Azure DDoS Protection

解決する課題

• 大量の通信でサービスを枯渇させる**ボリューメトリック攻撃（帯域あふれ）**を吸収したい
• SYN フラッドなどの**プロトコル攻撃（L3/L4）**で接続テーブルや状態を食い潰されるのを防ぎたい
• 攻撃の検知・緩和を人手の運用に頼らず自動化し、平常時の正常通信は通したい
• 公開エンドポイント（VM・ロードバランサ・アプリケーションゲートウェイ等）を個別に守るのではなく、ネットワーク単位でまとめて保護したい

主要概念と用語

• DDoS Protection（保護プラン）: 仮想ネットワークに関連付けて使う保護リソース。VNet 内のパブリック IP を持つリソースが保護対象になる
• 基本保護（プラットフォーム既定）: Azure のグローバルネットワークに追加費用なしで常時組み込まれている基盤レベルの緩和。テナント全体で共通のしきい値が適用される
• ネットワーク保護（有料プラン）: VNet に紐づけて使う上位プラン。リソースごとに最適化された緩和ポリシー、攻撃メトリクス、攻撃後のレポート、緩和フローログ、コスト保護などが付く
• IP 保護（有料・単一 IP 単位）: VNet 全体ではなく個々のパブリック IP 単位で有料保護を有効化する課金単位。小規模構成向け
• 緩和（Mitigation）: 攻撃と判定したトラフィックをスクラビングして破棄し、正常な通信だけをバックエンドへ通す処理
• 適応型チューニング: 各リソースの平常時トラフィックを学習し、緩和を発動するしきい値を自動調整する仕組み
• L3/L4 と L7 の役割分担: 本サービスはネットワーク層・トランスポート層（L3/L4）が対象。アプリケーション層（L7）の攻撃は Web Application Firewall（WAF） と組み合わせて防ぐ

仕様・制限・クォータ

• 保護されるのはパブリック IP を持つ Azure リソース（VM、Load Balancer、Application Gateway、Front Door の一部経路など）。プライベート IP 単体は対象外
• 緩和は L3/L4 が中心で、HTTP リクエスト氾濫のような L7 攻撃は WAF 側の役割
• **PaaS の一部（マルチテナントのフロントエンド型サービス）**はプラットフォーム側で広域に保護され、VNet 保護プランの対象外となる場合がある
• 有料プランは1 つの保護プランを複数 VNet で共有でき、プラン配下で保護できるパブリック IP 数の上限が定義されている（超過分は追加課金の考え方）
• 攻撃メトリクス・診断ログ（緩和開始/終了、緩和フローログ、レポート）は Azure Monitor へ送って分析・アラートできる
• 基本保護は有効化操作が不要（既定で全テナントに適用）。有料保護は明示的にプランを作成して VNet または IP に関連付ける必要がある

内部の仕組み

DDoS Protection は、保護対象リソースに流入するトラフィックを常時モニタリングしています。各リソースのトラフィックパターン（パケットレート、フロー数、プロトコル構成など）を学習し、そのリソース固有の正常範囲をベースラインとして持ちます。

• 観測値がベースラインを超え、攻撃と判定されると、Azure のグローバルネットワークに分散配置されたスクラビング（洗浄）基盤が緩和を発動する
• 緩和では不正なトラフィックを破棄し、正常な通信だけをバックエンドへ通す。緩和はネットワークのエッジ側で行われるため、攻撃トラフィックがバックエンドに到達する前に吸収されやすい
• 緩和の発動・停止、緩和したパケット量などはメトリクスとログとして記録され、攻撃後には緩和レポートが生成される
• 有料プランでは適応型チューニングにより、トラフィックの増減（例: キャンペーンによる正常な急増）に追従してしきい値が調整され、過検知（正常通信の巻き込み）を抑える

設計パターン / ベストプラクティス

• 公開エンドポイントを持つ本番 VNet に有料プランを関連付け、攻撃メトリクスとレポートで可視性を確保する
• DDoS Protection（L3/L4）と WAF（L7）を多層で併用し、ネットワーク層からアプリ層まで切れ目なく守る
• パブリック IP を最小化し集約する（不要な公開面を減らすことが最大の防御）
• エッジ配信サービス（Front Door 等）を前段に置き、グローバルネットワークで広域に攻撃を吸収する構成にする
• 緩和発動・攻撃トラフィックのメトリクスにアラートを設定し、攻撃の発生と規模を即座に把握できるようにする
• 負荷に追従できる自動スケール（VM スケールセット等）と組み合わせ、緩和をすり抜けた負荷増にも耐えられるようにする

運用・監視

• Azure Monitor のメトリクスで「攻撃下かどうか（Under DDoS attack）」「緩和中のパケット/バイト量」「破棄トラフィック」などを監視
• 診断設定で緩和開始/停止通知、緩和レポート、緩和フローログを Log Analytics / Storage / Event Hubs へ送る
• 緩和発動メトリクスにアラートを設定し、攻撃検知をオンコールへ通知
• 攻撃後は緩和レポートで攻撃ベクトル・ピーク値・継続時間を振り返り、しきい値や前段構成を見直す
• 平常時のトラフィックが急変する施策（大型キャンペーン等）の前は、適応型チューニングが追従するか・過検知が出ないかを事前に確認

コスト

基本保護は追加費用なしの常時提供で、上位機能は有料プランの契約で利用します。料金は変動するため、ここでは課金の考え方を定性的に示します。

• 有料のネットワーク保護は月額固定が中心で、1 プランを複数 VNet で共有できるため、公開 IP が多い組織ほど割安になりやすい
• IP 保護は IP 単位の課金なので、守る公開エンドポイントが少ない場合に向く
• 有料プランには**コスト保護（緩和中のスケールアウト費用クレジット）**が含まれ、攻撃による想定外のスケール費用を緩和できる

セキュリティ

• DDoS（L3/L4）と WAF（L7）の多層防御で、ネットワーク層からアプリ層までの攻撃に対応
• 公開面の最小化（不要なパブリック IP を作らない、Private Endpoint 等で非公開化）が前提
• 緩和は正常通信を維持したまま不正トラフィックのみ破棄するため、可用性そのものの防御に直結する
• 診断ログ・緩和レポートで攻撃を可視化し、インシデント対応と事後分析の証跡にする
• ネットワーク制御（NSG・サービスタグ）や前段のエッジ配信と組み合わせ、到達面を物理的に絞る

Well-Architected の観点

• 信頼性: 攻撃下でも正常通信を維持し、可用性を守る。緩和はエッジで行われ、自動スケールと併用するとさらに堅牢になる
• セキュリティ: L3/L4 の緩和を WAF（L7）と組み合わせた多層防御。公開面の最小化と監視で攻撃面と検知性を両立
• 運用上の優秀性: 緩和の自動発動とメトリクス/レポートにより、人手の介入なしで攻撃を検知・対処できる
• コスト最適化: 基本保護は無償。有料プランは共有とコスト保護で、攻撃時の想定外スケール費用を抑える

試験で問われるポイント

関連サービス・比較

DDoS Protection は L3/L4 を担い、L7 は WAF が担当します。AWS では Shield が同じ位置づけで、無償の Standard と有料の Advanced に分かれます。

ハンズオン / CLI例

# リソースグループを作成
az group create --name demo-rg --location japaneast

# DDoS Protection（ネットワーク保護）プランを作成
az network ddos-protection create \
  --resource-group demo-rg \
  --name demo-ddos-plan \
  --location japaneast

# 仮想ネットワークを作成し、DDoS 保護プランを関連付け
az network vnet create \
  --resource-group demo-rg \
  --name demo-vnet \
  --address-prefixes 10.0.0.0/16 \
  --subnet-name app-subnet \
  --subnet-prefixes 10.0.1.0/24 \
  --ddos-protection true \
  --ddos-protection-plan demo-ddos-plan

# 既存 VNet に後からプランを関連付ける場合
az network vnet update \
  --resource-group demo-rg \
  --name demo-vnet \
  --ddos-protection true \
  --ddos-protection-plan demo-ddos-plan

# 保護プランの状態を確認
az network ddos-protection show \
  --resource-group demo-rg \
  --name demo-ddos-plan \
  --query "{name:name, vnets:virtualNetworks}" -o jsonc