な勢いで増し続けている DDoS の脅威は、4 つの種類に分類されると F5 は考えてい
ます(大量、非対向、演算処理、脆弱性ベース)。これらの攻撃の分類には、以下の特徴
があります。
•
大量̶レイヤ 3、4、または 7 が対象のフラッドベース攻撃
•
非対向̶タイムアウトまたはセッション状態の変化を引き起こす攻撃
•
演算処理̶ CPU とメモリを消費する攻撃
•
脆弱性ベース̶ソフトウェアの脆弱性を利用する攻撃
これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の高い企
業は特定の方法でこれらを導入して、セキュリティの確保に最大限取り組んでいます。この
ような企業と連携して各社のコンポーネントの調整を繰り返し、F5 は特定規模や業界要件
を持つデータセンタに対する DDoS を緩和するアーキテクチャを開発してきました。
DDoS プロテクション・
ソリューションの構築
次のアーキテクチャは、定評のあるコンポーネントで構築されたマルチティア DDoS プロテ
クション・システムです。一部のデバイスは F5 以外のベンダおよびサプライヤが提供して
いますが(ファイアウォールおよびクラウドベースのスクラビングデバイス)、代替製品をお
勧めできない F5 ならではのコンポーネントもあります。
3
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
DDoS プロテクション・アーキテクチャのコンポーネント
表 1 は、4 つのカテゴリの DDoS 攻撃と DDoS アーキテクチャのコンポーネントを対応させ
たものです。
攻撃のカテゴリ 攻撃緩和コンポーネント
大量
非対向
演算処理
脆弱性ベース
推奨サプライヤ
クラウドベースのスクラビングサービス
Prolexic、Verizon、VeriSign
Webアプリケーション・ファイアウォール
F5
Webアプリケーション・ファイアウォール
F5
アプリケーション・デリバリ・コントローラ F5
ネットワーク・ファイアウォール
F5
IPレピュテーション・データベース
Webroot
侵入検知 /侵入防止システム(IDS/IPS)
Sourcefire
アプリケーション・デリバリ・コントローラ F5
表 1: DDoS 緩和コンポーネントと攻撃の種類
クラウドベースの DDoS スクラビングサービス
外部のクラウドベースの DDoS スクラビングサービスは、
あらゆる DDoS 緩和アーキテクチャ
の重要なコンポーネントです。攻撃者が組織の 1 Gbps 入力ポイントで 50 Gbps のデータを
送信した場合、オンプレミスの装置ではこの問題に対処できません。この問題は、沢山の人
が一度にドアに殺到することに似ています。このクラウドサービスは、実際のパブリックク
ラウドまたは組織の帯域サービスプロバイダでホストされ、良好とみられるデータから明ら
かな不良データを大まかに仕分けして、問題に対処します。
現在のところ、使用可能な入力帯域幅をすべて消費するほど大量な攻撃はごくわずかですが、
クラウド・サービス・サプライヤとの合意が必要になる可能性は十分あり、ソリューション全
体の中でクリティカルになることがあります。ただし、クラウドベースのスクラビングは、ク
ラウド・サービス・ベンダが推奨したとしても適切ではありません。
クラウドベースの DDoS スクラビング
サービスを選択する方法 :
· 攻撃される前に選びます。攻撃発生
後に支払う料金は倍増します。
· 頻繁に攻撃される業種の場合、定額
の月極めプランを選びます。
· 攻撃の頻度がそれほど高くないと予
測される場合は、攻撃単位で支払い
ます。ポリシーは定期的に見直します。
· プロバイダとの交 渉時には、サービ
スの毎年テストを認める条件を追加
します。
今日の多くの組織が認識しているように、ハッカーはこれらのクラウドサービスすべてを理
解しています。攻撃対象にサービスのコスト上昇をもたらしたり、クラウドサービスが認識
しないアプリケーションレイヤの攻撃を行います。低速なゆっくりとした攻撃は、クラウド
ベースのスクラビングサービスによる検出を回避するのに特に効果があります。また、スク
ラビングサービスでは一般的に、トラフィックや Web フォーム POST の暗号化を処理でき
ません。
4
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
DDoS 対応ネットワーク・ファイアウォール
ネットワーク・ファイアウォールは長い間、境界のセキュリティの要となってきました。しかし、
DDoS 攻撃にはまったく対抗できません。実際、数多く導入されているファイアウォールは、
単純なレイヤ 4 の攻撃でも無効になる可能性があります。ファイアウォールが攻撃を認識し
て緩和しなければ、大量のスループット能力では対処できません。
レイヤ 3 および 4 ベースのセキュリティ制御デバイスの場合は、DDoS 対応の大容量ネット
ワークデバイスを選択されることをお勧めします。特に、
(数千単位ではなく)数百万の同
時接続をサポートし、正規のトラフィックに影響せずに SYN フラッドを撃退できるデバイス
を探してください。
アプリケーション・デリバリ・コントローラ
アプリケーション・デリバリ・コントローラは、ネットワークにコントロールの戦略的ポイン
トを提供します。選択、プロビジョニングおよび管理を適切に行えば、DDoS への防御を劇
的に強化します。たとえば、フルプロキシの F5 アプリケーション・デリバリ・コントローラは、
HTTP や DNS などの一般的なプロトコルを検証することによって、演算処理および脆弱性ベー
スの脅威を軽減します。F5 がフルプロキシのアプリケーション・デリバリ・コントローラをお
勧めするのはこのためです。
DDoS プロテクションが統合されている Web アプリケーション・ファイアウォール
この種類の Web アプリケーション・ファイアウォールは、アプリケーションのセキュリティ
ポリシーを理解して適用する高レベルのコンポーネントです。このコンポーネントは大量型
の HTTP フラッドでも脆弱性ベースの攻撃でも、アプリケーションレイヤの攻撃を認識して
緩和します。Web アプリケーション・ファイアウォールは複数のベンダが提供しています。
DDoS アーキテクチャの有効性を高めるために、F5 独自の Web アプリケーション・ファイ
アウォールをお勧めします。その理由は以下のとおりです。
•
F5 の Web アプリケーション・ファイアウォールは、アンチハッキング、Web スクレ
イピング保護、PCI 準拠などの追加のサービスを提供します。
•
アプリケーション・デリバリ・コントローラと Web アプリケーション・ファイアウォー
ルを組み合わせて使用することで、アプリケーション・デリバリとアプリケーション・
セキュリティ・ポリシーを同時に利用できます。
•
F5 アプリケーション・デリバリ・コントローラは SSL トラフィックをオフロードお
よび検査します。Web アプリケーション・ファイアウォールと組み合わせることで、
SSLL ターミネーションと暗号化されたペイロードのセキュリティ分析を 1 つのデバイ
スに統合できます。
5
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
侵入検知 / 侵入防止システム
侵入検知 / 侵入防止システム
(IDS/IPS)が DDoS の緩和で担う役割はわずかです。IDS/IPS は
(レ
イヤ 4 ファイアウォールへの統合など)1 カ所に導入しないことをお勧めします。IDS/IPS は、
データベースや特定の Web サーバなど、追加の特別な保護が必要になるバックエンド・コ
ンポーネントの前面にある特定のインスタンスに実装してください。
IP レピュテーション・データベース
IP レピュテーション・データベースは、DDoS 攻撃者があとで利用して侵入するために既知
のスキャナを使用してアプリケーションを探るのを防ぐことで、非対向 DoS 攻撃に対する
防御力を高めます。IP レピュテーション・データベースは F5 が推奨する 2 層アーキテクチャ
のどちらの層とも連携可能で、内部で生成することも、外部のサブスクリプション・サービ
スから利用することもできます。
マルチティア DDoS プロテクション・
アーキテクチャ
高帯域環境には、2 層の DDoS ソリューションをお勧めします。境界上の第 1 層はレイヤ 3
および 4 のネットワーク・ファイアウォール・サービスで構成し、第 2 層への単純なロード
SSL ターミネーションや Web アプリケーション・ファ
バランシングを組み込みます。第 2 層は、
イアウォール・スタックなど、より高度で CPU 負荷の高いサービスで構成します。
REFERENCE ARCHITECTURE: DDoS Protection
CONTENT TYPE: Architecture Diagram
AUDIENCE: IT Director/Security Engineer
CUSTOMER SCENARIO: Enterprise Data Center
次世代
ファイアウォール
ティア2
ティア1
ネットワーク攻撃:
CMPフラッド、
UDPフラッド、
SYNフラッド
複数のISP戦略
企業ユーザ
金融サービス
SSL攻撃:
SSL再ネゴシエーション、
SSLフラッド
正規ユーザ
E-コマース
ISPa/b
DNS攻撃:
DNS増幅、
クエリフラッド、
辞書攻撃、
DNSポイゾニング
DDoS
攻撃者
クラウド・
スクラビング・
サービス
ネットワーク
およびDNS
HTTP攻撃:
Slowloris、
スローPOST、
再帰POST/GET
アプリ
ケーション
サブスクライバ
IPS
脅威フィード情報
スキャナ
匿名
プロキシ
匿名要求
ボット
ネット
攻撃者
コントロールの戦略的ポイント
図 1: 2 層の F5 DoS プロテクション・リファレンス・アーキテクチャ
6
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
マルチティアアプローチには明確な利点があります。
1.
各層を個別にスケーリングできます。
たとえば、Web アプリケーション・ファイアウォー
ルの使用が増えたら、第 1 層に影響を及ぼさずに、第 2 層に別のアプライアンス(ブ
レード)を追加できます
2.
各層には異なるハードウェア・プラットフォームを使用できます。バージョン違いのソ
フトウェアも使用できます。
3.
新しいポリシーを第 2 層に適用した場合、新しいポリシーの検証が完全に終わるま
で、トラフィックの一部だけを第 1 層から第 2 層に転送できます。
F5 の各種コンポーネントとその機能
表 2 は、特定の機能を提供するために必要なコンポーネントを示しています。F5 の DDoS
プロテクション・リファレンス・アーキテクチャのコンポーネントは以下のとおりです。
•
BIG-IP® Advanced Firewall Manager ™ (AFM)
•
BIG-IP® Local Traffic Manager ™ (LTM)
•
BIG-IP Global Traffic Manager ™ (GTM)
•
BIG-IP Application Security Manager ™ (ASM)
7
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
ティア1
ティア2
F5のコンポーネ
ント
BIG-IP AFM
BIG-IP LTM
DNS
BIG-IP GTM
OSIモデル
レイヤ3-4
レイヤ7
BIG-IP ASM
およびDNS Express™
機能
ネットワーク・ファイアウォール
SSLターミネーション
ティア1ロードバランシング
Webアプリケーション・ファイ DNSSEC
アウォール
BIG-IP LTM
IPレピュテーションのブラック
リスト
緩和される攻撃
SYNフラッド
セカンダリ・ロード・バラン
シング
DNS
DNS解決
Slowloris
UDPフラッドDNSフラッド
スローPOST
NXDOMAINフラッド
マルフォームパケット
Apache Killer
DNSSEC攻撃
TCPフラッド
RUDY/Keep Dead
既知の不良アクター
SSL再ネゴシエーション
ICMPフラッド
表 2: F5 のコンポーネントと DDoS 緩和機能
代替のシングルティア・アプローチ
高帯域環境には 2 層アーキテクチャが推奨されますが、低帯域環境にはマルチティア DDoS プロテ
クションは過剰です。そのような環境には、アプリケーション・デリバリにネットワーク /Web アプリ
ケーション・ファイアウォール・サービスを統合した、境界用の DDoS 緩和デバイスを導入します。
この場合にもこのドキュメントでお勧めしている方法は有効です。代替アーキテクチャでは、ティア 1
およびティア 2 への参照は統合された単一の層に適用されます。
DDoS プロテクション・アーキテクチャに
よる可用性の確保
ティア 1 – ネットワーク防御
第 1 層はネットワーク・ファイアウォール周辺に構築します。SYN フラッドや ICMP フラグメントフラッ
ドなどの演算処理攻撃を緩和する設計です。この層は、入力ポイントを輻輳させる大量攻撃も緩和
します
(一般的に、
仕様のパイプサイズの 80 ∼ 90%)。F5 のお客様の多くが IP レピュテーション・デー
タベースをこの層で統合し、DDoS 攻撃中に IP アドレスを制御します。
8
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
組織によっては、DNS を第 1 層から DMZ の DNS サーバに渡します。この構成では、レイ
ヤ 4 のコントロールで、サーバに送信する前に DNS パケットを検証できます。
ティア1:L3-4とDNSの保護
ネットワーク・
ファイアウォール・サービス
+ ティア2への単純な
ロードバランス
AFM
LTM
VIPRIONプラットフォーム
+ IPインテリジェンス(IPI)モジュール
DNSサービス
GTM
BIG-IPプラットフォーム
図 2: ネットワークレイヤの DDoS 攻撃に対するティア 1 の保護
演算処理の DDoS 攻撃に注目する : TCP 接続フラッドおよび
SSL 接続フラッドの緩和
TCP 接続フラッドはレイヤ 4 の攻撃であり、ネットワーク上のステートフルデバイス、特に
DDoS 防御機能がないファイアウォールに影響します。この攻撃は各ステートフルデバイス
上にある、フロー接続テーブルのメモリを消費します。このような接続フラッドには、コン
テンツが含まれていないことがあります。ティア 1 は、接続を大容量の接続テーブルに吸収
することで、この攻撃を緩和できます。TCP 接続フラッドは、フルプロキシ・ファイアウォー
ルで緩和することができます。
SSL 接続フラッドは、暗号化されたトラフィックをターミネートするデバイスを特に攻撃す
るように設計されています。SSL 接続は暗号化コンテキストを保持しなければならないため、
メモリを 50,000 ∼ 100,000 バイト消費します。そのため、SSL 攻撃は特に影響が大きい攻
撃と言えます。TCP 接続フラッドと SSL 接続フラッドを緩和するには、容量とフルプロキシ
技術の両方を使用されることをお勧めします。
9
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
表 3 は、F5 ベースのネットワーク・ファイアウォールに関する接続容量の一覧です。
プラットフォーム・シリーズ
TCP 接続テーブルサイズ
SSL 接続テーブルサイズ
VIPRIONシャーシ
12∼144百万
1∼32百万
ハイエンド・アプライアンス
24∼36百万
2.5∼7百万
ミドルレンジ・アプライアンス
24百万
4百万
ローレンジ・アプライアンス
6百万
0.7∼2.4百万
Virtual Edition
3百万
0.7百万
表 3: F5 ハードウェア・プラットフォームの接続容量
ティア 2 – アプリケーション防御
第 2 層にはアプリケーションを識別する CPU 負荷の高い防御メカニズムを展開することを
お勧めします。たとえば、ログインウォール、Web アプリケーション・ファイアウォール・
ポリシー、および F5® iRules® を使用する動的なセキュリティ・コンテキストなどのメカニズ
ムです。これらのコンポーネントはしばしば、この層でターゲットの IDS/IPS デバイスとラッ
クスペースを共有します。
ティア 2 では、通常、SSL ターミネーションも処理します。ティア 1 で SSL をターミネートす
る場合もありますが、SSL キーおよびポリシーの機密をセキュリティ境界で維持するため、
この方法は一般的ではありません。
ティア2:L7の保護
WEBアプリケーション・
ファイアフォール・サービス
+ SSLターミネーション
ASM
LTM
BIG-IPプラットフォーム
図 3: アプリケーションレイヤの DDoS 攻撃に対するティア 2 の保護
10
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
非対向の DDoS 攻撃に注目する : GET フラッドの緩和
再帰 GET および POST は、今日最も有害な攻撃となっています。正規のトラフィックと区
別することが極めて難しいためです。GET フラッドはデータベースやサーバに過大な負荷を
かけ、
「フルパイプのリバース」の原因ともなります。F5 の記録では、1 人の攻撃者が 100
Mbps の GET クエリをターゲットに送信して 20 Gbps のデータを引き出した事例があります。
GET フラッドの緩和戦略には以下のものが含まれます。
•
ログインウォールの防御
•
DDoS 保護プロファイル
•
リアル・ブラウザ・エンフォースメント
•
CAPTCHA
•
リクエスト・スロットリング iRules
•
カスタム iRules
これらの戦略に対する構成と手順については、F5 DDoS の推奨プラクティスに関するドキュ
メントに記載しています。これらの各戦略は、ティア 2 で Web アプリケーション・ファイア
ウォール・デバイスのスタックを使用することで利用できます。
DNS DDoS の緩和
DNS は、HTTP の後の第 2 のターゲット・サービスです。DNS が中断されると、すべての
外部データセンタサービス(単一のアプリケーションだけではなく)が影響を受けます。こ
の重大な単一障害点は、その他の処理能力が十分ではない DNS インフラストラクチャとと
もに、DNS が攻撃を受けやすい原因になっています。
クエリフラッドに対する DNS サービスのオーバー・プロビジョニング
DNS サービスは、歴史的に処理能力が十分ではありません。DNS デプロイメントの大部分
が処理能力が十分ではなく、小規模から中規模の DDoS 攻撃にも耐えることができません
でした。
DNS サービスのパフォーマンスを飛躍的に向上させ、標準の DNS クエリ攻撃に対する回復
(Non-Existent
力を増すため、DNS キャッシュが一般的になりました。攻撃者は NXDOMAIN
Domain)と呼ばれる攻撃をするようになり、パフォーマンスに関するキャッシュの利点は
あっという間になくなっています。
11
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
これに対処するため、フロントエンドの BIG-IP GTM DNS サービスを、高パフォーマンスの
特別な DNS プロキシモジュール(DNS Express)とともに使用されることをおすすめします。
DNS Express は既存の DNS サーバの前面で、高機能リゾルバとして動作します。ゾーン情
報をサーバから読み込み、各要求を解決するか NXDOMAIN を返します。キャッシュではな
いため、NXDOMAIN クエリフラッドでは空にできません。
DNS サービスの配置の検討
DNS サービスを、最初のセキュリティ境界から離して、デバイスセットとして配置することが
あります。これは、提供するアプリケーションから DNS を独立させておく方法で行われます。
たとえば、セキュリティ境界の一部がダウンすると、DNS はリクエストをセカンダリ・データ・
センタまたはクラウドに転送します。DNS をセキュリティ層およびアプリケーション層から分
離しておくことは、柔軟性と可用性を最大限に維持するための効果的な戦略です。
複数のデータセンタを持つ大規模企業では、BIG-IP GTM と DNS Express および BIG-IP
AFM ファイアウォール・モジュールを組み合わせて、DNS をメインのセキュリティ境界の外
部に置く場合があります。このアプローチの主な利点は、DDoS でティア 1 のファイアウォー
ルがオフラインになっても DNS サービスを利用できることです。
DNS が DMZ の内側と外側のどちらにあっても、BIG-IP GTM または BIG-IP AFM が、DNS
リクエストが DNS サーバに到達する前に検証できます。
リファレンス・アーキテクチャの使用例
リファレンス・アーキテクチャを使用する一般的な顧客シナリオの例を 3 つご紹介します。
1. 大規模金融サービス機関(FSI)データセンタ
2. エンタープライズ・データ・センタ
3. 中小規模企業(SMB) データセンタ
以下の使用例ごとに、導入シナリオの図、個別の使用例の簡単な説明、そのシナリオでの
F5 コンポーネントの推奨されるサイジングを記載しています。追加のサイジング情報につい
ては表 7 をご覧ください。
12
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
REFERENCE ARCHITECTURE: DDoS Protection
CONTENT TYPE: Product Map
AUDIENCE: Security Architect
CUSTOMER SCENARIO: Large FSI Data Center
大規模 FSI の DDoS プロテクション・リファレンス・
アーキテクチャ
ISPa
DDoS攻撃
ネットワーク・ファイア
ウォール・サービス
+ ティア2への単純な
ロードバランス
AFM
パートナ
DDoS攻撃
ティア2:L7の保護
ティア1:L3-4とDNSの保護
顧客
Webアプリケーション・
ファイアウォール・
サービス
+ SSLターミネーション
LTM
ASM
BIG-IPプラットフォーム
ISPb
複数の
ISP戦略
LTM
VIPRIONプラットフォーム
+ IPインテリジェンス(IPI)モジュール
クラウド・
スクラビング・
サービス
SSL
再暗号化
DNSサービス
ネットワークHSM(FIPS140)
GTM
両方の層でのSSLインスペクション
BIG-IP Advanced Firewall Manager
BIG-IPプラットフォーム
BIG-IP Local Traffic Manager
BIG-IP Global Traffic Manager
BIG-IP Application Security Manager
シンプルなビジネスモデル
良
優良
最高
+ IP情報
図 4: 大規模な FSI のデータセンタ展開シナリオの F5 DDoS プロテクション
FSI のカスタマシナリオ
大規模 FSI データセンタのシナリオは、DDoS に対して成熟した、よく知られている使用例
です。FSI が現在構築しているものです。一般的に、FSI は複数のサービスプロバイダを持っ
ていますが、クラウドベースのスクラビングサービスを選んで、これらのサービスプロバイ
ダの大量 DDoS サービスの利用を避けることがあります。FSI のデータセンタはスタッフが
少数であることが多いため、次世代ファイアウォールは必要ありません。
FSI は連邦 / 軍以外では最も厳格なセキュリティポリシーを持っています。たとえば、ほぼ
すべての FSI は、データセンタ全体でペイロードを暗号化しています。FSI は価値が最も高
い情報資産クラス(銀行口座)をインターネット上に持っているため、高い頻度で攻撃の対
象になります。DDoS だけではなくハッキングの対象にもなります。2 層のアーキテクチャで
は、ティア 1 への投資とは切り離して、ティア 2 で CPU 負荷の高い包括的なセキュリティポ
リシーを拡張できます。
この使用例では、既存のセキュリティ設備を維持(活用)しながら、DDoS に耐えられる
ソリューションを作成できます。ティア 1 のファイアウォールは機能したまま、ティア 2 の
BIG-IP ASM がセキュリティ侵害を防ぎます。
13
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
場所
F5の装置
ティア1
VIPRIONシャーシ(ペア)
VIPRIONアドオン: BIG-IP AFM
ティア2
ミドルレンジBIG-IPアプライアンス
ライセンスアドオン: BIG-IP ASM
DNS
ミドルレンジBIG-IPアプライアンス(ペア)
表 4: FSI のカスタマ導入シナリオに対する推奨サイジング
エンタープライズの DDoS プロテクション・リファレンス・
アーキテクチャ
REFERENCE ARCHITECTURE: DDoS Protection
CONTENT TYPE: Product Map
AUDIENCE: Security Architect
CUSTOMER SCENARIO: Enterprise Data Center
次世代
ファイアウォール
顧客
ISPa
DDoS攻撃
パートナ
DDoS攻撃
ISPb
ISPが大量
DDoSサービスを
提供
ティア1: L3-4とDNSの保護
ティア2: L7の保護
ネットワーク・
ファイアウォール・サービス
+ DNSサービス
+ ティア2への単純なロードバランス
Webアプリケーション・
ファイアウォール・サービス
+ SSLターミネーション
BIG-IPプラットフォーム
両方の層で
SSLを
検査可能
従業員
ユーザが発信保護に
NGFWを活用
BIG-IPプラットフォーム
+ IPインテリジェンス
(IPI)モジュール
クラウド・
スクラビング・
サービス
BIG-IP Advanced Firewall Manager
BIG-IP Local Traffic Manager
BIG-IP Global Traffic Manager
BIG-IP Access Policy Manager
BIG-IP Application Security Manager
シンプルなビジネスモデル
良
優良
最高
+ IP情報
図 5: エンタープライズのデータセンタ展開シナリオの F5 DDoS プロテクション
エンタープライズのカスタマシナリオ
エンタープライズのアンチ DDoS シナリオは大規模 FSI のシナリオと似ています。主な違いは、
エンタープライズではデータセンタ内にスタッフがおらず、次世代ファイアウォール(NGFW)
のサービスが必要な点です。入力 / 出力両方に単一の NGFW を使用することが一般的で
すが、そのため、DDoS 攻撃に脆弱です。もう 1 つの違いは、エンタープライズはしばしば
インターネット・サービス・プロバイダ(ISP)が提供する大量 DDoS サービスを使用する点
です。
14
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
推奨されるエンタープライズ・アーキテクチャでは、入力アプリケーション・トラフィックと
は別のパスに小規模の NGFW を組み込みます。2 つの層を使用するため、エンタープライ
ズは非対向スケーリングを利用できます。ティア 2 の CPU が高額な場合は、BIG-IP ASM
を追加する方法があります。
業種や会社が異なれば、要件も変わります。エンタープライズ・アーキテクチャでは、両方
の層で F5 装置を使用することで、SSL トラフィックを復号化する(および必要に応じて再暗
号化する)最適な場所を選択できます。たとえば、ティア 1 で SSL を復号化し、高度な脅威
を監視するネットワークタップに復号化したトラフィックをミラーリングすることができます。
場所
F5の装置
ティア 1
ハイエンドBIG-IPアプライアンス(ペア)
ライセンスアドオン: BIG-IP AFM
ミドルレンジBIG-IPアプライアンス
ティア2
ライセンスアドオン: BIG-IP ASM
ミドルレンジBIG-IPアプライアンス(ペア)
DNS
表 5: エンタープライズのカスタマ導入シナリオに対する推奨サイジング
REFERENCE ARCHITECTURE: DDoS Protection
CONTENT TYPE: Product Map
AUDIENCE: Security Architect
CUSTOMER SCENARIO: Small Business Data Center
SMB の DDoS プロテクション・リファレンス・アーキテクチャ
次世代
ファイアウォール
L3-7とDNSの保護
顧客
ISPa
DDoS攻撃
パートナ
DDoS攻撃
従業員
ユーザが発信保護に
NGFWを活用
ネットワーク・ファイアウォール・サービス
+ DNSサービス
+ Webアプリケーション・
ファイアウォール・サービス
+ コンプライアンス制御
ISPb
ISPが大量
DDoSサービスを
提供
BIG-IPプラットフォーム
BIG-IP Advanced Firewall Manager
BIG-IP Local Traffic Manager
BIG-IP Global Traffic Manager
BIG-IP Access Policy Manager
シンプルなビジネスモデル
良
優良
最高
BIG-IP Application Security Manager
図 6: 中小規模企業のデータセンタ導入シナリオの F5 DDoS プロテクション
15
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
SMB のカスタマシナリオ
SMB のデータセンタの使用例では、セキュリティを提供しつつ統合することがすべてであり、
投資の価値を最大限に高めることが非常に重要です。1 つのデバイスをできる限り機能さ
せ、DDoS 攻撃を受けた場合はオフラインにすることを望んでいます。
この使用例では、1 つの資産に投資を集中します。最もコスト効率に優れたソリューション
を導入しますが、可用性の最大化が課題となります。たとえば、BIG-IP ASM でポリシーを
発行する場合、またはアプリケーションの可視化およびレポート機能がトラフィックに追い
つかない場合、デバイス全体の機能が停止します。
ただし、大規模な 2 層アーキテクチャをサポートするスタッフがいない小規模組織では、1
層のアーキテクチャでリスクを軽減できます。担当するスタッフが 1 つのプラットフォームの
知識を深めていくことで効率を高めます。F5 は拡張性とパフォーマンスに優れた高可用性
システムを、リスクの低減を支援するワールドクラスのサポートとともに提供しています。
シングルティア・アーキテクチャの最大の利点は費用の節約です。優れた DDoS ソリューショ
ンを既存の設備で活用し、日常の業務で収益を創出するアプリケーションを提供します。
統合された環境は、ラックスペース、電力管理、およびその他のさまざまなコストの節約
を支援します。
場所
F5の装置
シングルティア
ミッドエンドからハイエンドのBIG-IPアプライアンスペア
ライセンスアドオン: BIG-IP GTM
ライセンスアドオン: BIG-IP ASM
ライセンスアドオン: BIG-IP AFM
ライセンスアドオン: BIG-IP APM
表 6: SMB のカスタマ導入シナリオに対する推奨サイジング
16
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
サイジングの仕様
表7は、スケーリング・リクエストを満たすためのF5の多様なハードウェアデバイスの仕様です。
スループット
SYNフラッド
SYNフラッド
(1秒あたり)
VIPRION
2400
4ブレード
シャージ
ICMP
フラッド
HTTPフラッド
SSLフラッド
(JavaScript
リダイレクト)
(2 万以上の攻撃
要求)
TCP 接続
SSL 接続
160 Gbps
196百万
100 Gbps
350,000* RPS
16,000 TPS
48百万
10百万
80 Gbps
80百万
56 Gbps
175,000* RPS
16,000 TPS
36百万
7百万
40 Gbps
40百万
32 Gbps
131,000 RPS
16,000 TPS
24百万
4百万
40百万
32 Gbps
131,000 RPS
16,000 TPS
24百万
4百万
10200V
アプライアンス
ハイエンド・ア
プライアンス
7200V
アプライアンス
ミドルレンジ・
アプライアンス
5200v
アプライアンス
30 Gbps
ローレンジ・ア
プライアンス
表7: DDoS保護のためのF5ハードウェアの仕様.特定の推奨サイジングについては、使用例のセクションをご覧ください。
17
ホワイトペーパー
F5 DDoSプロテクション・リファレンス・アーキテクチャ
まとめ
DDoS プロテクション・リファレンス・アーキテクチャの推奨事項では、F5 がお客様とともに
DDoS 攻撃の対策に長年取り組んできた経験を活用しています。中小規模企業は統合的なアプロー
チに勝機を見出しています。グローバル金融サービス機関は、推奨されている 2 層アーキテクチャ
が、すべてのセキュリティ・コントロールの理想的な配置であると考えています。エンタープライ
ズ企業でも、このアーキテクチャでセキュリティ・コントロールを再配置、再構築しています。2
層の DDoS プロテクション・アーキテクチャは、今日の DDoS の脅威に対抗するために必要な柔
軟性と管理性を継続して提供し、将来を予測可能にする必要があります。
東京本社
〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階
TEL 03-5114-3210 FAX 03-5114-3201
西日本支社
〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階
TEL 06-7222-3731 FAX 06-7222-3838
www.f5networks.co.jp
© 2013 F5 Networks, Inc. All rights reserved. F5、F5 Networks 、F5 のロゴは、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。これらの仕様はすべて予告なく変更さ
れる場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。
WP-SEC-13307-ddos-protection 1013