機械制御/振動騒音
IR情報 会社情報

「クラウド」は万能の解決策か

Tom Bienkowski (2016年3月14日)
DDoS、ddos攻撃、ddos緩和、ファイアウォール、セキュリティレポート。


ARBOR
 

今日、「クラウド」という言葉を耳にしない日はありません。いえ、天気予報の「一部曇り(partly-cloudy)」などのことではありません。そうではなく、「iCloud」「eCloud」「myCloud」といった「Cloud(クラウド)」を冠したさまざまなフレーズが、絶えず聞こえてくるのです。

 

クラウドコンピューティングで約束されたメリットが実を結んだことは間違いありません。そして、DDoS攻撃からの防御において、クラウドは非常に重要な役割を果たします。

 

DDoS攻撃は通常、以下の3種類のいずれかに分類されます。

 

ボリューム型DDoS攻撃

 

この種類の攻撃は、ターゲットのネットワーク/サービス内、またはターゲットのネットワーク/サービスとインターネット間の帯域幅を消費しようとします。

 

TCPステートを枯渇させるDDoS攻撃

 

この種類の攻撃は、ロードバランサー、ファイアウォール、アプリケーションサーバ自体など、さまざまなインフラストラクチャコンポーネントに存在する接続状態テーブルを消耗させようとします。

 

アプリケーション層DDoS攻撃

 

少量低速の攻撃です。わずかな(ときには1台の)攻撃マシンで低速のトラフィックを生成するだけで非常に大きな成果を挙げることができます。このような攻撃を検出し、緩和するのは非常に困難です。

 

Arborの第11回ワールドワイドインフラストラクチャセキュリティレポートには、次のような報告があります。

 

最大攻撃は500 Gbps。

回答者の約4分の1が、ピーク時の攻撃を100 Gbps超と報告。

エンタープライズとデータセンターの回答者の半分超が、インターネット接続を完全に飽和状態 (サチュレーション) にさせた攻撃を確認。

 

これらの統計 (とくに最後の項目) をエンタープライズの観点から見ると、このような大規模攻撃を阻止する唯一の方法がクラウドを利用した避難にあることは、明らかです。言い換えると、このような攻撃を阻止するには、ISPやMSPPが非常に重要な役目を果たします。なぜなら、攻撃が到達した時点ではすでに遅く、そのときには、インターネットに接続するルータインタフェースやオンプレミスでの保護に大きな影響が出ているからです。

 

ただし、クラウドがDDos攻撃すべてを解決してくれるわけではありません。第11回ワールドワイドインフラストラクチャセキュリティレポートには、次のような内容があります。

 

回答者の56%が、インフラストラクチャ、アプリケーション、サービスを同時に標的としたマルチベクトル攻撃 (ボリューム型攻撃、TCPステート枯渇攻撃、アプリケーション層攻撃を組み合わせたもの) を確認したことがあると回答し、その数字は昨年の42%から増加。

 

回答者の93%がアプリケーション層DDoS攻撃を受けており、アプリケーション層攻撃で最もターゲットとされるサービスはDNSとなった (過去の調査ではHTTPだった)。

 

アプリケーション層攻撃の阻止については、業界のベストプラクティスとして、オンプレミスでの保護が推奨されます。それはシンプルな理由からです。クラウド内で提供される防御や対応策は大規模なボリューム型攻撃を阻止する目的で開発されており、DDoS攻撃の多くがそのレーダをくぐり抜けてしまうためです

 

オンプレミスでの保護は、クラウド内での保護を補完します。この組み合わせは、DDoS防御に対してハイブリッド型またはレイヤー型防御と呼ばれます。さまざまな業界分析でベストプラクティスとされているアプローチです。例 :

 

http://www.infonetics.com/pr/2015/DDoS-Strategies-Enterprise-Survey.asp

 

http://www.sans.org/reading-room/whitepapers/analyst/ddos-attacks-advancing-enduring-survey-34700

 

http://ww2.frost.com/news/press-releases/protecting-your-business-ddos-attack/

 

つまり、DDoS攻撃からの保護を検討する場合、クラウドベースの保護が唯一のソリューションだと思わないでください。現在のDDos攻撃は動的なマルチベクトル型の性質を備えているので、ハイブリッド型のアプローチを継続的なスレットインテリジェンス (脅威情報) で補強する形が、最も包括的な保護を実現できると言えるでしょう。

 

ArborのDDoS攻撃からの保護ソリューションについての詳細は、こちらをご覧ください。

 

原文はこちらです。

PAGE TOP