1. Oracle Cloud Infrastructureでレイヤー3および4のDDoS防止をデプロイする方法について学習します
  2. DDoSレイヤーの理解

DDoSレイヤーの理解

OCIサービスは、様々なDDoSレイヤーに対してDDoS攻撃の検出と緩和を提供します。DDoSソリューションを設計する前に、OCIが提供するDDoSレイヤーおよび防止サービスを確認してください。

ネットワーク・トランスポート層(3および4)の保護(TCP、UDP、ICMP)

現在、すべてのOracle Cloudデータ・センターに、高ボリューム・レイヤー3または4のDDoS攻撃に対するDDoS攻撃の検出と軽減機能があります。Oracle CloudからのこれらのDDoS保護サービスは、持続的なレイヤー3または4攻撃であっても、Oracleネットワーク・リソースの可用性を確保するのに役立ちます。

アプリケーション・レイヤー(7)保護(HTTP/HTTPS)

脆弱性と構成ミスを利用しているレイヤー7攻撃(HTTP/HTTPS)ターゲット・アプリケーション。これらの攻撃の規模と高度が飛躍的に増加しています。そのため、Open Web Application Security Project (OWASP)で定義された悪意のあるボット、クロスサイト・スクリプティング、SQLインジェクション、その他の脆弱性を含む、サイバーの脅威からアプリケーションを保護することは非常に重要です。

Oracle DDoS保護について

OCI上のDDoS保護サービスは、ネットワークベースの攻撃(OSIモデルのレイヤー3および4)または多くの人がボリュームベースの攻撃と考えるものに適用されます。Oracleは、すべてのOracle Cloud顧客のIPアドレスの持込み(BYOIP)など、アドレス空間全体を監視します。大量ベースの攻撃が発生した場合は、悪意のあるトラフィックを軽減してスクラブするためのツールとプロセスがあります。Oracleは、OCIのお客様のためにこの保護を完全に管理しています。

DNSベースの攻撃は、UDPプロトコルの一環としてトランスポート・レイヤーに存在し、多くの手段で攻撃される可能性があります。これらの攻撃を検出して軽減するために、DNSサービスをネットワーク・ロード・バランサの背後にある顧客所有エンティティとしてOCIにデプロイし、たとえば、パブリックDNSサービスをサポートできます。

OCI DNSは、様々な大陸に戦略的に配置された複数のデータ・センターからなるグローバル・エニーキャスト・ネットワークであるため、インターネット・トランジット・プロバイダを混在させて、究極のレジリエンスとDDoS攻撃からの保護を実現します。

次の図に、DDoS攻撃タイプおよび緩和の概要を示します。


ddos-attack-types-and-oci-mitigations.pngの説明が続きます
図dos-attack-types-and-oci-mitigations.pngの説明

OCI DDoS防止サービスの機能の理解

OCI DDoS防止には、次のサービスが必要です。

  • Webアプリケーション・ファイアウォール(WAF) - Oracle Cloud Infrastructure Web Application Firewall (WAF)は、ロード・バランサやWebアプリケーション・ドメイン名などの強制ポイントにアタッチされているリージョンベースおよびエッジ強制サービスです。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネット接続エンドポイントを保護することで、顧客のアプリケーションに対する一貫性のあるルール適用を実現できます。

    OCI WAFソリューションには、WAFエッジ・ポリシーとWAFファイアウォール・ポリシーの2つのタイプがあります。WAFエッジ・ポリシーはエッジでのポリシーの適用に使用されますが、WAFファイアウォール・ポリシーはアプリケーション・ロード・バランサ(ALB)に関連付けられます。WAF Edgeでは、組織のVCNを入力する前にWAFポリシーが適用されます。

  • Network Load Balancer (NLB) - Oracle Cloud Infrastructure Flexible Network Load Balancing Service (Network Load Balancer)は、1つのエントリ・ポイントから仮想クラウド・ネットワーク(VCN)内の複数のバックエンド・サーバーへの自動トラフィック分散を提供します。これは接続レベルで動作し、レイヤー3およびレイヤー4 (IPプロトコル)データに基づいて正常なバックエンド・サーバーに受信クライアント接続をロード・バランシングします。このサービスは、柔軟なスケーラビリティを持ち、帯域幅の構成要件なしでクライアント・トラフィックに基づいてスケール・アップまたはスケール・ダウンするリージョナルのパブリックまたはプライベートIPアドレスを選択できるロード・バランサを提供します。OCIでは、NLBは非対称ハッシュ方式で機能します。このハッシュ方式では、ソースNATと宛先NATを使用してNGFWとともに配備されるNGFWに一意の名前を指定する必要があります。対称ハッシュにより、NLBの背後にあるNGFW上のNATの要件が削除されます。

  • フレキシブルLoad Balancer(FLB) - Oracle Cloud Infrastructureロード・バランシング・サービスは、1つのエントリ・ポイントから、仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーへの自動トラフィック分散を提供します。このサービスは、選択したパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサを提供します。
  • 次世代ファイアウォール(NGFW) - 次世代ファイアウォールとは、高度なレイヤー7フィルタリング、脅威検出/防止(DDoS)、ディープ・パケット検査および侵入検出/防止機能を備えた従来のファイアウォール・サービスを活用した、最新世代のファイアウォール・テクノロジです。
  • TLS/SSL証明書 - TLS/SSL証明書は、Webサイトのアイデンティティを認証し、暗号化された接続を可能にするデジタル証明書です。

    証明書には、標準証明書とワイルドカード証明書の2つの主要なタイプがあります。標準の単一ドメインSSL証明書は、1つのドメイン名を保護します。A.ワイルドカードSSL証明書は、ドメインおよび第1レベルのサブドメインを無制限に保護します。一般に、ワイルドカード証明書は、証明書の侵害によって影響を受けるリソースのセットが大きくなるため、安全性が低いとみなされます。一方、標準の単一ドメイン証明書は、妥協がある場合、その証明書を使用するリソースのみが影響を受けるため、よりセキュアです。