分散型サービス拒否 (DDoS) 攻撃は通常、攻撃対象のベクトルに利用可能なキャパシティをすべて消費することでターゲットを過負荷状態にすることを目的としたボリューム攻撃です。NSX Advanced Load Balancer は分散型データ プレーン モデルに基づいて構築されているため、キャパシティを迅速にスケーリングして攻撃に対応できます。
ボリューム攻撃は通常、ターゲットとなる目的の脆弱性に基づいて 3 つのバケットにグループ化できます。つまり:
スループット/1 秒当たりのパケット数
メモリ
CPU
NSX Advanced Load Balancer は、多くのメカニズムと、必要に応じてサイズを動的に拡大する独自の機能を通じて、それ自体、ネットワーク、アプリケーションを保護します。管理者は、攻撃の表示と対応を完全に制御できます。
この機能は IPv6 ではサポートされていません。
キャパシティのスケーリング
NSX Advanced Load Balancer は、DDoS 攻撃からアプリケーションとネットワークを保護するための最後の防御ラインとして重要な役割を果たします。NSX Advanced Load Balancer の主な防御手段の 1 つは、汎用ハードウェア全体で仮想サービスを迅速にスケール アウトすることで DDoS を吸収する機能です。
1 つのサービス エンジンには最大 36 基の CPU コアと 128 GB のメモリを構成できます。追加のハードウェアを割り当てると、パフォーマンスはほぼ直線的に向上します。ベアメタル サーバにインストールされたサービス エンジンは、複数の 10 Gbps NIC を飽和させ、1 秒当たり数百万のパケットを維持できます。
NSX Advanced Load Balancer はまた、スケール アウトを行って、複数の SE に負荷を水平方向に分散させることもできます。NSX Advanced Load Balancer のネイティブ自動スケールを使用すると、1 つの仮想サービスを最大 4 つの SE に分散させることができます。BGP および等価コスト マルチパス ルーティングを使用すると、1 つの仮想サービスを 32 の SE に拡張できます。
NSX Advanced Load Balancer のライセンス モデルは柔軟であるため、攻撃を受けているアプリケーション仮想サービスを専用サービス エンジンに自動的に移動できます。攻撃を隔離すると、複数のアプリケーションまたはテナントがイベントの影響を受けないようになり、攻撃を防御するためのリソースをさらに拡張できます。NSX Advanced Load Balancer はまた、システムのライセンス制限を超えてバーストし、アプリケーションの健全性を優先させることができます。
攻撃の軽減
NSX Advanced Load Balancer は、IP、TCP、SSL、HTTP をターゲットとするさまざまな DDoS 攻撃からネイティブに保護します。サービス エンジンは、TCP SYN Cookie、アイドル状態の接続の活用、プロトコル検証などの機能を実装することで、自動的にサービス エンジン自体を守ります。
IP ブロックリストは、REST API を使用してサードパーティのシステムが構成および自動更新できます。管理者は、ユーザー インターフェイスの [セキュリティ] ページにある [ブロック] ボタンを使用して攻撃者をブロックすることもできます。
カスタマイズされた保護
多くの事前定義済みの DDoS 検出がシステムに組み込まれていますが、アプリケーションごとに完全にカスタマイズできるように簡単に構成できます。たとえば、ポート スキャンを実行している攻撃者を報告したり、アクティブにブロックしたりできます。HTTP 要求フラッドを実行している別の攻撃者をスロットルまたはドロップするか、またはカスタマイズされたエラー ページを送信することができます。最小限の労力またはトレーニングで最大限のセキュリティを確保するために、レイヤー 4 ~ 7 プロトコル向けの幅広いレート シェーピングおよびスロットル機能が存在します。詳細については、『VMware NSX Advanced Load Balancer モニタリングおよび運用性ガイド』の「レート シェーピングおよびスロットル オプション」を参照してください。
NSX Advanced Load Balancer のポリシー エンジンを使用して、さらにカスタマイズすることができます。これにより、特定の国のユーザーをブロックまたはスロットルするなど、ポイントアンドクリックのルール セットを定義できます。
最高レベルのカスタマイズでは、DataScript を使用して不審なトラフィックを特定し、適切なアクションを実行できます。DataScript は Lua に基づくスクリプト化されたルールで、総当たりログインの試行やその他の使用事例をブロックするなど、上位層の DDoS の軽減に使用できます。
攻撃の可視化
NSX Advanced Load Balancer は、中央集中型マネージャによってリンクされた隔離型アプライアンスの集合というよりはむしろ分散型ファブリックです。各サービス エンジンはファブリックに属しているため、SE に対する攻撃は分析と相関のためにコントローラにフィードされます。コントローラは、有害なアクターをスロットルするなどの目的で、構成変更を他のサービス エンジンにプッシュします。たとえば、複数のサービス エンジンに分散されたポート スキャンは引き続き検出され、攻撃者は SE に初めて接続したとしても自動的に隔離されます。
NSX Advanced Load Balancer は、クライアントと仮想サービスの相互作用に関する豊富なデータを提供します。クライアントのサイト ナビゲーション、タイミング、エラーなどがログに記録されます。攻撃しているクライアントに対して 100 を超えるデータ ポイントがログに記録されます。NSX Advanced Load Balancer では、上位の攻撃者、その IP アドレス、国、ASN、オペレーティング システム、および攻撃を開始する前に行ったサイトとの相互作用を簡単に確認できます。最も重要なことは、ボタンをクリックするだけで、スロットル、永久ブロック、または期間限定のブロックなどのアクションを簡単に実行できることです。
理解しにくいシステムは、適切なセキュリティを確保することも困難です。同様に、NSX Advanced Load Balancer は、E メール、Syslog、SNMP、またはカスタム API にアラートをプロアクティブに送信して、管理者が発生したイベントを認識できるようにします。500 を超えるリアルタイム メトリックをモニタリングする強力なアラートおよびレポート ツールは、DDoS と攻撃の軽減を実現する上で不可欠なコンポーネントです。