ブログ | CTO オフィス

エッジでの DDoS 保護の拡張

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2020年10月13日公開


攻撃は、他のインターネット経由のトラフィックと同様に、ある程度予測可能です。 週末が終わって月曜日の朝は急いでログインします。 放課後、子供たちがオンラインゲームにログインして大騒ぎになります。 買い物客が必死になってオンラインで「完璧な贈り物」を見つけようとするため、ホリデーシーズンの売上が増加します。 季節や業界に関連したパターンは長年にわたり研究者によって認識され、セキュリティ専門家によって予測されてきました。

しかし、2020年はこうした傾向に逆行し、DDoS攻撃の従来の季節的な減少ではなく、増加が報告されました。 つまり、 1日あたりの平均攻撃数は2020年の第2四半期中に増加し、1日あたり約300件の攻撃数に達した(4月9日)。 第1四半期の1日あたりの攻撃件数は242件と過去最高を記録した。 この異常は、リモートワークへの突然の移行に起因すると考えられています。

新しい DDoS 攻撃パターンが出現しているのは事実ですが、インフラストラクチャ層での DDoS 攻撃は依然として DDoS 攻撃であることも事実です。 これらはいわゆる「伝統的な」攻撃です。 変化しているのは、分散した労働力に伴う目標と機会です。

5G ネットワークとともに出現する新世代のハイパースケール DDoS 脅威に対する懸念が依然として存在しています。 こうした懸念は、より恒久的にリモートで分散した従業員向けにアプリケーションの可用性とパフォーマンスを維持するという増大する課題に対する戦略的ソリューションとして Edge がますます重要視されるにつれて、さらに複雑になっています。

これは実存的な挑戦です。 リモートワーカーの 15% 以上が毎日接続の問題を経験しており、半数以上 (52%) が毎月問題を経験しています。 ( Waveform、2020 年 4 月のレポート) 2020 年に CIO が直面した最大の課題は、アプリケーション パフォーマンス (66%) とネットワークの信頼性 (63%) の維持でした。 ( Catchpoint、CIO New Normal Survey、2020 年)消費者は、デジタル ファースト (またはデジタルのみ) モデルに急速に移行した公共事業、銀行、小売、料理業界のアプリケーションの接続性、パフォーマンス、可用性に関して同様の課題に直面しています。 重大な攻撃がこうしたフラストレーションを悪化させる可能性は、決して小さくありません。

こうした攻撃の規模(2019 年の DDoS 攻撃の平均サイズは 12Gbps)はすでに圧倒的であり、この増大する脅威に対処するための新しいテクノロジーが必要です。 しかし、スペースとリソースはまだ限られています。 結局のところ、Edge は遠隔地の携帯電話基地局の基部にあるユーティリティ ルームなのかもしれません。 これは主要なデータセンターの不動産ではありません。 エッジ コンピューティングのスペースの制約とリモート性により、従来の「問題に対してハードウェアをさらに投入する」アプローチは実現不可能になります。

現代的なアプローチは、よりスマートなハードウェアを問題に投入することです。

専用のハードウェアを使用して高速化されたソリューションの市場はすでに拡大しています。 新興の AI および ML 分野では、より高速でスマートな分析を実現するために必要な複雑な数学的計算を加速する役割を GPU が担うようになっています。 ネットワーク分野では、FPGA の形をとる同様のアプローチが見られます。 Intel PAC N3000は、F5 が 10 年以上にわたる FPGA プログラミングの専門知識を適用して、着信する DDoS 攻撃をより効率的にブロックすることを可能にしたデバイスの 1 つです。

当社のソリューションとソフトウェアのみのオプションをテストした結果、FPGA 対応オプションは最大 300 倍の規模のDDoS 攻撃に耐えられることが示されました。

さらに、このソリューションは一般に SmartNIC と呼ばれるものを活用するため、追加のラック スペースやハードウェアは必要ありません。 ハードウェア支援ソリューションのメリットを享受するために専用のハードウェアは必要ありません。 これにより、労働力の変化と進行中の 5G 展開によるトラフィックの急増に直面しているサービス プロバイダーにとって、より適したものになります。

NIC とペアになるソフトウェア オプションは、スペースとリソースの制約により大規模なハードウェアの導入が不可能なエッジ ロケーションでの導入にも非常に適した選択肢となります。

インターネットのエッジ、つまり私たちの家庭、そして今では私たちの職場におけるパフォーマンスと信頼性の問題は、今後も課題であり続けるでしょう。 これを解決するには、これらの従来の問題に対する新たなアプローチが必要になります。 よりスマートなハードウェアを活用して、リソースが制限されたエッジ ロケーションでソリューションを拡張することも、そのようなアプローチの 1 つです。

F5 がエッジでのセキュリティをどのように拡張しているかについては、このブログで詳しく知ることができます。