Azure DDoS Protection を使用した提携

この記事では、Azure DDoS Protection によって可能になる提携機会について説明します。 この記事は、プロダクト マネージャーと営業開発の担当者が投資の道筋を理解し、パートナーとなる価値提案を分析できるように設計されています。

バックグラウンド

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客から寄せられる可用性とセキュリティに関する主要な関心事の 1 つです。 DDoS 攻撃の背後には強要とハクティビズムが一般的な動機としてあり、比較的簡単で安価に開始できるため、発生の種類、規模、頻度は一貫して増加しています。

Azure DDoS Protection には、Azure ネットワークのグローバル スケールが利用した、最も高度な DDoS の脅威に対する対策が用意されています。 このサービスでは、仮想ネットワークにデプロイされたアプリケーションとリソースに対する DDoS 軽減機能が強化されています。

テクノロジ パートナーは、Azure DDoS Protection を使用して顧客のリソースをネイティブで保護し、DDoS 攻撃による可用性と信頼性の問題に対応できます。

Azure DDoS Protection の概要

Azure DDoS Protection には、レイヤー 3 およびレイヤー 4 の DDoS 攻撃に対する強化された DDoS 軽減機能が用意されています。 DDoS Protection サービスの主な機能を次に示します。

アダプティブ リアルタイム チューニング

Azure DDoS Protection を使うと、保護されたアプリケーションごとに、アプリケーションのトラフィック プロファイル パターンに基づいて DDoS 軽減ポリシーのしきい値を自動的に調整できます。 このカスタマイズは、次の 2 つのインサイト手法を通じて実行されます。

  • お客様ごと (IP ごと) に、レイヤー 3 および 4 のトラフィック パターンを自動学習する。
  • 誤検出を最小限に減らす (大量のトラフィックを吸収できる Azure のスケールを活用したもの)。

アダプティブ リアルタイム チューニング。

攻撃分析、テレメトリ、監視、アラート

Azure DDoS Protection は、ユーザーの介入がなくても DDoS 攻撃を識別して軽減します。

  • 保護されているリソースが Microsoft Defender for Cloud の対象となるサブスクリプションにある場合、保護されているアプリケーションに対する DDoS 攻撃が検出され、軽減されるたびに、DDoS Protection から Defender for Cloud に自動的にアラートが送信されます。
  • 保護されているパブリック IP に対してリスク軽減がアクティブになった場合に通知を受け取るには、メトリック Under DDoS attack or not (DDoS 攻撃中かどうか) に対してアラートを構成することができます。
  • さらに、他の DDoS メトリックのアラートを作成し、攻撃のテレメトリを構成して、攻撃の規模、ドロップしたトラフィック、攻撃ベクトル、主な寄与要素、その他の詳細を把握できます。

DDoS メトリック

DDoS Rapid Response (DRR)

DDoS Protection のお客様は、アクティブな攻撃中に Rapid Response チームにアクセスできます。 DRR では、攻撃中の攻撃の調査と攻撃後の分析に関して支援を受けることができます。

SLA の保証とコスト保護

DDoS Protection サービスには 99.99% の SLA が適用され、コスト保護により、ドキュメント化された攻撃中にスケールアウトするためのリソース クレジットが提供されます。 詳細については、「Azure DDoS Protection の SLA」を参照してください。

Azure DDoS Protection と統合することで得られる主な利点は次のとおりです。

  • パートナーが顧客に提供するサービス (ロード バランサー、Web アプリケーション ファイアウォール、ファイアウォールなど) は、バックエンドの Azure DDoS Protection によって自動的に保護されます (ホワイト ラベル付きになります)。
  • パートナーは、Azure DDoS Protection の攻撃分析とテレメトリにアクセスして、自社製品と統合し、統一されたカスタマー エクスペリエンスを実現できます。
  • パートナーは、Azure Rapid Response がない場合でも、DDoS 関連の問題について DDoS Rapid Response サポートを利用できます。
  • パートナーの保護されたアプリケーションは、DDoS 攻撃が発生した場合の DDoS SLA 保証とコスト保護に支えられています。

技術的な統合の概要

Azure DDoS Protection 提携機会は、Azure portal、API、および CLI/PS を介して利用できます。

DDoS Protection と統合する

パートナーが Azure DDoS Protection との統合を構成するには、次の手順が必要です。

  1. 目的の (パートナー) サブスクリプションで DDoS Protection プランを作成します。 詳細な手順については、「DDoS Protection プランを作成する」を参照してください。

    Note

    特定のテナントに対して作成する必要がある DDoS Protection プランは 1 つだけです。

  2. ロード バランサー、ファイアウォール、Web アプリケーション ファイアウォールなど、パブリック エンドポイントを使用して (パートナーの) サブスクリプションにサービスを展開します。
  3. 最初の手順で作成した DDoS Protection プランを使用して、パブリック エンドポイントを持つサービスの仮想ネットワークで Azure DDoS Protection を有効にします。 詳細な手順については、DDoS Protection プランの有効化に関する記事を参照してください。

    重要

    仮想ネットワークで Azure DDoS Protection を有効にすると、その仮想ネットワーク内のすべてのパブリック IP が自動的に保護されます。 これらのパブリック IP の発信元は、Azure (クライアント サブスクリプション) の内部または Azure の外部の可能性があります。

  4. 必要に応じて、Azure DDoS Protection のテレメトリと攻撃分析をアプリケーション固有の顧客向けダッシュボードに統合します。 テレメトリの使用の詳細については、「DDoS 保護テレメトリの表示と構成」を参照してください。

オンボード ガイドと技術ドキュメント

ヘルプの参照

  • Azure DDoS Protection とのアプリケーション、サービス、または製品の統合について不明な点がある場合は、Azure セキュリティ コミュニティに問い合わせてください。
  • Stack Overflow に関するディスカッションに従ってください。

市場に投入する

次のステップ

既存のパートナーとの統合について確認してください。