2021年ベストDDoS対策
1. Project Shield
2.Cloudflare
3.AWS Shield
4.Microsoft Azure
5. Verisign DDoS Protection/ Neustar
各サービスの詳細な分析についてはこちらをご覧ください
2016年10月にDNSプロバイダーのDynは、この目的のために特別にハッキングしたIoTデバイスの軍隊によって大規模な DDoS(分散サービス拒否)攻撃を受けた。 Dynのサービスを利用している14,000以上のドメインがオーバーホールを受け、Amazon、HBO、PayPalなどのビッグネームを含むアクセス不能に陥りました。
クラウドフレアの調査によると、インフラ障害の企業への平均コストは、1時間あたり10万ドル(7万5000円)です。 それでは、あなたの組織がこの種の攻撃の犠牲にならないようにするには、どうすればよいのでしょうか。 このガイドでは、ネットワーク容量の氾濫を狙った攻撃から保護するために必要なデジタル技術を備えた主要インフラ・プロバイダーをご紹介しています。
また、より高度なアプリケーション (レイヤー 7) 攻撃に対する保護を提供できるプロバイダーも紹介します。この攻撃は、膨大な数のハッキングされたコンピューター (ボットネットと呼ばれることもあります) を使用せずに実行されることがあります。
- 最高のウェブホスティングサービスも取り上げています。
- Project Shield
- Googleによる強力なDDoS保護。 しかし、誰もが招待されるわけではありません
- 購入する理由
- 避ける理由
- Cloudflare
- The World! DDoS防御のジャガーノート
- 購入する理由
- 避ける理由
- AWS Shield
- Extellent 基本的なDDoSの緩和とそれ以外の機能
- 購入する理由
- 避けるべき理由
- Microsoft Azure
- Brilliant 手頃な価格の有料ティアによる基本的な保護機能
- 購入する理由
- 避ける理由
- Verisign DDoS Protection / Neustar
- the ベリサインDS保護 セキュリティのベテランによる最高のDDoS対策
- 購入する理由
- 避けるべき理由
Project Shield
Googleによる強力なDDoS保護。 しかし、誰もが招待されるわけではありません
購入する理由
避ける理由
Project ShieldはJigsaw、Googleの親会社アルファベットのオフシュートの創造物です。 開発は、ウクライナの選挙監視や人権関連の Web サイトへの攻撃をきっかけに、George Conard の下で数年前に始まりました。
Project Shield は、Web サイトとインターネット全体の間に位置するリバース プロキシとして機能し、接続要求をフィルターすることにより、悪意のあるトラフィックを潜在的に除去することが可能です。 接続が正当な訪問者からのものであるように見える場合、Project Shield は接続要求を許可します。 同じIPアドレスから何度も接続を試みるなど、接続要求が悪質であると判断された場合は、ブロックされます。 この仕組みにより、Project ShieldはサーバーのDNS設定を変更するだけで、非常に簡単に導入することができます。
読んでいるパワー ユーザーは、プロキシ経由のトラフィックのフィルタリングが SSL でどのように機能するのか不思議に思うかもしれません。 幸いにも、Jigsaw はこの点を考慮し、サイトへの安全な接続がシームレスに動作することを確認するための包括的なチュートリアルをまとめました。 他のいくつかのチュートリアルもサポート セクションで利用できます。
Currently Project Shield は、メディア、選挙監視、および人権関連の Web サイトでのみ利用可能です。 また、DDoS から身を守るための高価なホスティング ソリューションを提供できない、リソース不足の小規模な Web サイトを主な対象としています。 あなたの組織がこれらの要件に一致しない場合、Cloudflareなどの代替ソリューションを検討する必要があるかもしれません。
- Project Shieldへのサインアップはこちら
Cloudflare
The World! DDoS防御のジャガーノート
購入する理由
避ける理由
ここ数年インターネットを利用している人なら、多くの大手ウェブサイトがCloudflareの保護機能を利用しているので、誰でも知っていることでしょう。 Cloudflare は米国に拠点を置いていますが、世界中に 180 を超えるデータ センターを維持しており、Google に匹敵するインフラストラクチャを有しています。
すべてのCloudflareユーザーは、「I’m under attack」モードを有効にすることができます。これは、Javascriptのチャレンジを提示することによって、最も巧妙なDoS攻撃から保護することができます。 また、Cloudflareは、JigsawのProject Shieldと同様に、サイト訪問者とサイトホストの間でリバースプロキシとして動作し、トラフィックをフィルタリングすることも可能です。 2019年3月、CloudflareはSpectrum for UDPを導入し、信頼性の低いプロトコルに対するDDoS保護とファイアウォールを提供します。
接続要求を行う訪問者は、サイトの評判、自分のIPがブラックリスト入りしているかどうか、HTTPヘッダーが疑わしいかどうかを含む高度なフィルターの難関を突破しなければなりません。 HTTP リクエストは、既知のボットネットから保護するためにフィンガープリントされます。 クラウドフレアは業界の巨人として、管理する700万以上のウェブサイト間で情報を共有することで、その地位を容易に利用することができます。
Cloudflare は、アンメタード DDoS ミティゲーションを含む無料のベーシック パッケージを提供しています。 Cloudflareのビジネス・サブスクリプション(価格は月額200ドルまたは149ポンドから)に支払うことをいとわない人は、カスタムSSL証明書のアップロードなど、より高度な保護が利用可能です。
- Cloudflare へのサインアップはこちら
AWS Shield
Extellent 基本的なDDoSの緩和とそれ以外の機能
購入する理由
避けるべき理由
AWS Shieldの保護は、Amazon web servicesの善良な人々によって提供されています。 Standard」ティアは、すべてのAWS顧客が追加料金なしで利用できます。 これは、多くの中小企業がAmazonでウェブサイトをホストすることを選択しているため、理想的なものです。 AWSシールドスタンダードは、追加料金なしですべてのお客様にご利用いただけます。 AmazonのCloud FrontとRoute 53サービスを使用する場合、より一般的なネットワーク(レイヤー3)およびトランスポート(レイヤー4)攻撃から保護されます。
これは、最も決意の固いハッカー以外のすべての人を遠ざけるはずです。 しかし、たとえば 15Gbp/s のような帯域幅は、Amazon インスタンスのサイズによって制限されるため、ハッカーが十分なリソースを持っていれば DoS 攻撃を実行することが可能になってしまいます。
これを軽減するために、AmazonはAWS Shield Advancedも提供しています。 サブスクリプションには DDoS コスト保護が含まれており、攻撃の被害者になった場合、毎月の使用料金の大幅な上昇からあなたを救うことができます。 AWS Shield Advancedは、ACL(アクセス制御リスト)をAWSネットワーク自体の境界まで展開することができ、最大規模の攻撃からも保護することができます。
Advanced Subscriberは、24時間体制のDRT(DDoSレスポンスチーム)や、インスタンスへの攻撃に関する詳細なメトリクスを利用することもできます。 しかし、AWS Shield Advancedが提供する安心感は高価なものです。 月額3,000ドル(約2,200円)で、最低1年間は契約する必要がある。 これに加えて、データ転送の使用料がかかりますが、これは「pay as you go」方式でカバーできます。
- AWS Shieldへのサインアップはこちら
Microsoft Azure
Brilliant 手頃な価格の有料ティアによる基本的な保護機能
購入する理由
避ける理由
Amazonのようなもの。 マイクロソフトは、Azureというサービスを通じて、サービススペースをレンタルするオプションを提供しています。 すべてのメンバーは、基本的なDDoS防御の恩恵を受けることができます。 トラフィックの常時監視や、パブリックIPアドレスに対するネットワーク(レイヤー3)攻撃のリアルタイムな軽減などの機能を備えています。 これは、マイクロソフトのオンラインサービスに提供される保護とまったく同じタイプで、Azureのネットワークの全リソースを使用してDDoS攻撃を吸収することができます。
より高度な保護を必要とする組織に対しては、Azureは「Standard」レイヤーも提供しています。 これは、マウスを数回クリックするだけで、非常に簡単に有効になることが広く評価されています。 スタンダード層は、アプリゲートウェイ・ウェブアプリファイアウォールを介してアプリケーション(レイヤー7)DDoS攻撃に対する保護を提供しますが、Azureはアプリに変更を加える必要がないことが重要です。 Azure Monitorは、攻撃が発生した場合、リアルタイムのメトリクスを表示することができます。 これらは 30 日間保持され、必要に応じてさらに調査するためにエクスポートすることができます。
Azure は、リソースへの Web トラフィックを常にチェックします。 これらが事前に定義された閾値を超えた場合、DDoS緩和が自動的に開始されます。 これには、パケットを検査して、それらが不正または偽装されていないことを確認することと、レート制限を使用することが含まれます。
現在、標準的な保護は、最大100リソースまで、月額2944ドル(2204円)+データ通信料です。 保護はすべてのリソースに等しく適用されます。 言い換えれば、個々のものに合わせて DDoS の軽減を行うことはできません。
- Microsoft Azureへのサインアップはこちら
Verisign DDoS Protection / Neustar
the ベリサインDS保護 セキュリティのベテランによる最高のDDoS対策
購入する理由
避けるべき理由
Update: ベリサインのセキュリティサービスは、Neustarに移管されます。
ベリサインはインターネットそのものとほぼ同じ歴史を持っています。 1995年以来、単純な認証局からネットワークサービス産業の主要なプレーヤーに成長しました。
ベリサインのDDoS保護はクラウドで動作します。 ユーザーは、DNS(ドメイン・ネーム・サーバー)設定を変更するだけで、接続試行をリダイレクトすることを選択できます。 ネットワーク攻撃を防ぐために、トラフィックはベリサインに送信され、チェックされます。 ベリサインはリダイレクトする前にすべてのトラフィックを徹底的に分析します。
ベリサインは13のグローバルルートネームサーバーのうち2つを運営しているため、この組織がいくつかの専用のDDoS「スクラビングセンター」も維持していることは驚くことではありません。 これらはトラフィックを分析し、不正な接続要求をフィルタリングします。 このインフラを組み合わせると、ほぼ2TB/秒になり、最も圧倒的なDDoS攻撃でさえもブロックすることができます。
これは主に、ベリサインの脅威軽減プラットフォームであるAthenaによって実現されます。 Athena は、大きく 3 つの要素に分かれています。 シールド」は、DPI(ディープ・パケット・インスペクション)、ブラックリスト&ホワイトリスト、サイトレピュテーション管理によってネットワーク(レイヤー3)およびトランスポート(レイヤー4)攻撃をフィルタリングします。 Athenaの「プロキシ」は、最初の接続試行時にHTTPヘッダーを検査して、不正なトラフィックを検出します。 プロキシ」と「シールド」は、アプリケーション(レイヤー7)攻撃を防ぐのに役立つAthenaの「ロードバランサー」によってサポートされています。
カスタマーポータルは、トラフィックに関する詳細なレポートを表示し、例えば接続ブラックリストを作成するなど、脅威管理を設定することが可能です。 すべてをクラウドに展開することに抵抗があるユーザーのために、ベリサインはオンサイトでインストール可能なOpenHybridも提供しています。
- Verisign DDoS Protectionにサインアップするには、ここ
画像引用:Wikimedia Commons (Antoine Lamielle)