分散型サービス拒否

分散型サービス拒否 (DDoS) 攻撃は通常、攻撃対象のベクトルに利用可能なキャパシティをすべて消費することでターゲットを過負荷状態にすることを目的としたボリューム攻撃です。NSX Advanced Load Balancer は分散型データプレーンモデルに基づいて構築されているため、キャパシティを迅速にスケーリングして攻撃に対応できます。

ボリューム攻撃は通常、ターゲットとなる目的の脆弱性に基づいて 3 つのバケットにグループ化できます。つまり：

スループット/1 秒当たりのパケット数
メモリ
CPU

NSX Advanced Load Balancer は、多くのメカニズムと、必要に応じてサイズを動的に拡大する独自の機能を通じて、それ自体、ネットワーク、アプリケーションを保護します。管理者は、攻撃の表示と対応を完全に制御できます。

注：

この機能は IPv6 ではサポートされていません。

キャパシティのスケーリング

NSX Advanced Load Balancer は、DDoS 攻撃からアプリケーションとネットワークを保護するための最後の防御ラインとして重要な役割を果たします。NSX Advanced Load Balancer の主な防御手段の 1 つは、汎用ハードウェア全体で仮想サービスを迅速にスケールアウトすることで DDoS を吸収する機能です。

1 つのサービスエンジンには最大 36 基の CPU コアと 128 GB のメモリを構成できます。追加のハードウェアを割り当てると、パフォーマンスはほぼ直線的に向上します。ベアメタルサーバにインストールされたサービスエンジンは、複数の 10 Gbps NIC を飽和させ、1 秒当たり数百万のパケットを維持できます。

NSX Advanced Load Balancer はまた、スケールアウトを行って、複数の SE に負荷を水平方向に分散させることもできます。NSX Advanced Load Balancer のネイティブ自動スケールを使用すると、1 つの仮想サービスを最大 4 つの SE に分散させることができます。BGP および等価コストマルチパスルーティングを使用すると、1 つの仮想サービスを 32 の SE に拡張できます。

NSX Advanced Load Balancer のライセンスモデルは柔軟であるため、攻撃を受けているアプリケーション仮想サービスを専用サービスエンジンに自動的に移動できます。攻撃を隔離すると、複数のアプリケーションまたはテナントがイベントの影響を受けないようになり、攻撃を防御するためのリソースをさらに拡張できます。NSX Advanced Load Balancer はまた、システムのライセンス制限を超えてバーストし、アプリケーションの健全性を優先させることができます。

攻撃の軽減

NSX Advanced Load Balancer は、IP、TCP、SSL、HTTP をターゲットとするさまざまな DDoS 攻撃からネイティブに保護します。サービスエンジンは、TCP SYN Cookie、アイドル状態の接続の活用、プロトコル検証などの機能を実装することで、自動的にサービスエンジン自体を守ります。

IP ブロックリストは、REST API を使用してサードパーティのシステムが構成および自動更新できます。管理者は、ユーザーインターフェイスの [セキュリティ] ページにある [ブロック] ボタンを使用して攻撃者をブロックすることもできます。

カスタマイズされた保護

多くの事前定義済みの DDoS 検出がシステムに組み込まれていますが、アプリケーションごとに完全にカスタマイズできるように簡単に構成できます。たとえば、ポートスキャンを実行している攻撃者を報告したり、アクティブにブロックしたりできます。HTTP 要求フラッドを実行している別の攻撃者をスロットルまたはドロップするか、またはカスタマイズされたエラーページを送信することができます。最小限の労力またはトレーニングで最大限のセキュリティを確保するために、レイヤー 4 ～ 7 プロトコル向けの幅広いレートシェーピングおよびスロットル機能が存在します。詳細については、『VMware NSX Advanced Load Balancer モニタリングおよび運用性ガイド』の「レートシェーピングおよびスロットルオプション」を参照してください。

NSX Advanced Load Balancer のポリシーエンジンを使用して、さらにカスタマイズすることができます。これにより、特定の国のユーザーをブロックまたはスロットルするなど、ポイントアンドクリックのルールセットを定義できます。

最高レベルのカスタマイズでは、DataScript を使用して不審なトラフィックを特定し、適切なアクションを実行できます。DataScript は Lua に基づくスクリプト化されたルールで、総当たりログインの試行やその他の使用事例をブロックするなど、上位層の DDoS の軽減に使用できます。

攻撃の可視化

NSX Advanced Load Balancer は、中央集中型マネージャによってリンクされた隔離型アプライアンスの集合というよりはむしろ分散型ファブリックです。各サービスエンジンはファブリックに属しているため、SE に対する攻撃は分析と相関のためにコントローラにフィードされます。コントローラは、有害なアクターをスロットルするなどの目的で、構成変更を他のサービスエンジンにプッシュします。たとえば、複数のサービスエンジンに分散されたポートスキャンは引き続き検出され、攻撃者は SE に初めて接続したとしても自動的に隔離されます。

NSX Advanced Load Balancer は、クライアントと仮想サービスの相互作用に関する豊富なデータを提供します。クライアントのサイトナビゲーション、タイミング、エラーなどがログに記録されます。攻撃しているクライアントに対して 100 を超えるデータポイントがログに記録されます。NSX Advanced Load Balancer では、上位の攻撃者、その IP アドレス、国、ASN、オペレーティングシステム、および攻撃を開始する前に行ったサイトとの相互作用を簡単に確認できます。最も重要なことは、ボタンをクリックするだけで、スロットル、永久ブロック、または期間限定のブロックなどのアクションを簡単に実行できることです。

理解しにくいシステムは、適切なセキュリティを確保することも困難です。同様に、NSX Advanced Load Balancer は、E メール、Syslog、SNMP、またはカスタム API にアラートをプロアクティブに送信して、管理者が発生したイベントを認識できるようにします。500 を超えるリアルタイムメトリックをモニタリングする強力なアラートおよびレポートツールは、DDoS と攻撃の軽減を実現する上で不可欠なコンポーネントです。