 |
||
|
|
導入事例
ホスティングサービスへの導入事例
Rackspace Managed Hosting社
背景
Rackspace Managed Hosting社(米国テキサス州サンアントニオ)は、顧客に対して「熱心なサポート」を提供することを第一としています。Rackspace社では、顧客が悪質なDistributed Denial of Service(DDoS;分散型サービス拒否)攻撃の標的となっていることが判明し、シスコシステムズ製品を導入することで、被害を軽減して業務の継続性を回復することに成功しました。
課題
DDoS攻撃が急激に増加し、Rackspace社の顧客のWebサイトに被害が出始めたのは、2002年初頭のことでした。
「これらの攻撃により、当社のファイアウォールの防御能力を超えるトラフィックが発生したため、お客様のサーバがダウンしてしまいました。」とRackspace社のネットワーク技術者であるJeff Nelson氏は説明します。「そうなると、攻撃されているサーバの周囲にある他のデバイスに被害を出すわけにはいかないので、ネットワーク エッジで攻撃を受けたサーバに到達するためのルートを無効にして、攻撃がおさまるのを待つしかありませんでした。それには何時間かかるのか、何日かかるのか、予測もつきませんでした。」その間に、被害を受けた顧客はビジネス チャンスを逃したために数千ドルの損害を受けていました。
これはRackspace社にとって見過ごすことのできない出来事であり、早急に解決策を見つける必要がありました。「その頃、ちょうど登場したDDoS攻撃をブロックする技術は、まったく目新しいものでした。」とNelson氏は言います。仕事の関係者からRiverhead Networksという会社(2004年3月にシスコが買収)を勧められ、Nelson氏はそこのスタッフをサンアントニオに招きました。
「彼らのデモは非常にすばらしいものでした。」とNelson氏は思い返します。「彼らは、当社のお客様が受けていた各種の攻撃をブロックする機能を示しました。そこで我々は、トライアルを実施して現場環境でその機能を確認することに合意したのです。」
トライアルは、サンアントニオにあるRackspace社のデータ センターの1つにCisco Guard DDoS軽減対策アプライアンスを設置して行われました。Cisco Guardはオフラインで設置され、攻撃フローをルート変更して分析とブロックを実行するようにしました。そのためRackspace社は、ネットワークを混乱させずに必要に応じてソリューションを展開し、テストすることができました。最初に被害を受けたサーバ以外の顧客にも攻撃の影響が出始めた時点で、Rackspace社は、サーバへのルートを無効にしてオフラインにするか、攻撃されているサーバ宛てのトラフィックをCisco Guardによりルート変更して攻撃を抑制するか、という選択肢を顧客に提示しました。「Cisco Guardを辞退したお客様はいませんでした。」とNelson氏は言います。「お客様にとってのリスクは何もないですからね。」
このデバイスの有効性はすぐに証明されました。最初に仕掛けられた攻撃は10,000 pps(パケット/秒)の単純なSYN Flood攻撃で、ほんの数秒で撃退できました。「それは見事に機能しました。」とNelson氏は述べています。
しかし、さらに手ごわい攻撃が待ち構えていたため、Nelson氏のチームは引き続きCisco Guardを使用して設定の調整と新しいポリシーの定義を行い、Rackspace社の顧客が受けていた複合型や変形型などのさまざまな大規模攻撃を撃退しました。トライアルは大成功でした。
ソリューション
次の数カ月間に、Rackspace社はCisco Guardを使用して多数のDDoS攻撃を撃退しました。攻撃の可能性が検出されると、トラフィックのルートを手動でCisco Guard経由に変更しました。そこでは特許を取得したMultiverification Process(MVP)アーキテクチャによって、不正の可能性があるフローに対して最高レベルの分析が行われ、不正パケットを識別して除去しながら、適正なトランザクションについては通常どおりに伝送できます。
最終的に、攻撃が相当な強度で頻繁に仕掛けられたため、Rackspace社はオンデマンドのDDoS保護ソリューションでは長期的に持ちこたえられないと結論しました。「同じやり方を続けるのは不可能でした。」とNelson氏は振り返ります。「当社には、最大規模の企業顧客を保護できるような、スケーラブルで管理性の高いアプローチが必要でした。」
その結果、業界初の管理型付加価値DDoS保護サービスであるPrevenTier™が生まれました。2003年8月に登場したPrevenTierは、攻撃の存在を検出するRackspace社が独自に開発したソリューションがベースになっています。攻撃が検出されると、攻撃対象となっているサーバへ向かうトラフィックのみがすべてCisco Guardを経由するようにルート変更され、検査とブロックが行われます。他のトラフィックは中断されることなく伝送されるので、他の顧客への影響はありません。攻撃フローが除去されると、適正なトラフィックはCisco Guardによってネットワークに戻されるため、ビジネスクリティカルなトランザクションが失われることはありません。
PrevenTierが提供する保護レベルは顧客から高い好評を得られたため、Rackspace社は新しい顧客を競合他社から獲得することさえできました。この成功は、PrevenTierがすでに相当な収益を生み出しており、Rackspace社が初期投資から収益をすみやかに回収していることを示しています。
PrevenTierに感銘を受けたのは顧客だけではありません。2003年11月、PrevenTierのおかげでRackspace社はInfoWorld 100リストに選出され、テクノロジーを最も有効に活用して事業を強化した企業として認められました。
結果
シスコのソリューションは、絶えず巧妙化している攻撃からユーザを保護します。Nelson氏によると、Cisco Guardを使用すれば、攻撃の95%は容易にブロックできます。残りの5%は最も強力な最新の攻撃となるため、若干の調整が必要となりますが、それでも問題なく撃退できます。「ハッカーたちがこうした攻撃を仕掛けるためにそれなりの時間を費やしていることを理解する必要があります。」とNelson氏は言います。「攻撃は、防御システムを突破するように設計されています。それをブロックするために多少の調整が必要になるのは、ごく当たり前のことです。」
またNelson氏は、シスコのソリューションは課題を達成するのに十分な柔軟性を持っていると述べています。「テクノロジーが成熟し、攻撃がより高度になるにつれて、増大する脅威に対応するソリューションの発展する速度にいつも驚かされます。」と彼は言います。
現在の最大の脅威は、脆弱化されたホスト コンピュータである「ゾンビ」の大群による攻撃だとNelson氏は言います。この攻撃では、1台の「マスター」からたった1つのコマンドを発行するだけで、世界中に存在する「ゾンビ」から無防備な標的にトラフィックの洪水を浴びせることができます。
「ゴミ パケットなら、スクリプト ベースの排除リストで簡単にフィルタリングできます。問題なのは、膨大な量の要求なのです。送信元IPあたりの要求は1秒間に1つ程度ではありますが、それがあらゆる場所から押し寄せてきます。」とNelson氏は説明します。
こうした攻撃をブロックするには、最高レベルの分析および軽減機能を備えた柔軟性のあるソリューションが必要です。「当社はCisco Guardがそのソリューションであると確信しました。Cisco Guardでは、1秒間に100万を超えるパケットをフィルタリングしながら、遅延は1ミリ秒も増加しません。」とNelson氏は述べています。「シスコ製品は、かつて見たどんなDDoSソリューションよりも、はるかに優れています。」
