はじめに
AzureのDDos対策について説明する機会がありました。
言語化するにあたり記事にしてみましたので参考になれば幸いです。
※2025年4月時点での情報です。
DDoS攻撃とは
DDoS(Distributed Denial of Service)攻撃とは、稼働しているシステム(サーバ・ネットワークなど)に過剰な負荷をかけ、システムの機能を妨害する攻撃です。これによりシステムが非常に遅くなる、または完全に使用不能になることがあります。
近年はDDoS攻撃を使用した被害が増加傾向にあり、対策の報告を余儀なくされるIT従事者もいらっしゃるかと思います。
増加の要因として専門知識がなくても低コストで攻撃可能なサービスの普及などがあるようです。
Azure DDoS Protection
AzureのDDoS対策用サービスの1つとしてDDoS Protectionがあります。
AzureのリソースをDDos攻撃から守ってくれるサービスです。
詳細はこちら:Azure DDoS Protection概要
Azure DDoS Protection SKU
以下3つがあります。
- DDoS インフラストラクチャ保護
- DDoS IP 保護
- DDoS ネットワーク保護
詳細なはこちら:Azure DDoS Protection サービス レベルの比較
DDoS インフラストラクチャ保護
特に設定することなく Azure サービスをDDoS攻撃から保護します。
しかし、他のSKUと比較してDDoS攻撃だと判断するしきい値の設定が高く動作する時には該当システムは影響を受けている(ダウンするなど)可能性が高いため他のSKUを選択することが推奨されています。
費用は無料です。
詳細はこちらインフラストラクチャ保護についてのLearn
DDoS IP 保護
特定のパブリックIPアドレスを保護する設定を行うことでAzure サービスをDDoS攻撃から保護します。
費用は$199/月です。
Azure公式価格ページ
DDoS ネットワーク保護と比較すると
15個未満Public IPを保護する場合はこちらのほうが安くなります。
DDoS ネットワーク保護
「DDoS Protection プラン」を作成して仮想ネットワークの DDoS 保護を有効にすることでAzure サービスをDDoS攻撃から保護します。
パブリックIPアドレス単体ではなく、VNet全体を保護してくれます。
※パブリックIPアドレス100個まで
費用は$2,944/月です。
Azure公式価格ページ
DDoS IP 保護と比較すると
15個以上Public IPを保護する場合はこちらのほうが安くなります。
使用量に関係なく1か月分の料金が課金されてしまいます。
誤ってネットワーク保護を有効にした場合、日本円にすると約45万円/月になりますので注意が必要です。
Q&A
Azure DDoS Protection Basicとは?
今は廃止となったサービスです。
昔はAzure DDoS ProtectionのSKUはBasicとStandardの2つでした。
今ではBasic相当のサービスが「DDoS インフラストラクチャ保護」となっています。
きちんと動作するかテストしたい場合は?
Microsoft が承認したテスト パートナーのシステムを使用することでテスト可能です。
詳しくはこちら:チュートリアル: Azure DDoS Protection シミュレーション テスト
どんな時にどのSKUを選択すれば?
要件によるので難しいところですが、一般ユーザがアクセス可能なWebサイトなどは有償機能の使用を推奨しているようです。
DDoS Protection には DDoS Infrastructure Protection より多くの機能があります。 特定のアプリケーション (多くの収益を生み出す eコマース Web サイトなど) が不可欠であると判断した場合は、DDoS Protection が推奨される選択肢です。
文章の引用元Azure DDoS Protection をいつ使用するか
ここでは深く話しませんが、Azure Front Door、Azure Web Application Firewallなどを使用している場合はそちらでもDDoS対策がありますので合わせて検討する必要があります。