舞台裏: クラウドのパワーでDDoS攻撃に対抗 (2024/01/30)
舞台裏: クラウドのパワーでDDoS攻撃に対抗 (2024/01/30)
投稿者: James DeLeskie | Consulting Member of Technical Staff, OCI Global Network Engineering
クラウド・スケール保護は、特に分散型サービス拒否(DDoS)攻撃のコンテキストにおいて、エンタープライズ・サイバーセキュリティの重要な部分です。これらの攻撃は、サーバーまたはネットワークにインターネット・トラフィックの洪水を引き起こし、ターゲットとなるシステムの正常な機能を妨げるように設計されています。データが重要であり、私たちの生活は本質的にデジタルプラットフォームと結びついている時代には、このような脅威を軽減する能力が重要です。
クラウド・スケールでのDDoS攻撃は、操作の規模が非常に大きいため、アンペアアップの課題です。大量の正当なトラフィックが悪質なトラフィックを見つけることをより困難にし、正当なトラフィックの急増が攻撃と簡単に間違え、潜在的な誤報や不必要なパニックを引き起こす可能性があります。クラウド・プロバイダーは、攻撃、またはリスク・サービスの混乱、ユーザーの不満、評判の低下を迅速に特定して対処する必要があります。このブログ記事では、現在のDDoS検出および緩和の仕組みについて詳しく説明していませんが、ハイパースケール・クラウドがこれらの脅威を効果的に軽減する方法の一部を共有しています。
DDoS攻撃の絶え間ない増加
1990年代初頭、私はカナダで最初の国営ISPであるiSTARインターネットのために働き始めましたが、私たちのほとんどが2400ボーモデムまたは2.4kbpsを持っていました。これは、現在自宅にあるインターネットサービスやスマートフォン上の5Gサービスと比較してどうですか?当時、DDoS攻撃の概念は、セキュリティ上の懸念からもレーダーにはありませんでした。私が次の年にinternetMCIに移行したとき、セキュリティの状況は、SPAMの増加、アウトバウンドポート25のブロック、サービス拒否(DoS)攻撃の初期の波などの課題に支配されていました。
1996年に最初の基本的なDDoS攻撃が発生し、ニューヨークに拠点を置くISPであるPanixが標的になりました。この早期攻撃は、ターゲット・システムをリクエストで圧倒し、応答しなくしました。ミレニアムの登場により、ボットネットのようなより洗練されたDDoS技術が台頭し、2000年のYahoo!、eBay、CNNなどの著名な攻撃が生じ、前例のないメディアの注目を集め、最も著名なウェブサイトの脆弱性を明らかにしました。Yahoo!への攻撃だけで、同社の株価が低下し、世界経済への影響は11億ドルとなったと推定されています。デジタル環境が進化するにつれて、DDoS攻撃が急増し、その後の数年で悪意のあるトラフィックが急激に増加し、2007年までに驚くべき40Gbpsに達しました。
2010年までに、DDoS攻撃はさらに強力な100Gbpsの規模にまで拡大しました。この急増は、増幅攻撃によって促進され、脆弱なプロトコルを利用して、被害者に送られるトラフィックの量を増やし、ボットネットを拡張しました。これは、多くの場合、効果的なセキュリティ対策が欠けていた物事(IoT)デバイスのインターネットの使用が増加しているためです。2016年、Miraiは保護されていないIoTデバイスを利用して、前例のない620Gbps攻撃を編成しました。ネットワーク層やトランスポート層に焦点を当てた以前のDDoS攻撃とは異なり、Miraiはアプリケーション層をターゲットとし、攻撃ベクトルを多様化し、防御をより困難にします。
IoTデバイスの急増、インターネット接続の高速化、およびDDoSツールの広範な可用性のため、年間レポートでNetscoutが数え、DDoS攻撃が3Tbpsを超えると、驚異的な1,300万件の攻撃に直面しています。さまざまなセキュリティやネットワーク設計の欠陥を調査するマルチベクター戦略を含む攻撃の複雑さは、検出と軽減の課題を引き起こす非常に複雑な脅威の状況につながっています。
図1: DDoS攻撃の進化
DDoSの管理
クラウドスケールのDDoS管理の詳細を調べる前に、エンタープライズのサーバーとストレージの大部分が配置、操作および管理されているデータ・センターで、変化し続けるこのDDoSビーモスに対処するための戦略的アプローチを見てみましょう。
図2: DDoS管理システムのライフサイクル
DDoS検出
攻撃について何かをする前に、我々はそれを見つけなければならない。ここでは、DDoSの検出ステップを示します。アプリケーション、サービス、データなどの無数のデジタル・ビイングをホストする、光沢のあるデジタル・スタジアムとしてのサービスを想像してください。ネットワークトラフィックは群衆であり、壮大なショーを目撃するために暖かくなります。ここで、DDoS攻撃を望ましくない暴徒として、変装を着て、ゲートを台無しにし、混沌の地点までスタジアムを混雑させたとします。DDoS攻撃を検出する手法は、ゲートに警戒するバウンサーを配置し、着信する群衆をスキャンしてベースラインを分析するようなものです: 常に現れる通常のファンを理解する。
DDoS攻撃は巧妙であり、正当なユーザーとして偽装し、バウンサーが自分自身を第二に推測します。例えば、IPスプーフィングは、他の人のファンギアをブレンドするようなものです。多くの場合、Webアプリケーション・ファイアウォール(WAF)と組み合わされて、ルーターはハイテク・スキャナのように動作し、隠された動機について全員を精査します。関係するIPアドレスや送信されるデータのタイプなどを調べます。
DDoS緩和
警報の鐘が鳴り、攻撃が起きている。デジタル・スタジアムの健全性をどのように保護しますか?DDoS緩和サービス(スーパーヒーロー)に注意してください。彼らは群衆を飛び込んで、別の会場(DDoSの用語では、スクラビングセンター)に誘導し、トラフィックを振り分け、本物のファンをスタジアムに送り返し、ウーリガンをブロックします。しかし、最も強大なシールドでさえその限界があり、偽陽性は、偶然に真のファンを離れてしまうようなものです。ビジネスを続けたいなら、恐ろしい考えです。
鍵となるのは、回復性、適応性、そして永遠の警戒です。技術、戦術、および知識を最先端に保ちます。これは、十分に大規模な体積攻撃によって、最もサイバーネットで強化された弾薬でさえも圧倒される可能性があるためです。夢とデータのデジタル・スタジアムでは、DDoSの嵐が、構築した驚異に無駄をかけないようにしましょう。
学習と反復
DDoS攻撃から学習し、これらのデジタル・ストームのループを閉じる方法について説明します。圧倒的なコンサート会場は、前夜の混沌の後の静けさを想像してみてください。さて、攻撃パターンからどのように学び、将来の虐殺のためにスタッフとシステムを準備しますか?
まず最初に、サイバー探偵のように攻撃を分析します。彼らはボットの軍隊を送ったのか。それとも、津波データだったのでしょうか。攻撃の性質を理解することは、戦略を策定し、防御を再調整する上で極めて重要です。
次に、正当なユーザーと悪意のあるDDoSトラフィックを区別する方法を学習します。どう思う?AIと機械学習(ML)は、異常なトラフィックパターンを特定し、敵から友人を識別するモデルを作成するのに役立ちます。次に、コミュニケーション・チャネルを強化します。エレクトリック・ギター・リフのように細かく調整された、明確でオーケストレーションされたレスポンス・プランがあります。チームおよびインターネット・サービス・プロバイダ(ISP)に通知し、DDoS緩和サービスを使用している場合は、それらにも通知します。誰もが気づくべきです。
最悪の結果が出たら、何が起こったのかを分析する。何が抜けたの?何がもっとうまくできただろうか。The crux is learning to evolve.十字架は進化を学んでいるので、これらの発見を神聖なテキストのように文書化します。デジタル環境は絶えず変化し、システムは絶えず進化していく必要があります。DDoS攻撃のたびに、システムが成長し、学習し、デジタル領域のセンチエント・ガーディアンになるのを想像してください。
最後に、あなたの知恵を共有しましょう。サイバーコミュニティは反逆者と先駆者の集団である。調査結果を共有し、他の人から学習することで、コミュニティはDDoS世界のデジタル・マローダーに対する集団的な盾になります。そこには、DDoS攻撃のループを学習、適応およびクローズするためのロードマップがあります。
今では、すべてが素晴らしいように聞こえますが、クラウド・サービス・プロバイダー(CSP)ほど簡単ではないようです。
チャレンジ
CSPは、すべての顧客に対するビジネス上の影響を効果的かつ効率的に防止する上で、ますます困難な役割を果たしています。顧客は、コストが蓄積されるまで影響を受けないため、クラウド内のDDoSを軽減できません。トラフィックは抑制される前に到達する必要があり、オブジェクト・ストレージなどの一部のクラウド・サービスは自動的にスケーリングされるため、手遅れの請求時間まで問題が発生しないようにコストがかかります。そのため、すべてのクラウドは、エージェンシの危険を回避するために、必須かつ無料のDDoS検出と軽減を提供する必要があります。また、利用可能なすべての低レベルのツールを使用して、できるだけ上流で問題を回避する必要があります。
DDoSの検出と緩和でも、大規模な規模と地理的範囲のため、クラウド・サービスを運用する際の課題は拡大されます。トラフィックは単一の場所から発生するものではなく、世界中のあらゆる場所から発生するため、DDoS攻撃はいつでもどこからでも発生し、これらの攻撃を検出して処理するために常に警戒する必要があります。
クラウド・サービスに対するDDoS攻撃は、ボリューム攻撃でネットワークを浸水させる、プロトコル攻撃でデータ処理メカニズムを中断させる、またはアプリケーション・レイヤー攻撃で特定のアプリケーションをターゲットにするなど、様々な形式で発生する可能性があります。クラウドで提供される多様なサービスは、攻撃によって混乱が一連のカスケードを解き放ち、単一のWebサイトや企業だけでなく、数千人や数百万人のユーザーに影響を及ぼす可能性があることを意味します。攻撃を迅速に特定して阻止できなければ、サービスが中断され、顧客の不満がクラウド・プロバイダの評判を損なう可能性があります。ただし、適切な戦略、最先端のテクノロジー、専門のプロフェッショナル・チームによって、この課題に効果的に取り組むことができます。クラウドの本質は、物事を大規模に管理することであり、確かにセキュリティも含まれます。
ハイパースケール・クラウド保護の力
クラウドのスケーラビリティと柔軟性は、DDoS攻撃に対処するための堅牢なプラットフォームを提供します。広大なグローバル分散アーキテクチャにより、クラウドは、従来型のISP防御を圧倒するトラフィックの突然の流入に対応できる無限の能力を備えています。この方法は、クラウド・スケール保護の本質であり、いくつかのレベルで動作します。
クラウドベースのDDoSサービスの最も重要な効率の1つは、リソース割当てです。独自のDDoS緩和を実行する場合、そのタスクに多くのリソース(人間と技術の両方)を捧げます。しかし、クラウドベースのサービスでは、その責任はプロバイダに移行します。そのため、チームは、コア・ビジネス・オペレーションの実行という、最善を尽くすことに集中できます。大規模なDDoS攻撃が発生した場合、クラウド・プロバイダーの膨大なネットワークとリソースのおかげで、クラウドベースのサービスをスケールアップして課題に対応できます。独自のシステムを実行している場合は、最悪のシナリオに備える必要があります。つまり、ほとんどの時間アイドル状態になる可能性のある多くのインフラストラクチャに投資し、維持します。
クラウド・スケール保護は、DDoS攻撃との闘いにおいて、次の主要な利点を提供します。
- スケーラビリティ: クラウドの膨大なリソースは簡単にスケール・アップまたはスケール・ダウンして突然のトラフィック・サージを処理できるため、DDoS攻撃を軽減するための理想的なソリューションとなります。
- 回復力: グローバルに分散したアーキテクチャにより、クラウドは高いレベルの回復力を提供します。ネットワークの一部がDDoS攻撃の影響を受けても、残りのネットワークは引き続き機能します。
- インテリジェンス: 高度なMLおよびAIテクノロジーにより、クラウド・スケール保護サービスはトラフィックをインテリジェントに分析およびフィルタリングし、悪意のあるリクエストを特定してブロックできます。
- コスト効率: クラウドを使用することで、企業はハードウェアおよびインフラストラクチャへの多大な先行投資を必要とせずに、強力なDDoS緩和サービスにアクセスできます。この可用性により、クラウド・スケール保護はあらゆる規模の企業にとってコスト効率に優れたソリューションとなります。
- 柔軟性: クラウドスケールの保護サービスを迅速かつ簡単に既存のシステムに統合し、進化する脅威環境に対する柔軟で適応性の高いソリューションをビジネスに提供できます。
- グローバル・リーチ: クラウドのグローバル・プレゼンスにより、トラフィックを広範なネットワーク間で再ルーティングおよび吸収し、単一障害点に対するDDoS攻撃の影響を最小限に抑えることができます。
- ほぼリアルタイムの対応: クラウドスケールの保護サービスは、トラフィックをリアルタイムで監視し、潜在的な脅威に迅速に対応し、必要に応じて防御に適応できるようにします。
- コラボレーション: クラウドは、ISPとクラウドベースのDDoS緩和サービス間のコラボレーションを強化し、システム全体の回復力を高め、脅威に対するより協調的な対応を確保します。ISPは、今やクラウドの規模を拡大し、興味深いイベントの範囲と頻度により、最高のコンピュータセキュリティ人材を採用し、維持しています。顧客はできるだけ少ない攻撃に対処したいと考えていますが、セキュリティ担当者はすべてを見たいと考えています。仕事が最も面白く、最も必要なのはクラウドです。
クラウドベースのDDoSサービスを使用すると、効率が大幅に向上します。ただし、DDoS緩和を決定する際には、必ず特定のニーズおよび状況を考慮してください。
DDoSクラウド・スクラビング・センター
クラウド規模でのDDoSの検出と軽減は、ほとんどのネットワーク・エンジニアが想像するよりも複雑で興味深いものです。しかし、Oracle Cloud Infrastructure(OCI)は、DDoSを顧客の問題から解放するために、どのように継続的にイノベーションを行っていますか?
DDoS攻撃を開始する人など、インターネットをスムーズに稼働させ、悪人からインターネットを保護することに関しては、OCIにはDDoSスクラビング・センターがあります。彼らは巨大なバーチャルスポンジのようなもので、あらゆる危害を加える前にすべての攻撃トラフィックを浸します。しかし、これらをどのように設定するのが最善かについての議論は存在します: 私たちは、いくつかの超サイズのスクラビングセンターや、場所全体に広がる小さなものがたくさんあるべきですか?
図3: 受信DDoS攻撃をスクラブする基本的なトラフィック・フロー
まずは、いくつかの大きなセンターを持つことから始めましょう。まるで、大量の攻撃トラフィックを一度に処理できる巨大な要塞のようなものです。この方法のアップサイドには、1つの施設のみを構築して実行し、1つの場所の管理と監視を簡単に行うことができるため、コスト効率が高くなります。一方、トラフィックがセンターに到達するために遠くまで移動する必要がある場合、速度が低下する可能性があります。これはユーザーにとって迷惑です。メガDDoS攻撃か技術的な障害かに関係なく、何らかの理由でセンターがダウンした場合、そのセンターに頼っている人は運が悪くなります。
その代替案は、世界中に多くの小さなスクラビングセンターがあることです。トラフィックは、クリーンアップのために遠くまで移動する必要はなく、物事はより速く実行され、ユーザーはセーフティネットを持っています。ただし、このオプションは、多くのセンターを設定して維持する必要があり、どこにでもセンターがある場合は、何が起こっているかを追跡し、発生する問題に対処するのは難しい場合があります。
大きな議論と小さな議論は簡単な選択ではなく、どれだけの費用をかけたいか、どれだけの速さで物事を遂行したいか、そしてどんな問題にも備えたいかによって決まります。一部の人々は、より安価で管理しやすい大きなセンターに頼るかもしれませんが、他の人々は、より小さなセンターをたくさん持つより速く、よりフェイルセーフな選択肢を好むかもしれません。
まとめ
独自のDDoS緩和システムを運用すると、広がる都市のデータの中に小さな民間警察部隊を運営しているような気がします。君はレバーで手が動いている。しかし、このようなシステムを維持することは、労働集約的でリソース集約的なものであり、機器や人員に多額の費用がかかることは言うまでもなく、常に警戒する必要があります。特に、悪質なトラフィックの津波に遭遇した場合には、大変な作業です。
対照的に、デジタル・シティの鋭い企業組織であるクラウドベースのDDoSサービスを検討してください。彼らは、クラウドの広範なインフラストラクチャの原動力、トラブルの発生に備えたデジタル・ディフェンダーの軍隊をもたらします。地理的に多様なデータ・センターにより、グローバルなデータ・ハイウェイを監視し、攻撃を吸収して散らす準備ができています。
これらのクラウド・戦士は、最前線に効率をもたらします。 彼らは警戒し、あなた自身の技術ウィザードが真に重要なもの、つまりコアビジネスに集中できるようにします。問題が発生すると、スケール・アップされ、最も攻撃的なDDoS変動の影響を希薄化する膨大なネットワークが拡大します。コスト?予測可能で、自社防御をアップグレードする突然の、つまらない費用ではなく、安定したトリックです。絶え間なく変化するデジタル環境において、クラウドDDoSサービスの約束は、急増する脅威に対する盾を提供します。しかし、この広大なサイバー・スプロールでは、すべての選択肢が独自の結果をもたらし、「セキュリティの優先順位を高めなければならない」ことを覚えておいてください。
このブログ・シリーズでは、優れたクラウド製品を提供するために、OCIエンジニアが直面している新しいプロジェクト、課題、問題解決について説明します。OCIエンジニアリング・シリーズでは、Oracle Cloud Infrastructureで働く優秀なエンジニアを擁するOCIエンジニアリング・ディープ・ダイブが舞台裏で紹介されています。
詳細は、次のリソースを参照してください。
コメント
コメントを投稿