MicrosoftのAzure Networkingチームは「Microsoft Azure」においてインターネット史上最大級のDDoS(分散型サービス拒否)攻撃を防いだ方法を公開した。
Azureの単一IPに対する過去最大の攻撃は2020年春の1Tbpsの攻撃だった。2021年8月の攻撃は2.4Tbpsで、2020年春の2倍以上だ。規模の点ではAzureでこれまでに検知された全ネットワーク攻撃を上回る。
Azure Networkingチームのアレテア・トー氏(プログラムマネジャー)とサイード・パシャ氏(プリンシパルネットワークエンジニア)は、攻撃トラフィックの発生源は約7万に上り、アジア太平洋地域(APAC)の複数の国と米国から仕掛けられていたという。
攻撃の詳細
UDPリフレクション攻撃は10分以上続き、数秒間で急増する短期バーストを3回伴っていた。そのピークは1回目が2.4Tbps、2回目が0.55Tbps、3回目が1.7Tbpsだった。
「Azureの『DDoS Protection』はDDoS検知および緩和の分散型パイプラインに構築されており、数十Tbit規模のDDoS攻撃を吸収できる。この緩和能力を拡大してDDoSを吸収し、ユーザーに必要な保護を提供する」
今回の攻撃はAzureのDDoSコントロールプレーンによって適切に緩和された。リソースは攻撃の発生源に物理的に近い場所に動的に割り当てられた。これにより、悪意のあるトラフィックが顧客のリージョンに到達することはなかった。トラフィック量がベースラインから大きく逸脱していることが検知されるとこのロジックが起動し、数秒で巻き添え被害が緩和および防止される。
「クラウドでもオンプレミスでも、インターネットに接するワークロードはDDoS攻撃には脆弱(ぜいじゃく)だ。Azureのグローバル規模の吸収と高度な緩和ロジックにより、ユーザーは影響を受けることもダウンタイムが生じることもなかった」
ImmuniWebの創設者で、欧州刑事警察機構(Europol)の「Data Protection Experts Network」のメンバーでもあるイリア・コロチェンコ氏によると、今回の攻撃は大手パブリッククラウドプロバイダーの機能が大きなメリットになる可能性の優れた実例になるという。
コロチェンコ氏は英Computer Weeklyのインタビューに次のようにコメントしている。「クラウドベースのDDoS対策ソリューションによって保護されるとしても、オンプレミスに侵入する恐れをなくすわけではない。DDoS対策ベンダーがDDoS攻撃を受けたとき、他の顧客に悪影響を及ぼさないようにするために顧客の一部を見捨てた例を目の当たりにしたことがある」
「主要プロバイダーのパブリッククラウド、特に『Amazon Web Services』とAzureは恐らく最も包括的で効率的なDDoS保護をユーザーに提供している。プレミアムな機能は非常に高額だ。しかし他のソリューションよりも驚くほど高いコストパフォーマンスを実現する」
パブリッククラウドにデータを移行しない理由としてサイバーセキュリティとコンプライアンスを挙げる人は多い。だが正しく構成、強化されたクラウドインフラは自動化とインシデント対応機能の向上により、全ユーザーのセキュリティも強化するとコロチェンコ氏は補足する。