はじめに
Azureでインターネット公開サービスを構築する際、避けて通れないのがDDoS対策です。
Azureには標準でDDoS対策(Basic)が組み込まれていますが、さらに高度な対策として以下の2つが提供されています。
- DDoS IP Protection
- DDoS Network Protection
本記事では、Microsoft公式ドキュメントに基づいて、
仕組み・課金・設計の本質をロジカルに解説します。
結論(最重要)
Basic → 無料の基盤防御
IP Protection → 小規模向け(IP単位)
Network Protection → 本番・大規模向け(VNet単位)
1. DDoS Protectionの3つのレベル
AzureのDDoS対策は以下の3レイヤーで構成されています。
- Basic(インフラ保護)
- IP Protection(Public IP単位)
- Network Protection(VNet単位)
2. 機能比較(全体)
| 項目 | Basic(インフラ保護) | IP Protection | Network Protection |
|---|---|---|---|
| 提供レベル | Azure基盤 | Public IP単位 | VNet単位 |
| 課金 | 無料 | 有料 | 有料 |
| 防御対象 | Azure全体 | 指定Public IP | VNet内Public IP |
| 攻撃検知 | 基本 | 高度 | 高度 |
| 自動ミティゲーション | あり | あり | あり |
| トラフィックプロファイリング | なし | あり | あり |
| ログ/メトリクス | 限定 | あり | あり |
| アラート | なし | あり | あり |
| SLA | なし | なし | あり |
| コスト保護 | なし | なし | あり |
| DRRサポート | なし | なし | あり |
3. 防御ロジックの違い
■ Basic(インフラ保護)
- Azureデータセンター全体での防御
- L3/L4レベルの基本防御
- SYN flood / UDP floodなど
- Azure側で自動実施
👉 ユーザー操作不可
■ IP Protection
- Public IP単位での防御
- トラフィックベースライン学習
- 異常検知
- 自動ミティゲーション
■ Network Protection
- VNet単位でのトラフィック分析・防御
- VNet全体のトラフィックを学習
- より高精度な検知
- 一元管理可能
4. 適用スコープの違い
■ Basic
- Azure全体(自動適用)
■ IP Protection
- Public IP単体
例:
- VMのPublic IP
- Load BalancerのPublic IP
■ Network Protection
- VNetに紐づくすべてのPublic IP
VNet
├ VM
├ Azure Firewall
├ Application Gateway
└ Load Balancer
5. 課金モデル比較
| 項目 | Basic | IP Protection | Network Protection |
|---|---|---|---|
| 課金単位 | なし | Public IP | DDoS Plan |
| 課金開始 | - | IP適用時 | Plan作成時 |
| 未使用課金 | なし | なし | あり |
| Public IPなしでも課金 | - | なし | あり |
| 課金粒度 | - | 時間 | 時間 |
■ Network Protectionの特徴
- 1プランで100 IPまで固定料金
■ IP Protectionの特徴
- Public IPの数に比例して課金
6. 検知・防御機能の詳細
| 機能 | Basic | IP Protection | Network Protection |
|---|---|---|---|
| L3/L4攻撃防御 | あり | あり | あり |
| SYN Flood防御 | あり | あり | あり |
| UDP Amplification防御 | あり | あり | あり |
| Adaptive Tuning | なし | あり | あり |
| 自動しきい値調整 | なし | あり | あり |
| トラフィック異常検知 | 基本 | 高度 | 高度 |
7. 運用・監視機能
| 機能 | Basic | IP Protection | Network Protection |
|---|---|---|---|
| Azure Monitor連携 | なし | あり | あり |
| メトリクス | なし | あり | あり |
| 診断ログ | なし | あり | あり |
| アラート | なし | あり | あり |
| 攻撃レポート | なし | あり | あり |
8. エンタープライズ機能
| 機能 | Basic | IP Protection | Network Protection |
|---|---|---|---|
| SLA保証 | なし | なし | あり |
| Cost Protection | なし | なし | あり |
| DRR(DDoS Rapid Response) | なし | なし | あり |
9. 適用判断ロジック
Public IPある?
↓
NO → Basicで十分
YES
↓
IP少ない?
↓
YES → IP Protection
NO → Network Protection
10. アーキテクチャ設計ベストプラクティス
■ 小規模
- Public IP × 少数
→ IP Protection
■ 大規模
Internet
↓
Azure Firewall / Application Gateway
↓
VNet(Network Protection)
■ Hub-Spoke構成
Hub VNet
├ Firewall(Public IP)
└ DDoS Plan
Spoke VNet
└ Privateリソース
👉 DDoSは「入口」で防ぐ
11. よくある設計ミス
| ミス | 問題 |
|---|---|
| Private環境にDDoS適用 | 無駄コスト |
| 複数Plan作成 | 課金増加 |
| Public IP分散 | 管理困難 |
| 防御対象の誤解 | 設計ミス |
まとめ
- ① 防御対象はPublic IP
- ② NetworkはVNet単位、IPは単体
- ③ 課金はPlan or IP
- ④ 常時稼働型サービスではNetwork Protectionが基本選択