ロードバランサの活用(3) 「ネットワークファイアウォール」と「Webアプリケーションファイアウォール」その1

03_S_02

近年、ITシステムを取り巻く環境は急激に複雑化し、セキュリティ対策が大変困難になっています。
特に対策が難しいのは、アカウントハッキング、Webアプリケーションの脆弱性を突いた攻撃、DDoS攻撃といった、ひと筋縄の対策では対応困難な不正アクセスの増加で、その中でも、DDoS攻撃の大規模化や手口の巧妙化が目立ちます。

組織化・大規模化・高度化しているDDoS攻撃への対処に数多くの企業・団体が苦慮していると耳にします。すでにほとんどの大規模サイトではIDS/IPSやファイアウォール等を導入しているにも関わらず、近年発生しているDDoS攻撃に対して、従来型の対策では十分に防ぎ切れないのが実情のようです。
“セキュリティ機器としてのADC(ロードバランサ)”の存在が、今まさに注目されています。

DDoS攻撃に対する大きな2つの対策

DDoS攻撃によるサイトダウンを回避するために、対策として大きく2つのポイントがあります。対応範囲が異なりますので、どちらのポイントも取り組めるのが望ましいでしょう。

ポイント1:回線帯域幅を守る

「UDP Flood」等が代表である「回線の帯域幅をパンクさせるタイプの攻撃」は、大量のパケットを送りつけてネットワーク帯域幅を使い切り、正規トラフィックがネットワークを通過できないようにする攻撃です。
1つ目のポイントは、このタイプのDDoS攻撃の防御策、サイトを運営している企業が持つアプリケーションサイドで防御する対策では意味がないことです。
ネットワークのより上流側での対策が必要になります。
例えば、回線契約プロバイダー提供のDDoS対策サービスを契約して、大量のパケットをプロバイダーのバックボーン網側で遮断、自社のネットワークへの不正トラフィックの流入自体を防いでネットワークの帯域幅を確保します。

ポイント2:ネットワークファイアウォール、Webアプリケーションファイアウォールを活用する

もう一つの攻撃方法が、「SYN Flood」等が代表的な、アプリケーションサイドへのDDoS攻撃です。サーバ、ミドルウェア、ロードバランサ、ファイアウォール、ルータ等、アプリケーションを稼働させるためのインフラリソースをパンクさせるタイプの攻撃です。このタイプのDDoS攻撃は、大量のパケットを送りつけてくる攻撃だけとは限りません。
ミドルウェアやアプリケーション等の脆弱性を突いた、少量のパケットデータを送信、誤動作・暴走を誘い、サイトをダウンさせてしまうというものも含まれます。

DDoSと聞くと「大量のパケットを送信される攻撃」のイメージが強いですが、実は少量のパケットデータでサイトダウンを引き起こす攻撃(Apache Killer、SSL/TLS等再ネゴシエーションの脆弱性をつく攻撃)も多い、ということを念頭において対策することも必要です。

この、「アプリケーションサイドへのDDoS攻撃」を、ADC(ロードバランサ)によって防ぐことができます。
次回、「ネットワークファイヤーウォール」と「Webアプリケーションファイアウォール(WAF)」を活用した対策方法を紹介します。