F5 BIG-IP DDoS 保護を使用した安全なapplication配信ソリューション

交通渋滞は楽しいものではありません。 しかし、デジタルの交通渋滞はおそらくもっとひどいでしょう。 こんな経験、あなたにも何回ありますか。ユーザー名とパスワードを入力し、銀行のモバイル アプリで口座残高を確認しようとしても、死の輪が繰り返され、待っている間にブラウザが銀行のサーバーに接続しようとし、期待が一秒ごとに高まります。

残念ながら、これは珍しいことではありません。 世界中の大規模銀行や小規模銀行は、驚くほどの頻度で分散型サービス拒否 (DDoS) 攻撃に遭遇しています。 そして、ある程度、それは理解できます。 優れたapplicationセキュリティと配信戦略は、エンド ユーザーに高速で信頼性が高く安全なapplicationエクスペリエンスを提供するために連携して機能する一連のテクノロジとプラクティスで構成されます。 銀行が一般的に使用するような複雑なアプリは、その性質上、さまざまな攻撃タイプを引き起こす多くのベクトルを伴います。 昨年だけでも、欧州の金融機関では前年比でDDoS 攻撃が 73% 増加しました。 DDoS 攻撃、言い換えれば、悪意のある人物が故意にトラフィックの混雑を引き起こし、システム リソースを使い果たして、ターゲット サーバーがクラッシュするか、正当なトラフィックが必要なapplicationsにアクセスできないほど遅くなるようにします。 それは、誰かがあなたが時間通りに仕事に行けないようにするために（物理的な）交通渋滞を引き起こしているようなものです。 したがって、これらの攻撃によって生じる可能性のあるマイナス面は簡単にわかります。つまり、収益の損失、企業の評判の失墜、ページやアプリの読み込みに2 秒以上かかると顧客が不満を抱き、競合他社のapplicationに乗り換えてしまう可能性があります。

こうした種類の発作が軽い頭痛から偏頭痛に変わる仕組みは次のとおりです。 悪意のある人物がapplicationに対して仕掛けるDDoS攻撃にはさまざまな種類があり、OSI モデルの複数のレベルに影響を及ぼし、アプリ ユーザーとプロバイダーの両方に大混乱をもたらします。 それはまるで、ひねりを効かせたバスキン・ロビンスのテイクオフのようで、31 種類のフレーバーがサービス拒否されるのです。 しかし、最も一般的で、かつ苛立たしい DDoS 攻撃は、特にトランスポート層 (OSI モデルの第 4 層) で蔓延しているボリューム型 DDoS 攻撃です。 ボリューム型 DDoS 攻撃の詳細はさまざまですが、最終的な結果は同じです。攻撃者はターゲット サーバーに大量のトラフィックを送りつけ、CPU とメモリを最大限まで使用させてサーバーを誤動作させ、接続しているすべてのクライアント (正当なクライアントかどうかに関係なく) のサービスを中断させます。 腹立たしいことに、それらは安価であり、ダークウェブにアクセスできるほとんど誰でも起動できます。 攻撃者は 1 時間あたりわずか数ドルでapplicationや Web サイトを効果的にダウンさせることができ、被害者は数百万ドルのビジネス収益を失う可能性があります。

言うまでもなく、このような攻撃は、日常生活に必要なapplicationsにアクセスしようとするユーザーにとって頭痛の種となります。 しかし、このような状況では、おそらくもっとイライラしているもう 1 つの当事者がいます。それは、applicationsの可用性とセキュリティを維持するために舞台裏で活動している NetOps チームと SecOps チームです。 彼らにとって、あらゆる種類の DDoS 攻撃は単なる不便以上のものです。1 か月を混乱させ、他のプロジェクトを混乱させ、解決に貴重な時間、費用、人的資源を浪費する事態になる可能性もあります。

経済的な影響だけでなく、こうした攻撃による人的被害も軽視できません。 場合によっては、DDoS 攻撃は、攻撃者がサービス拒否に加えて被害者のデータベースからユーザーの個人情報を盗み出すための陽動作戦として機能し、被害と混乱をさらに拡大します。 個人を特定できる情報 (PII) が悪意のある人物の手に渡り、評判の良い企業が社会の信頼を失い、あらゆる種類の運用チームがクリーンアップや修復作業に数え切れないほどの時間を費やし、ビジネスの生命線であるアプリが長期にわたるダウンタイムに悩まされることになります。

しかし、すべてが悲観的というわけではありません。 F5 のBIG-IP Local Traffic Manager (LTM) は、 DDoS 攻撃に直面してもapplicationsの稼働を維持することに優れており、applicationsとそのapplicationを停止させようとする問題のあるユーザーとの間のバッファーとして機能します。 すでに環境に BIG-IP LTM を導入している場合は、ネットワーク レベルとトランスポート レベルで DDoS 攻撃を検出して軽減する機能により、ネットワーク レイヤー (レイヤー 3 ) とレイヤー 4 の保護が強化されます。 BIG-IP LTM はこれらのレイヤーに優れたセキュリティ ソリューションを提供しますが、これを唯一のセキュリティ ソリューションとして導入しても、総合的なアプリケーションセキュリティ戦略にはならないことに注意することが重要です。 application配信戦略を複数の種類の脅威に対処できる方向に進めるには、application層 (レイヤー 7) 攻撃の軽減を ToDo リストの最上位またはその近くに置く必要があります。

こうした種類の攻撃は、そのステルス性により、従来の防御機構では検出が非常に困難であることが知られており、最も問題となる攻撃の 1 つとなる可能性があります。 トランスポート層またはネットワーク層に対するボリューム型 DDoS 攻撃は、突然のトラフィックの洪水のように見える場合がありますが、レイヤー 7 攻撃は、正当なapplicationトラフィックに紛れて隠れ、時間の経過とともに増加し、サーバーとapplicationを圧倒して、正当なアプリケーション トラフィックからの要求を拒否する可能性があります。