Embed Size (px)
Citation preview
事前対応型の DDoS 緩和制御による DDoS 攻撃の 0 秒での緩和
1事前対応型の DDoS 緩和制御
エグゼクティブサマリーAkamai は、現在、事前対応型の緩和制御を通じて、Prolexic プラットフォームに対する年間 1 万件以上の DDoS 攻撃のうちの 65% 超を、お客様に影響を及ぼすことなく 0 秒で緩和しています。
Prolexic プラットフォームにより瞬時に緩和される DDoS 攻撃の件数は、過去 4 年間で急増しています。Akamai ではこの増加の要因を、お客様への能動的なサービスの提供に加え、ベースラインのネットワークトラフィックに基づいて事前対応型の緩和対策を実施し、管理できる能力にあると考えています。
Akamai では、15 年間にわたり、業界屈指の SLA で DDoS 攻撃を検知し、緩和することに成功してきました。実際の DDoS イベント発生時に最善の結果を得るために、お客様トラフィックの高度なプロファイリングや事前対応型の緩和制御などの新機能を用いて、Akamai がどのようにして業界をリードし続けているかについて説明します。
この調査では、Prolexic プラットフォームによる事前対応型の緩和の現状と、自動化されたハードウェアベースの緩和テクノロジーよりも勝る利点、さらには現在の市場で最高の DDoS 防御を提供するために Akamai が行う、お客様の緩和ポリシーの管理方法およびセキュリティの確保方法について説明します。
0
1000
2000
3000
4000
5000
6000
2013 2014 2015 2016 2017
事前に緩和された DDoS 攻撃イベント
2事前対応型の DDoS 緩和制御
用語DDoS 攻撃 お客様のインフラストラクチャに対する分散型サービス妨害攻撃。
DDoS 攻撃イベント 特定のお客様を標的とした同時 DDoS 攻撃のグループ。
事前対応型の緩和制御平時に展開される事前対応型の対策で、お客様のネットワークへの悪意のあるトラフィックをブロックする機能。
事前対応型の緩和対策 お客様の事前対応型の緩和制御の完全なセット。
顧客プロファイルお客様のサブネットや宛先 IP で予測されるトラフィックの内訳。ポート、プロトコル、タイプ、フラグ、TTL など。
ランブック
DDoS の脅威や攻撃が発生した際に、どのようにしてお客様に連絡をし、お客様のサブネットや宛先 IP アドレスを運用するかについて説明した指示書。これには、介入するタイミングやどの防御策を取るかなどが含まれます。
サービス検証 お客様のベースラインを把握し、ランブックを構成するプロセス。
事前対応型の緩和統計 – 会計年度 2017
事前に緩和された攻撃 攻撃イベントの平均ピーク量 事前対応型の緩和の合計量
9,981 1.52 Gbps 1.2 PB 超
事前対応型の DDoS 緩和のピーク量
2017 年に事前に緩和された攻撃の大部分は 10 Gbps 未満ですが、その値を超えたものも数多くありました。
大量の攻撃は、迅速かつ十分に対処しないと、インバウンドリンクの飽和とネットワーク機器の過負荷を引き起こす可能性があります。大量の攻撃を受けた際に遅延や渋滞ポイントが発生すると、後進波によりお客様の上流プロバイダーが渋滞し、緩和が複雑で時間のかかるものになります。
クラウドベースの DDoS 防御と事前対応型の緩和対策を組み合わせれば、大規模なすばやい攻撃でも、お客様がご認識される前に対応することができます。
3事前対応型の DDoS 緩和制御
ケーススタディ:記録的な攻撃の事前対応型の緩和
2018 年 2 月 28 日に、ピーク時には 1.3 Tbps に達した攻撃が、Prolexic プラットフォームによって事前に緩和されました。
あるオンデマンドのお客様は、Prolexic SOCC(Security Operations Command Center)とやり取りした際に大規模攻撃を受けていましたが、迅速に再ルーティングし、Prolexic を防御するための手順を開始しました。BGP(Border
Gateway Protocol)の発表がインターネット上に広まるまで、このお客様のサイトはダウンしました。このお客様のプレフィックスが Prolexic プラットフォームにルーティングされると、エンドユーザーとお客様は、この攻撃の影響を受けることはなくなりました。
この攻撃ベクトルが最初に見つかったのは、わずか数日前でした。これは、Prolexic プラットフォームをご利用になっているさまざまなお客様や業界の中で 7 回検知されましたが、そのうち 5 回はお客様の事前対策によって事前に緩和されました。Akamai の SIRT チームとエンジニアリングチームが連携してリスクを評価し、事前対策を推奨したため、SOCC によってグローバルな緩和制御が展開されました。
これは比較的珍しい措置であり、極めて危険なベクトルに対してのみ実施されます。このお客様がトラフィックを
Prolexic プラットフォームにルーティングすると、このお客様に対する攻撃は基本的に、Akamai の世界中のスクラビングセンターに設置されている防御シールドに対して行われました。
この攻撃は瞬時に緩和され、以下に示すように、お客様の通常のクリーンなトラフィックが、影響を受けることなくお客様のオリジンに戻されました。
0
10
20
30
40
50
60
70
2017/1/1 2017/2/20 2017/4/11 2017/5/31 2017/7/20 2017/9/8 2017/10/28 2017/12/17
事前に緩和された DDoS 攻撃イベントのピーク(Gbps)
4事前対応型の DDoS 緩和制御
さらに、ネットワークモニタリング企業である Thousand Eyes が、このイベントの詳細な記事を公開しました。
事前対応型の DDoS 攻撃ベクトル
事前対応型の緩和制御をうまく活用すれば、UDP フラグメント、DNS フラッド、さらには SYN フラッドなどの多数のポートやプロトコルを標的とする、さまざまな DDoS 攻撃ベクトルに対処できます。
緑色のエリア 赤色のライン 青色のエリア
Prolexic サービスへのインバウンドトラフィックの合計 緩和済みの DDoS 攻撃トラフィック お客様に配信される合法
的なトラフィック
0
500
1000
1500
2000
2500
3000
3500
4000
4500
5000
UDP フラグメント
DNS フラッド
NTP フラッド
CharGEN 攻
撃
UDP フラッド
CLDAP リ
フレクション
SSDP フ
ラッド
SYN フラッド
SNM
P フラッド
ACK フラッド
TCP 異常
UDP フラッド
GET フラッド
RIP フラッド
RESET フラッド
TFTP
フラッド
ICM
P フラッド
PUSH フラッド
FIN フラッド
Netbio
s フラッド
GRE プロトコルフラッド
SQL サーバーリフレクション
POST フ
ラッド
mDNS フラッドXM
AS
SYN PUSH
TCP フラグメント
コネクションフラッド
予約済みプロトコルフラッド
SSL P
OST フラッド
2017 年の攻撃ベクトル別 DDoS 緩和
事前に緩和済み 緩和済み
5事前対応型の DDoS 緩和制御
事前対応型の DDoS 緩和:傾向
2017 年は、Prolexic プラットフォームでの事前対応型の緩和制御による攻撃緩和にとって成功の年でした。以下は、2013 年にそうした制御が最初に事前適用されて以降の、着実な増加傾向を示しています。
事前対応型の DDoS 緩和:内容クラウド内で大規模に開始される前に DDoS 攻撃を阻止
事前対応型の緩和とは、攻撃が発生する前に、攻撃を阻止する制御体制を確立することを意味します。お客様の事前対応型の緩和対策は、お客様と Akamai SOCC の協力関係によって策定されました。これには、お客様が自身の環境で予想されるものとして(正常であるとして)規定した基準に一致しないトラフィックをドロップするための制御を実装することも関わってきます。Akamai は、お客様のネットワークのトラフィックパターンを調査し、プロファイリングし、学習した後、事前対応型のお客様制御を確立できます。制御を展開する前に、Akamai はお客様と協力して、リスクが発生する可能性のある領域(休眠状態のバックアップシステム、まれなイベントなどのコーナーケース)を特定します。これは、過剰緩和の可能性を回避するとともに、お客様のネットワークに到達する前に何を事前にブロックするかについて、お客様の正式な承認と文書による同意を得るためです。
準備することで、事前対応型の緩和が可能になります。
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2013Q1
2013Q2
2013Q3
2013Q4
2014Q1
2014Q2
2014Q3
2014Q4
2015Q1
2015Q2
2015Q3
2015Q4
2016Q1
2016Q2
2016Q3
2016Q4
2017Q1
2017Q2
2017Q3
2017Q4
緩和タイプ別の攻撃イベント
事前に緩和済み 緩和済み
6事前対応型の DDoS 緩和制御
事前対応型の緩和を設定する手順は、次のようにシンプルです。
1. お客様が Akamai SOCC チームと連携して、サービス検証演習をコーディネートします。
2. Akamai が平時のお客様のトラフィックをプロファイリングし、トラフィック・ベースライン・プロファイルを作成します。
3. Akamai SOCC が事前対応型の緩和制御と全体的なポリシーを推奨します。
4. 推奨事項が、お客様と Akamai SOCC の連携によって確認されます。
5. 両者の合意をもって、事前対応型の緩和ポリシーが実施されます。
このプロセスは、合意を得た際や、新たな攻撃やベクトルが出現し、お客様のネットワークが進化した際に実施されます。
事前対応型の緩和対策
事前対応型の緩和対策は、お客様のアタックサーフェス(攻撃の対象となり得る領域)を減らすために使用されます。攻撃の対象となり得るトラフィックに対して、お客様のサブネットや個々の IP アドレスをロックダウンすることで、Akamai は撃者の好む既知のレーンを取り除くことができます。
例 1:お客様のトラフィックが Prolexic ネットワークを介してルーティングされるサービス検証期間の後、特定のサブネットが UDP トラフィックのみにサービスを提供していることがわかります。外部の TCP トラフィックをすべてブロックすることが推奨されます。特定のサブネットで UDP トラフィックのみを許可するルールを適用する前に、Akamai SOCC チームがお客様とともに検証を行います。
例 2:お客様のトラフィックが Prolexic ネットワークを介してルーティングされるサービス検証期間の後、保護された領域で、お客様が少数の個々の IP アドレスから、公開されている DNS サービスを実行していることがわかります。これらの IP への DNS トラフィックを制限することが推奨されますが、お客様とのサービス検証時に、お客様の敷地内にスタンバイモードで動作している追加の DNS サーバーがあることが明らかになります。これらのサーバーは、トラフィックをブロックするルールを適用する前に、許可されている
DNS サーバーのリストに追加されます。
前述の例 1 は明快ですが、例 2 は Akamai SOCC およびサービスチームと、お客様のセキュリティチームおよびネットワーキングチームとの間に協力関係が必要であることを示しています。「絶対にない」と「今はない」(または「通常はない」)は、事前対応型の DDoS 防御の世界では絶対に混同されてはなりません。
Akamai にはインターネット全体に流れるトラフィックについて重要な知見を有していますが、それぞれのお客様は、お客様固有のネットワークを流れるトラフィックについて、Akamai よりもはるかに熟知されています。例 2 では、もしも Akamai が観測されている DNS トラフィックのみを許可しており、DNS サーバーがメンテナンス(または障害など)のためにダウンしてコールド・スタンバイ・サーバーと置き換えられていたとしたら、Akamai はトラフィックを必要以上にブロックしすぎていたかもしれません。
効果的なパートナーシップ
Akamai SOCC は、いつ何時でも、多数の DDoS 攻撃からお客様を防御できます。
SOCC チームは 、DDoS 環境に精通し、最新の脅威について、Akamai Security Incident Research Team(SIRT)と緊密にやり取りし、調整を行っています。
7事前対応型の DDoS 緩和制御
Akamai continuously updates traffic profiles for all customer subnets that are routed through the Prolexic platform in an “always on” deployment. For On-demand customers, the last known profile is kept once they route off (typically after an attack or a regularly scheduled service validation). The Akamai SOCC, SIRT, and Threat research teams analyze customer traffic profiles and tie them back to the thousands of DDoS attacks we have mitigated. This approach enables Akamai to suggest effective proactive mitigation postures by leveraging thorough knowledge of not only the evolving DDoS attack landscape but also a customer’s traffic profile.
PROACTIVE VS. AUTOMATED DDoS MITIGATION Proactive mitigation controls are often confused with automated or reactive controls. Reactive controls require traffic to be observed for a certain amount of time or reach a certain volume before an attack is confirmed and mitigation is attempted. Potential attack traffic must be inspected and deemed malicious before mitigation controls can be applied, let alone become effective. Whether it is a human-driven or automated response process, it takes time. Hence, DDoS SLAs are often measured as time to apply mitigation with caveats like “once activated,” “post detection,” or “in the event of a sustained DDoS attack.” What good is a 10-second SLA if it takes minutes for mitigation to kick in?
お客様は、ビジネス継続性に組織が置いている価値に加え、自社のネットワークとリスクの許容度を最も良く理解しています。双方が連携して事前対応型の緩和ポリシーを確立し、積極的に管理することは、制御が攻撃ベクトルに一致した場合に緩和時間を 0 秒に効果的に短縮するために、欠かせないステップです。
クラウドのファイアウォールではない
事前対応型の緩和対策の目的は、クラウドベースのファイアウォールを構築することではありません。これは、可能ではありますが、非常に手間がかかります。Akamai のお客様は、多様で流動的なネットワークを運用しています。こうしたお客様は、Akamai とともに毎回変更管理プロセスを実施されたいわけではなく、DNS サーバーの IP アドレスを交換するなどのシンプルな変更をネットワークで実施したいと考えています。
Akamai の目標は、最も一般的で影響の大きい DDoS 攻撃に対して保護を導入し、未使用のポート、プロトコル、サービスをブロックすることです。
Akamai の事前対応型の DDoS 防御によって、お客様の柔軟性や敏捷性が低下することはありません。DDoS 攻撃からシンプルかつ自動的に防御されるので、業務を通常どおり行う際の心配事が 1 つ減ります。
トラフィックのプロファイリング
お客様のトラフィックを効果的にプロファイリングすることが、事前対応型の緩和を成功させる鍵となります。
Akamai は、「常時稼働」方式により、Prolexic プラットフォームにルーティングされるお客様のサブネットすべてのトラフィックのプロファイルを継続的にアップデートしています。オンデマンドのお客様の場合は、ルーティングが断たれると(通常は攻撃後や定期的なサービス検証後)、最後に確認されたプロファイルが維持されます。
8事前対応型の DDoS 緩和制御
Akamai SOCC、SIRT、および脅威調査チームは、お客様のトラフィックのプロファイルを分析し、それを Akamai
が緩和した数千件もの DDoS 攻撃に結びつけています。このアプローチにより、Akamai は進化し続けている DDoS
攻撃環境だけでなく、お客様のトラフィックのプロファイルについての十分な知識を活用することで、効果的な事前対応型の緩和対策を提案できます。
「事前対応型」と「自動」の DDoS 緩和
事前対応型の緩和制御は、自動または事後対応型の制御と混同されることがよくあります。
事後対応型の制御では、攻撃を確認し、緩和を試行するまでに、トラフィックを一定時間、または一定の量に達するまで観察する必要があります。潜在的な攻撃トラフィックが検査され、悪意があるとみなされてから、緩和制御が適用され、有効になります。それが人間によるものであれ、自動応答プロセスであれ、時間がかかります。そのため、DDoS の SLA は緩和が適用される時間として評価される場合が多く、「アクティブ化後」、「検知後」、「持続的な
DDoS 攻撃の場合」などの注意事項が明記されます。
緩和を開始するまでに数分かかるとすれば、10 秒の SLA を規定したところで何の役に立つでしょうか。
有効な緩和時間(TTM) = 攻撃検知時間 + 緩和適用時間 + 緩和が有効になるまでの時間
自動緩和分析および展開期間中は、DDoS 被害者にとっての選択肢は非常に限られています。
1. 任意のレート制御を採用する(合法的/非合法的なトラフィックを同様にブロックする)
2. 攻撃トラフィックが検知され、可用性に影響を及ぼすまで待つ
これらの選択肢のいずれもが問題であり、大きな影響、まさに、攻撃者が与えようとしている種類の影響を及ぼす傾向にあります。事前対応型の緩和ポリシーには、分析期間と展開期間は必要ありません。このポリシーは、攻撃が開始された瞬間に有効になります。さらに、事前対応型の緩和制御は、履歴署名ストアを使用せず、ゼロデイ攻撃に有効です(こうした新手の攻撃では、通常はお客様の環境とやり取りしないネットワークサービスが使用される傾向があります)。
事前対応型の緩和が導入されると、事実上の TTM は 0 秒になります。
これは、トラフィックがすぐに急増する最新の DDoS 攻撃ネットワークに加え、自動クラウド型やオンプレミスとクラウドハイブリッド型の DDoS 防御の脆弱性を悪用する、パルス波 DDoS 攻撃の登場に伴い、特に重要になっています。
頻繁に攻撃を受ける Akamai のお客様は、執拗な DDoS 問題の簡単な解決策として、Akamai の事前対応型の緩和ポリシーを大いに活用しています。攻撃の頻度がそれほど高くない Akamai のお客様は、Akamai と提携して事前対応型の緩和対策を展開することで、アタックサーフェス(攻撃の対象となり得る領域)を大幅に縮小し、多数の潜在的な攻撃に対して事実上 0 秒の TTM を実現できるため、ご安心いただけます。
9事前対応型の DDoS 緩和制御
事前対応型の緩和対策
事前対応型の緩和対策は、非常に簡単なことのように思われます。お客様の保護された領域で、一定の場所(またはあらゆる場所)からの一部のトラフィックタイプを拒否するだけです。そうした制御を管理することこそが、真の課題となります。Akamai のお客様の多くは、数百万個もの IP アドレスや数十種類のインターネット向けサービスに加え、数え切れないほどのユースケースを持つ複雑なネットワークを管理しています。
幸いにも、Akamai は、こうした複雑でたえず変化する環境に従事するよう幅広い教育を受けたセキュリティエキスパートが 24 時間/ 365 日体制で対応する、マルチサイト SOCC を運営しています。Akamai の緩和ポリシー導入ツールは、マルチテナント運用向けに構築されています。つまり、変更はすべてお客様にバインドされており(Customer -Bound)、事実上、お客様の緩和対策が他のお客様の緩和対策に影響すること(二次汚染)が発生しないことを意味しています。
緩和制御のアップデート
大規模なイベントの前や特定の脅威が発生した後で、緩和対策の見直しが必要な場合でも、ご安心ください。SOCC
のスペシャリストが常に待機し、お客様をサポートします。SOCC のスペシャリストは、24 時間/ 365 日体制で対応し、必要に応じて緩和対策の追加、変更、削除を行うことができます。
緩和制御のピアレビュー
緩和ポリシーはすべて、Akamai SOCC 内で監査プロセスであるピアレビューを受け、その効果を継続的にモニタリングされます。これは、緩和ポリシーが実際に DDoS 攻撃が発生した際に導入される場合でも、平時に事前導入される場合でも同様に行われます。
Proactive mitigation postures seem pretty straightforward: Deny some traffic type(s) from somewhere (or anywhere) to somewhere within a customer’s protected space. Managing these controls constitutes the real challenge. Many of Akamai’s customers run complex networks with millions of IP addresses, dozens of Internet-facing services, and myriad use cases. Fortunately, Akamai operates a multi-site SOCC staffed 24/7 with security experts who have been extensively trained to work in these complex and ever-changing environments. Akamai’s mitigation policy implementation tools are built for multi-tenant operations — meaning all changes are customer-bound, effectively eliminating the chance of one customer’s mitigation posture impacting another’s (a.k.a. cross contamination).
MITIGATION CONTROL UPDATES Need a review of your mitigation posture before a big event or after a specific threat? Rest assured — a SOCC specialist is always available and ready to help. They can add, alter, or remove mitigation postures as needed, around the clock, seven days a week.
MITIGATION CONTROL PEER REVIEW All mitigation policies are subject to an audited peer review process within the Akamai SOCC and are continuously monitored for effectiveness. This is true whether the policies are deployed during an active DDoS attack or proactively during peacetime.
MITIGATION CONTROL MONITORING Akamai’s 24/7 global SOCC monitors all DDoS activity regardless of mitigation stance. Customers receive the same attack reporting whether attacks are actively or proactively mitigated. Monitoring of proactive mitigation controls helps identify changes on customer subnets and allows for appropriate tuning.
10事前対応型の DDoS 緩和制御
緩和制御のモニタリング
Akamai の 24 時間/ 365 日体制のグローバル SOCC では、緩和スタンスに関係なく、すべての DDoS アクティビティをモニタリングしています。攻撃が実際に発生している場合でも、事前に緩和済みの場合でも、お客様には同様の攻撃レポートが提供されます。事前対応型の緩和制御をモニタリングすれば、お客様のサブネットの変化を特定でき、適切な調整が行えます。
購入可能な最も優れた DDoS 防御Akamai のクラウド・セキュリティ・プラットフォームは、時代を超えて生き残り、比類なき DDoS 検知、応答、SLA に裏付けられた緩和時間を実現することで、お客様のセキュリティニーズに応えます。Akamai のウェブ高速化や配信サービスと組み合わせることで、Akamai のクラウド・セキュリティ・プラットフォームは最大限のアップタイムを実現するとともに、業界屈指のパフォーマンスを実現します。
お客様と協力して事前対応型の緩和制御を展開することは、大規模な攻撃への緩和効果を向上させる極めて効果的な方法であることが実証されています。ただし、事前対応型の緩和は、Akamai SOCC チームが採用している多数のツールや機能の一例にすぎません。Akamai は、DDoS 検知時間と緩和の効果をたえず改善し続けています。
事前対応型の緩和制御や DDoS 緩和製品機能の詳細については、Akamai アカウントチームまでお問い合わせください。
世界最大、かつ最も信頼性の高いクラウド・デリバリー・プラットフォームを有する Akamai は、デバイスや場所に関係なく、最高、かつ最もセキュアなデジタル体験をお客様に提供します。Akamai の大規模な分散型プラットフォームは、世界 130 か国に 20 万台を超えるサーバーを擁する比類のない規模を誇り、お客様に優れたパフォーマンスと脅威からの保護を提供しています。ウェブ/モバイルパフォーマンス、クラウドセキュリティ、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、優れたカスタマーサービスと 365 日 /24 時間体制のモニタリングによって支えられています。グローバルトップの金融機関、e コマース事業者、メディア・エンターテインメント企業、政府機関等が、Akamai を信頼する理由について、www.akamai.com/jp/ja/ または blogs.akamai.com/jp/ および Twitter の @Akamai_jp でご紹介しています。全事業所の連絡先情報は、www.akamai.com/jp/ja/locations.jsp をご覧ください。公開日:2018 年 4 月。
