Fastly の高帯域グローバル分散ネットワークは、DDoS 攻撃を緩和することが可能です。ネットワーク全体が DDoS のスクラビングセンターとして機能するので、セキュリティを保護するためにパフォーマンスが低下することはありません。悪意のあるリクエストがオリジンサーバーに近づく前に、ネットワークエッジでリアルタイムにブロックします。
DDoS 攻撃を効果的に阻止するエッジネットワーク
グローバルに分散された Fastly のネットワークは、悪質なトラフィックに対する高度な可視化とインサイトを通じて、増幅型攻撃からオリジンを守ります。セキュリティポリシーを即座に更新して悪意のあるトラフィックをブロックし、進化し続ける攻撃パターンの一歩先を行くソリューションを提供します。
大規模な攻撃にも対応できる帯域
DDoS 攻撃の規模が拡大する中、セキュリティ対策の規模もスケールアップする必要があります。198 Tbps を超える容量を誇る Fastly のグローバルな分散ネットワークなら、大規模な DDoS 攻撃にも対応できます。
悪質なリクエストがオリジンに達する前にネットワークエッジでブロックできるので、安心してビジネスに専念することができます。
より効果的な対応を可能にする高度な可視性
攻撃下での大規模な HTTP(S) トラフィックの可視化は、大きな課題です。トラフィックの急増がキャンペーンの効果によるものなのか、悪質なボットや DDoS 攻撃によるものなのかを見分けるのは至難の技です。Fastly の柔軟なリアルタイムログ機能を活用することで、正規ユーザーのアクセスを妨げることなく攻撃をブロックするのに必要なインサイトを得ることができます。
進化する攻撃に柔軟に対応
DDoS 攻撃の多くは、ブロックを回避するためにリアルタイムで進化しています。Fastly のエッジクラウドプラットフォームは、世界中どこでも即座にセキュリティポリシーを更新し、変更をプッシュできるため、攻撃の一歩先を行くことができます。平均わずか13秒の速さでデプロイが可能です。
DDoS 対策のしくみ
ネットワークレイヤー攻撃
Fastly は、お客様の Web サーバーとブラウザ間の双方向トラフィック (暗号化・非暗号化トラフィック) をすべて確認し、グローバルノードですべての非 HTTP/HTTPS トラフィックを自動的にフィルタリングしてレイヤー3およびレイヤー4に対する壊滅的な攻撃をブロックします。また Ping フラッド、ICMP フラッド、リフレクション/アンプ攻撃、トランザクションフラッド、リソース枯渇攻撃、UDP の悪用に対する保護対策も講じています。
アプリケーションレイヤー攻撃
Fastly のエッジキャッシュノードは実施ポイントとして機能します。複雑なレイヤー7攻撃からお客様のネットワークを保護するため、Varnish Configuration Language (VCL) を用いてルールを適用します。また、すべての HTTP/HTTPS リクエストを検査し、ヘッダー、Cookie、リクエストパス、クライアント IP、地理的位置など、クライアントおよびリクエスト条件に基づいて攻撃をブロックすることが可能です。アプリケーションまたは API のオリジンサーバーでデプロイ可能な Fastly の次世代 WAF (旧 Signal Sciences) は、レイヤー3とレイヤー4に対するビルトインセキュリティ機能を補完し、レイヤー7の保護をさらに強化します。
柔軟な設定
Fasty のサービスは高度な設定が可能です。潜在的な DDoS 攻撃が検出された場合、コントロールパネルを使用、あるいはカスタム VCL をアップロードすることで、特定の URL、クライアントタイプ、地域、またはリクエストの種類をブロックできます。また必要に応じて、過去の設定履歴を利用して変更をすばやくロールバックすることも可能です。
DDoS 対策サービス
Fastly の配信サービスには、DDoS 攻撃に対する基本的な保護サービスが含まれています。また、Fastly エッジクラウドサービスのアドオンとして、12か月間の DDoS 対策サービスもご利用いただけます。
迅速なオンボーディング
Fastly を初めてご利用のお客様でも、すぐに Fastly の CDN サービスに移行できるようサポートします。
緊急時のデプロイ・設定サポート
即座に攻撃をブロックできるよう、Fastly はサービスマップの設定やフィルターポリシーの作成をサポートします。
継続的な対策サポート
Fastly チームは、進化する攻撃または新たな攻撃に対応するカスタム VCL フィルターを作成し、悪質なトラフィックを隔離します。
インシデントレスポンスプラン
Fastly では攻撃が発生した場合に備え、お客様、スタッフ、 Fastly 間のコミュニケーションおよびエスカレーションのプロセスを示すインシデントレスポンスプランを提供しています。プランには、攻撃時または事前に VCL に挿入可能な DDoS フィルターなど、対策や防御の詳細についても記載されています。
「Fastly の DDoS 対策機能のおかげで、さまざまなセキュリティ脅威から守られながら迅速にスケールアップすることができます」
DDoS 対策サービスの機能
設定機能
Fastly の強力なオリジンシールド機能は、特定の POP をオリジンサーバーの「シールド」として指定することで古いコンテンツのリクエストを処理し、コンピューティングリソースを最大限に活用します。
Fastly では、CDN からオリジンサーバーへトラフィックを送信する際にキャッシュが使用する IP アドレスをお客様が確認できるよう、API エンドポイントを提供します。それにより、Fastly のキャッシュトラフィックのみがリソースにアクセスできるように、オリジンでファイアウォールを更新することが可能です。
Fastly では、特定の URL、クライアントタイプ、地域、またはリクエストの種類をブロックするためのカスタム VCL を自らアップロードし、DDoS 攻撃に迅速に対応することが可能です。
保護対策
分散反射型 DoS 攻撃 (DRDoS) は、攻撃者がオリジンになりすましてレスポンスリクエストを一斉に送信することで、ネットワークに過負荷をかけ、ダウンさせる手口です。
Ping フラッド攻撃 (別名 ICMP フラッド攻撃) は、ネットワークに大量の ICMP エコーリクエストを送信することで、送信・受信帯域に悪影響を与えます。
Fastly の DDoS 対策サービスは、ネットワークレイヤー (レイヤー3および4) とアプリケーションレイヤー (レイヤー7) に対する悪意のあるリクエストに、リアルタイムで対応します。
こちらもご覧ください
データシート
DDoS 対策データシート
ビデオ
DDoS 対策サービスによるビジネスの保護
データシート
DDoS 対策サービスに関して最もよく寄せられるご質問と回答
ホワイトペーパー