Azure DDoS Protection は、公開されているリソースを分散型サービス拒否攻撃から保護します。 次の推奨事項は、DDoS 保護が有効になっており、環境全体で適切に監視されていることを確認するのに役立ちます。
すべての Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項の概要については、 Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項を参照してください。
レコメンデーション
VNet 内のすべてのパブリック IP アドレスに対して DDoS Protection が有効になっている
分散型サービス拒否 (DDoS) 攻撃は、アプリケーション コンピューティング、ネットワーク、またはメモリ リソースを過剰に使用し、正当なユーザーがアクセスできないサービスをレンダリングすることを目的としています。 インターネットに公開されている公開エンドポイントは、潜在的なターゲットです。 Azure DDoS Protection は、パブリック IP アドレスをターゲットとするネットワーク層攻撃に対する常時オン監視と自動軽減を提供します。 保護を有効にするには、個々のパブリック IP で直接 DDoS IP 保護を使用するか、DDoS 保護プランを使用して仮想ネットワーク レベルで DDoS ネットワーク保護を使用します。 DDoS Protection がないと、Application Gateway、Load Balancer、Azure Firewall、Azure Bastion、Virtual Network Gateway、仮想マシンなどのサービスのパブリック IP は引き続き、帯域幅やシステム リソースを使い果たす可能性のある攻撃にさらされ、依存サービス間で連鎖的な停止が発生します。 このチェックでは、すべてのパブリック IP アドレスがいずれかの方法で DDoS 保護の対象になっていることを確認します。
修復アクション
- Azure DDoS Protection の概要
- Azure portal を使用して Azure DDoS Network Protection を作成して構成する
- Azure portal を使用して Azure DDoS IP Protection を作成して構成する
- Azure DDoS Protection SKU の比較
DDoS で保護されたパブリック IP に対してメトリックが有効になっている
Azure DDoS Protection は、パブリック IP アドレスの高度な軽減機能を提供し、レイヤー 3 とレイヤー 4 での帯域幅消費型およびプロトコル分散型サービス拒否 (DDoS) 攻撃を自動的に検出して軽減します。 アプリケーション層 (レイヤー 7) の DDoS 保護の場合は、Web アプリケーション ファイアウォール (WAF) と組み合わせて Azure DDoS Protection を使用します。 メトリックが有効になっていない DDoS 保護では、セキュリティ チームが攻撃トラフィック パターン、軽減アクション、または保護ポリシーの有効性を観察できない可視性のギャップが生じます。 監視対象外のパブリック IP に対して DDoS 攻撃が発生した場合、インシデント レスポンダーには、受信パケット数、軽減中に破棄されたバイト数、識別された攻撃ベクトル、軽減トリガー イベントなどの重要なテレメトリがありません。 これにより、サービスの低下が発生するまで攻撃が気付かれない可能性があるため、検出が遅れます。 また、DDoS イベントとアプリケーションのパフォーマンスの問題の相関関係を防ぎ、攻撃パターンを分析して予防的な防御を改善する機能を排除します。 DDoS メトリックを有効にすると、アクティブなインシデント対応とインシデント後の分析の両方に不可欠な、攻撃状態、処理および破棄されたパケットとバイト、TCP/UDP/SYN フラッド メトリックがリアルタイムで可視化されます。
修復アクション
- Azure DDoS Protection メトリックと診断ログを構成する
- Azure リソースの診断設定を構成する
- Azure DDoS Protection の概要
- Azure portal を使用して Azure DDoS Network Protection を作成して構成する
DDoS で保護されたパブリック IP に対して診断ログが有効になっている
パブリック IP アドレスに対して Azure DDoS Protection が有効になっている場合、診断ログにより、分散型サービス拒否 (DDoS) 攻撃パターン、軽減アクション、トラフィック フロー データが重要に可視化されます。 診断ログがないと、セキュリティ チームは、攻撃の特性を理解し、軽減効果を検証し、インシデント後の分析を実行するために必要な可観測性がありません。 Azure DDoS Protection では、攻撃検出と軽減イベント用の DDoSProtectionNotifications、アクティブな軽減中の詳細なフロー レベル情報の DDoSMitigationFlowLogs、包括的な攻撃の概要のための DDoSMitigationReports という 3 つのカテゴリが生成されます。 これらのログは、継続的な攻撃の検出、インシデントの調査、コンプライアンス要件の満たす、および保護ポリシーのチューニングに不可欠です。
修復アクション