Azure Front Door の DDoS 保護

Azure Front Doorはコンテンツ配信ネットワーク (CDN) であり、世界中の 192 のエッジ ポイント (POP) にトラフィックを分散することで、HTTP(S) DDoS 攻撃から配信元を保護するのに役立ちます。 これらの POP では、Azure の大規模なプライベート WAN を使用して、Web アプリケーションとサービスをより迅速かつ安全にエンド ユーザーに提供します。 Azure Front Door には、レイヤー 3、4、7 の DDoS 保護と Web アプリケーション ファイアウォール (WAF) も含まれ、一般的な悪用や脆弱性からアプリケーションを保護できます。

インフラストラクチャ DDoS 保護

Azure Front Door は、既定の Azure インフラストラクチャ DDoS 保護の恩恵を受けます。 この保護は、Azure Front Doorのネットワークのグローバル スケールと容量を使用して、ネットワーク層攻撃をリアルタイムで監視および軽減します。 これは、Microsoft のエンタープライズ サービスとコンシューマー サービスを大規模な攻撃から保護してきた実績があります。

プロトコルのブロック

Azure Front Door では HTTP プロトコルと HTTPS プロトコルのみがサポートされており、要求ごとに有効な Host ヘッダーが必要です。 この動作は、さまざまなプロトコルとポートを使用するボリューム攻撃、DNS 増幅攻撃、TCP ポイズニング攻撃など、一般的な DDoS 攻撃の種類を防ぐのに役立ちます。

吸収容量

Azure Front Door は、毎秒数十万件の要求を処理する Microsoft 独自のクラウド製品など、多くのお客様にサービスを提供する大規模でグローバルに分散されたサービスです。 Azure のネットワークのエッジに配置されている Azure Front Door は、大量の攻撃を傍受して地理的に分離できるため、悪意のあるトラフィックが Azure ネットワークのエッジを越えて到達するのを防ぐことができます。

キャッシュ

Azure Front Door caching 機能を使用して、攻撃によって生成された大量のトラフィックからバックエンドを保護します。 エッジ ノードAzure Front Doorキャッシュされたリソースが返されるため、これらのリソースはバックエンドに転送されません。 動的な応答でキャッシュの有効期限 (秒または分) が短い場合でも、バックエンド サービスの負荷を大幅に削減できます。 キャッシュの概念とパターンの詳細については、キャッシュに関する考慮事項に関するページやキャッシュ アサイド パターンに関するページを参照してください。

Web アプリケーション ファイアウォール (WAF)

Azure Web Application Firewall (WAF) を使用して、さまざまな種類の攻撃から保護します。

• マネージド ルール セットは、多くの一般的な攻撃からアプリケーションを保護します。 詳細については、マネージド規則に関するページをご覧ください。
• 特定の地理的リージョンから静的 Web ページへのトラフィックをブロックまたはリダイレクトします。 詳細については、geo フィルタリングに関するページを参照してください。
• 悪意があると特定された IP アドレスと範囲をブロックします。 詳細については、IP の制限に関するページをご覧ください。
• レート制限を適用して、IP アドレスがサービスを頻繁に呼び出すのを防ぐことができます。 詳細については、レートの制限に関するページをご覧ください。
• 既知の署名を持つ HTTP または HTTPS 攻撃を自動的にブロックし、レート制限するためのカスタム WAF ルールを作成します。
• ボット保護マネージド ルール セットは、既知の不適切なボットからアプリケーションを保護します。 詳細については、ボット保護の構成に関するページをご覧ください。

Azure WAF を使用して DDoS 攻撃から保護する方法については、「Application DDoS protection」を参照してください。

仮想ネットワークの配信元を保護する

パブリック IP を DDoS 攻撃から保護するには、配信元の仮想ネットワークで Azure DDoS Protection を有効にします。 このサービスでは、コスト保護、SLA 保証、攻撃の際に DDoS Rapid Response Team に相談してエキスパートの支援を受けるなど、より多くのメリットが得られます。

Private Link

Azure Private Link を使用して Azure Front Door へのアクセスを制限することで、Azure でホストされる配信元のセキュリティを強化します。 この機能により、Azure Front Door とアプリケーション サーバー間にプライベート ネットワーク接続が確立され、配信元をパブリック インターネットに公開する必要がなくなります。

関連するコンテンツ

• Azure Front Door の WAF ポリシーを設定します。
• Azure Front Door プロファイルを作成します。
• Azure Front Door のしくみについて確認します。