専用アプライアンスと機械学習でDDoS対策を効果的に――A10 Thunder 7445 TPS／A10 One-DDoS Protection

高度かつ容易なDDoS攻撃　専門の対策が急務

　データセンターでダウンタイムが発生する原因には、電源関連を含むシステム障害や人的ミス、天災などのほかに、DDoS（分散型サービス拒否）攻撃が挙げられる。最新の調査によれば、DDoS攻撃は原因リストの上位にランクインするようになっているという。

　DDoS攻撃は、技術的には容易な攻撃の1つで、リソースさえあれば対象に大きなダメージを与えることが可能である。A10ネットワークスの研究によれば、現在のDDoS攻撃の大多数が「マルチベクトル型DDoS攻撃」であるという。帯域幅・ネットワーク層・アプリケーション層へ同時に攻撃を仕掛けるのが特徴で、従来の単一ベクトル型よりも危険性が高い。

　さらに、流行しつつあるIoTデバイスをボット化して攻撃に用いる手法も登場しており、危険性は増すばかりだ。

DDoS対策の防御サイクルを機械学習技術で完全自動化

　A10ネットワークスの「A10 Thunder TPS」は、同社のDDoS検知アプライアンス「aGalaxy-TPS」を利用したフローベースのDDoS検知に加え、「A10 Thunder ADC/CGN/CFW」と連係することによって、高い精度でパケットベースのDDoS検知も実現している。帯域幅を狙うボリューム型攻撃だけでなく、ネットワーク層を狙うSlow攻撃やアプリケーション層を狙う各種攻撃などへ効果的に対応することが可能だ。

　またA10 Thunder TPSは、ネットワーク環境に合わせて、インライン構成やアウト・オブ・バウンド構成など柔軟な設置方法を選択できるのも特徴だ。他社のフローコレクタを組み合わせて、検知・防御を実現することも可能である。

　Thunder TPSに搭載された「A10 One-DDoS Protection」は、平常時のトラフィック状態を機械学習し、エンジニアがしきい値設定をすることなくDDoS攻撃を自動検知する技術である。保護対象となるサービスの探知、トラフィックの経路変更、DDoS攻撃の緩和、インシデントレポートまでの一連の防御サイクル（準備・監視・実行・事後処理）を完全自動化し、管理者の負荷を減らして、運用コストの削減に寄与する。

　上述したパケットベースのDDoS検知は、A10 One-DDoS Protectionで、A10 Thunder ADC/CGN/CFWを検知用デバイスとして設定することで実現される。これらのデバイスを攻撃対象となりうる重要なサービスやアプリケーションの近くに設置することで、精度の高いDDoS検知が可能になるというわけだ。

図1：A10 One-DDoS ProtectionによるDDoS 防御のフルオートメーション化（出典：A10ネットワークス）

1Uサイズで最大220Gbps　高密度なDDoS対策を実現

　最新の「A10 Thunder 7445 TPS」は、1Uサイズながら100Gbインタフェースを実装し、最大で220Gbpsのスループット性能と250Mbpsの防御性能を発揮する。高性能かつ小型のため、収容密度を向上したいデータセンターやインターネットエクスチェンジなどでの活用が効果的だ。

　なおA10 One-DDoS Protectionは、A10 Thunder TPSとaGalaxy-TPSのユーザーであれば、追加ライセンス不要で利用することができ、既存の機器を流用することができる。A10 Thunder ADC/CGN/CFWなどとの連係においても、追加ライセンスは不要である。