WAAPとProlexicの併用によるDDoS攻撃対策のベストプラクティス

（Figure.1）WAAPで保護しているサーバー宛て通信に影響が発生する仕組み

本記事では、このように巻き添え被害を受けないための包括的なDDoS緩和対策についてご紹介します。

Prolexicとは

Prolexic (プロレキシック) は、すべてのポートとプロトコルに対応したクラウド型のDDoS攻撃緩和の専用ソリューションです。

Prolexic は東京・大阪を含む世界32の大都市を拠点とする大容量スクラビングセンターを使用し、 攻撃元に近い場所で攻撃を阻止することで、局所的なトラフィック集中によるボトルネックを解消します。トラフィックは最も近いスクラビングセンターにルーティングされ、そこで Akamai Security Operations Command Center（SOCC）が、攻撃を即座に阻止するように設計された事前対応型の自動緩和制御に加え、攻撃時のお客様とのコミュニケーションによるテイラーメイドな緩和対応を実施することにより、迅速かつ正確な DDoS 防御を実現します。その後、クリーンなトラフィックは、GREトンネルかレイヤー2 VLAN接続経由で、お客様のデータセンターや拠点へと転送されます。

（Figure.2）Prolexicの概要図

Prolexicの特徴

Prolexicの主な特徴は以下の3つです。

・比類のないプラットフォームキャパシティと信頼性

Prolexicのプラットフォームは20Tbps以上のキャパシティを有しており、現在観測されている最大規模の攻撃が複数同時に起きた場合でも緩和するのに十分な容量を維持するよう設計されています。また、お客様の拠点やデーターセンターとProlexicのスクラビングセンターを3つ以上の接続で構成することにより、いずれかのスクラビングセンターで仮に障害が発生した場合においても他方のスクラビングセンターよりトラフィックを配信し、高い可用性を維持します。

・日本人スタッフによる24時間365日の攻撃緩和窓口対応

DDoS攻撃時にSOCC担当者と円滑にコミュニケーションをとり、迅速な緩和を行うことは常に最も重要な要素の一つです。Akamai SOCCは東京と米国に日本人スタッフを配置し、フォロー・ザ・サンの体制で24時間365日の日本語対応を可能としています。

・ゼロ秒緩和SLAとNetwork Cloud Firewall

Prolexicのゼロ秒緩和SLAは、AkamaiがDDoS緩和活動を通じて得られた攻撃ベクターをブラックリスト化して定義しておくことで実現しています。この事前対応型の防御により攻撃の大部分を緩和することが可能です。また、拠点やデーターセンター、クラウド、ISPなどに散在するアクセス制御リストをProlexicのセルフチューニング可能なNetwork Cloud Firewall機能に集約することにより、従来の防御システムの負荷を低減し、アクセスリストの統合管理を行うことが可能です。

DDoS攻撃対策のベストプラクティス

ProlexicとWAAPそれぞれの保護対象と攻撃手法に対する防御について比較すると以下の通りとなります。ご覧の通り、それぞれのソリューションでカバーできる領域が異なることが分かります。

Prolexicは、保護したい/24のサブネット単位でスクラビングセンターにルーティングし、攻撃緩和処理を行います。従ってICMPやTCP、UDPなどプロトコル・ポートに依存せずWeb/APIサーバー以外の公開サーバーやその通信経路上の過負荷を緩和することが可能です。特にオリジンIPアドレスの直打ち攻撃やInfrastructure DDoSに対して有効です。

一方で、WAAPはDNSのCNAMEレコードを設定することにより、FQDN単位でWeb/APIサーバーを保護します。WAAPを構成するエッジサーバーにてTLS復号化を行いHTTPリクエストの詳細検査が可能なため、主にApplication DDoSに対して有効です。