Q&ACisco Catalyst 6500/Cisco 7600 ルータ Anomaly Guard モジュールおよび Traffic Anomaly Detector モジュールQ:これらのサービス モジュールは何のための製品ですか。
A:シスコの DDoS 異常検出および軽減対策ソリューションが、先進的な Cisco Catalyst® 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータに搭載するサービス モジュールの形式で使用できるようになりました。これらのサービス モジュールは、シスコのスイッチング サービスやルーティング サービス、さらには他のレイヤ 4 〜 7 ネットワーク サービスやセキュリティ サービスと組み合わせて使用するための柔軟性に優れたモジュラ式のアプローチとして、既存のアプライアンスを補完します。
Q:これらのサービス モジュールは、既存の Cisco Guard および Cisco Traffic Anomaly Detector アプライアンスに類似するものですか。
A:はい。これらのサービス モジュールは、既存のアプライアンスと同じように DDoS の検出と軽減を目的としています。アプライアンスと同様に、サービス モジュールでも Guard 製品と Traffic Anomaly Detector 製品を個別に提供しているので、これらの製品を単独で導入することも、また両者を合わせて 1 台にまとめたソリューションとして導入することもできます。最も重要な点は、Guard を Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに搭載した場合でも、従来のような常時インライン型で利用するデバイスとは異なり、ルーティングベースのダイナミックな迂回機能による強力な「オンデマンド」型のスクラビング機能が維持される点です。
Q:基本的な機能は同じとのことですが、上記で言及されたプラットフォームによる多少の相違とはどのようなものですか。
A:相違点は次のとおりです。
第一に、サービス モジュールには外部インターフェイスがなく、ギガビット バックプレーン インターフェイスを介して直接 Cisco Catalyst 6500 シリーズ スイッチに接続します。アプライアンスと同様ではありますが、これらのモジュールでは、複数のポートとの内部接続が可能なので、設定を柔軟に行うことができます。 第二に、先進的な Cisco IOS ルータのスーパーバイザ エンジンにルーティング機能が分散されています。そのため、Anomaly Guard モジュールには(アプライアンス バージョンのような)統合されたルータ(機能)が組み込まれていません。ダイナミックな迂回機能を実現するシャーシ内部でのルーティング アップデートは、Cisco Route Health Injection(RHI)プロトコルを使用してやり取りされます。 第三に、サービス モジュールには、(アプライアンスのような)広範囲のローカル レポートやログを保存するためのハード ディスクがありません。これを補うため、包括的なコマンドを使用して、レポートおよびログ データをより頻繁にエクスポートする必要があります。 Q:このモジュールには、どのような利点がありますか。
A:この DDoS 検出および軽減対策サービス モジュールには、次の利点があります。
柔軟性のある展開:
スケーラビリティ:
信頼性とハイ アベイラビリティ:
運用コストの削減:
Q:サービス モジュールでの DDoS 検出および軽減対策ソリューションには、どのような展開オプションがありますか。
A:Cisco DDoS 検出および軽減対策サービス モジュールには、統合モードと専用モードの 2 つの異なる展開オプションが用意されています。次に、各モードについて Anomaly Guard モジュールを使用して説明します。
統合モードでは、Cisco Anomaly Guard モジュールを通常のレイヤ 3 データ パス上の Cisco Catalyst 6500 シリーズまたは Cisco 7600 シリーズ シャーシに搭載します。たとえば、データセンターに配置されている既存のスイッチに 1 つまたは 2 つのモジュールを取り付ける場合が考えられます。攻撃を検出すると、トラフィックは Cisco Catalyst バックプレーン経由で Anomaly Guard モジュールに迂回処理され、分析およびクリーニングを受けたあと、スーパーバイザ エンジンを通した後の通常のネクスト ホップに転送されます。 アプライアンス モードでは、アップストリーム スイッチまたはルータに隣接する専用の Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータのシャーシに、複数の Cisco Anomaly Guard モジュールを搭載します。たとえば、スクラビング センターで、大容量のアプリケーション専用に、単一のシャーシに複数の Cisco Anomaly Guard モジュールをクラスタ化する場合が考えられます。専用モードで攻撃が検出されると、該当するトラフィックは、サポートされているいずれかのルーティング プロトコルを使用して、アップストリーム スイッチまたはルータから隣接スイッチに迂回処理されます。スイッチ自体の内部では、Cisco Anomaly Guard はスーパーバイザ エンジンを通した後のスクラビング用のネクスト ホップとなります。攻撃トラフィックを削除したあと、正規のトラフィックがネットワークに返され、本来の宛先に向けて転送が続行されます。 Cisco Traffic Anomaly Detector モジュールも、いずれかのモードで使用することができます。この場合、モニタリング対象となるトラフィックのコピーを受信するための 1 段階または 2 段階の(ルーティングではなく)スパニング プロセスを意味します。 Q:これらのソリューションは、非常に大規模なエンタープライズ環境にのみ適用可能なのでしょうか。
A:これらのソリューションは、最大規模のグローバル企業から小規模企業まで、あらゆる企業を対象に DDoS からの保護機能を提供できます。
大企業の場合、自社のデータセンターでこれらのソリューションを容易に展開して管理することができます。ただし、企業のデータセンターとプロバイダーを接続する帯域幅が 500 Mbps 〜 1 Gbps よりも狭い場合には、大規模な DDoS 攻撃がこれを上回り、アベイラビリティに問題を引き起こす可能性があります。この規模のお客様は、過去に発生した攻撃の規模と予測される攻撃の規模を考慮する必要があります。特にラストマイルの帯域幅が制約となり、自社展開のソリューションで保護できる見通しがつかない場合には、デバイスを購入して直接管理するよりも、別の方法を検討するほうがよい場合があります。AT&T 社、Sprint 社、C&W 社など、多くのサービス プロバイダーがマネージド DDoS サービスを提供しています。さらに、アップストリーム プロバイダー ベースのソリューションなら、アウトソーシングの利点に加えて、現在プロビジョニングされているアクセス帯域幅の数倍に及ぶ攻撃が発生した場合でもラストマイルの帯域幅とビジネスが保護されます。 e- コマースまたは Web プレゼンスをホスティング プロバイダーにアウトソーシングしている企業については、Datapipe 社、Rackspace 社、The Planet 社、Website Source 社 * など、多くのホスティング プロバイダーが、統合型の保護対策としてマネージド DDoS サービスを提供しています。 * 国内の DDoS サービスを提供しているサービス プロバイダー、ホスティング プロバイダーについては、シスコ コンタクト センターまでお問い合わせください。 |
 |
Guest
Cisco Catalyst 6500/Cisco 7600 ルータ Anomaly Guard モジュールおよび Traffic Anomaly Detector モジュール