AZ700-CORE#57
新規 VNet に対して DDoS Network Protection を設定する手順を順序付けてください。要件は本番運用前にシミュレーション検証まで完了させることです。
- DDoS Network Protection Plan リソースを作成 (1 サブスクリプションあたり 1 つ推奨、コスト効率)
- 対象 VNet に Plan を関連付け (VNet の Properties → DDoS Protection を有効化)
- アラート ルールを Azure Monitor で設定 (Under attack、Mitigation triggered 等)
- 通常時のベースライン トラフィック量を Plan が学習する期間 (約 1 週間)
解説
【正しい順序】
- ステップ 1: DDoS Plan 作成
- ステップ 2: VNet に Plan 関連付け
- ステップ 3: Azure Monitor アラート設定
- ステップ 4: ベースライン学習 (約 1 週間)
【各ステップの理由】
- ステップ 1: Plan 作成: DDoS Network Protection Plan は月額固定費 (約 USD 2,944/月) で 1 サブスクリプション 1 Plan が推奨です。複数 VNet をこの 1 つの Plan に関連付けることでコスト効率化を実現します。サブスクリプション間 Plan 共有も可能です。
- ステップ 2: VNet 関連付け: VNet 単位で Plan を関連付けることで、その VNet 内の Public IP が DDoS Protection の対象となります。VNet → Properties → DDoS Protection で有効化します。
- ステップ 3: アラート設定: Under DDoS attack、Mitigation triggered、DDoS attack mitigated などのメトリクスをアラート化し、運用通知 (Email、SMS、Webhook、Teams) を確保。SOC への即時通知が攻撃対応の鍵です。
- ステップ 4: ベースライン学習: Plan は約 1 週間でその VNet の通常時トラフィックを学習し、機械学習ベースで「平常時逸脱」を判定するベースラインを作成します。学習期間中は検知精度が低いため、シミュレーション前にこの期間を待ちます。
【DDoS Protection Standard の機能】
| 機能 | 説明 |
|---|---|
| 常時監視 | VNet の Public IP すべての常時トラフィック分析 |
| アダプティブ チューニング | ベースラインに基づいた緩和閾値の動的調整 |
| 攻撃メトリクス + アラート | Azure Monitor 統合 |
| 緊急対応サポート (DRR) | Microsoft DDoS Rapid Response チーム支援 |
| コスト保護 | DDoS によるトラフィック増加分のコスト補填 |
【誤った順序の問題点】
- ❌ シミュレーションを最初に実行: Plan 未関連付け状態では緩和が動作せず、本物の DDoS と同じ被害を VM が受ける可能性あり。サービス停止につながる重大な誤り。
- ❌ アラート設定を最後に: ベースライン学習中に攻撃を受けた場合、通知がなく対応遅延の原因に。学習期間中も監視は必要。
- ❌ Plan なしで VNet 関連付け: 関連付け対象の Plan が存在しないため、関連付け操作自体が失敗します。
コメント