Cisco ASR 9000 vDDoS 攻撃対策ソリューション ソリューションの概要

ネットワークが分散型サービス妨害（DDoS）攻撃を検出し、自動でブロックできるとしたらどうでしょうか。帯域幅攻撃や状態枯渇攻撃、アプリケーション層攻撃といった DDoS 攻撃からネットワークを保護できるよう、機能を強化しましょう。

ネットワークはビジネスにとって不可欠なものであり、これが利用できなければ、ビジネスに悪影響がおよびます。世界中のボットネットが WAN や LAN に対する DDoS 攻撃を始めると、トランジット プロバイダー、同僚、顧客、ネットワークに問題が生じます。リンク上のトラフィックが飽和状態になる可能性があります。ルータやドメイン ネーム システム（DNS）といったサービスなど、ネットワーク デバイスに障害が発生する場合もあります。また、お客様の接続が切断されることにより、コール センターへの問い合わせが急増することも考えられます。ビジネス実行を維持するには、ネットワークの可用性を維持する、つまりネットワークを DDoS 攻撃から効果的に保護する必要があります。

^Cisco® ASR 9000 virtual DDoS（vDDoS）攻撃対策ソリューションでは、Arbor Networks の DDoS 攻撃検知および軽減技術をシスコのネットワークに組み込むことで、お使いのネットワークを DDoS 攻撃から保護します。その結果として、お客様のネットワークに対するあらゆる DDoS 攻撃を自動的に軽減できます。このソリューションでは、帯域幅攻撃、状態枯渇攻撃、アプリケーション層攻撃（図 1）などのさまざまな DDoS 攻撃からネットワークを保護し、継続的な可用性を確保します。Cisco ASR 9000 vDDoS は完全に仮想化され、軽減技術が ASR 9000 シリーズ ルータに組み込まれます。これにより、通常のフローやトラフィックを妨げることなく、DDoS 攻撃を受けたトラフィックを自動的に検出してブロックできます。このマルチテナント ソリューションにより、サービス プロバイダーは顧客に DDoS 攻撃対策ソリューションをサービスとして提供できるようになります。

DDoS 攻撃の規模、頻度、複雑性の増大

Arbor Networks の『第 10 版年次ワールドワイド・インフラストラクチャ・セキュリティ・レポート』（2014 年）によれば、サービス プロバイダーのうち、73 % が DDoS 攻撃を経験し、55 % が自らのインフラストラクチャに対する DDoS 攻撃を経験しています。

近年の DDoS 攻撃は規模、頻度ともに増大を続けており、常に 400 Gbps 規模に到達している状況です。これらの攻撃は、もはや単純なシングルベクトル攻撃にとどまりません。より複雑なマルチベクトル型の攻撃が一般的となり、一層大きな脅威にさらされているのが現状です。事態をより複雑にする要因は、各種の DDoS 攻撃を動的に組み合わせたハッカーの新しいツールです。

●   帯域幅攻撃：特定のトラフィックまたはプロトコル メッセージを大量に送り込むことで、リソースの機能を停止させます。この攻撃では、Web サイト（特にオンラインのギャンブル サイトやゲーム サイト）、企業のインターネット接続、ホスティング プロバイダー、クラウド プロバイダーを主な標的としています。

●   状態枯渇攻撃：標的とするリソースのプロトコル状態がオーバーフローまたはエラーとなる攻撃です。ファイアウォール、侵入防御システム、Web アプリケーション ファイアウォール、ロード バランサ、データベースを主なターゲットとします。

●   アプリケーション層攻撃：検出が困難なため、「低速・低空飛行型」の攻撃と揶揄されることもあります。政府/自治体、企業、およびあらゆるタイプのサービス プロバイダーで動作する重要なアプリケーションを標的とします。

DDoS 攻撃検知および軽減のしくみ

ネットワーク ルータから、Cisco Unified Computing System™（Cisco UCS®）で仮想マシンとして動作する Arbor Networks の Peakflow SP コレクタに NetFlow を送信します。DDoS 攻撃が検知されると、自動的に軽減されるか、または分析して手動で軽減できます。DDoS 攻撃軽減技術（Arbor Networks TMS および vDDoS 攻撃対策ソリューション）の分析と管理は、すべて Arbor Networks の Peakflow SP で行います。

手動および自動による軽減は、Arbor Networks の Peakflow SP で設定します。実際の軽減は、ASR 9000 シリーズ VSM および Cisco ASR 9000 シリーズ ルータ（Cisco ASR 9006 ルータ以上）内部にあるラインカード スロットで動作する vDDoS 攻撃対策ソフトウェアによって実行されます。Peakflow および vDDoS 攻撃対策ソリューションでは、Arbor Networks の ATLAS インテリジェンス フィード（AIF）から定期的に更新を受信して、ボットネットなどのソースの中から最も新しく関連性の高い DDoS 脅威に関して端末に通知を行います。

何を導入すべきか

●   Cisco ASR 9000 シリーズ ルータ（モデル：ASR 9006 ルータ、ASR 9010 ルータ、ASR 9912 ルータ、ASR 9922 ルータ）

●   Cisco ASR 9000 シリーズ VSM

●   Cisco ASR 9000 vDDoS 攻撃対策ソリューション

●   Arbor Networks Peakflow

●   すべてのコンポーネントに対するサポート

●   インストレーション

●   Arbor Networks AIF のサブスクリプション

主な機能

●   1 秒以内の DDoS 攻撃検知

●   ASR 9000 シリーズ VSM による最大 40 Gbps の軽減

●   1 秒あたり最大数十テラバイトのブラックリスト登録

●   Tier 1 サービス プロバイダー ネットワークに対する導入拡大

●   マルチテナント型の顧客ポータル

使用可能なモデルとオプション

Cisco ASR 9000 vDDoS 攻撃対策ソリューション：ソフトウェアは 10、20、40 Gbps の軽減に対応しています。

Arbor Networks Peakflow：あらゆる規模のネットワークをサポートするためのスケール、NetFlow データの収集、DDoS 攻撃のトラフィック分析、およびお客様のログインに必要なポータルの提供を行います。

使用例

Cisco Capital

目標の達成に役立つファイナンス

シスコ キャピタル^®では、目標を達成し、競争力を維持するために必要なテクノロジーの取得を支援します。シスコは設備投資（CapEx）の削減をサポートします。成功を加速させ、投資金額と ROI を最適化します。Cisco Capital ファイナンス プログラムは、お客様がハードウェア、ソフトウェア、サービス、および補完的なサードパーティ製機器を柔軟に取得できるようにします。また、それらの購入を 1 つにまとめた計画的なお支払い方法をご用意しています。Cisco Capital は 100 ヵ国以上でサービスを利用できます。詳細はこちら

シスコが選ばれる理由

ネットワーキング業界のリーダーであるシスコは、高い拡張性と可用性を持つネットワークを構築し、それらを攻撃から防御するための知識を持つ理想的なパートナーです。DDoS 攻撃はいまや、お客様のネットワークの可用性に対する最も大きなセキュリティ脅威です。シスコは、業界トップクラスを誇る Arbor Networks の DDoS 攻撃検知（Peakflow）および軽減技術を Cisco ASR 9000 シリーズ ルータに組み込むことで、入力エッジでのネットワーク保護を実現しています。

次のステップ

このソリューションに関する一般情報の詳細については、Cisco ASR 9000 vDDoS 攻撃対策ソリューション [英語] の「At-a-Glance（概要）」を参照してください。このソリューションに関する詳細については、Cisco ASR 9000 vDDoS 攻撃対策ソリューションのデータシート [英語] を参照してください。Peakflow ソリューションの技術的な実装、拡張、運用の詳細については、Cisco ASR 9000 vDDoS 攻撃対策ソリューションのホワイト ペーパー [英語] を参照してください。

追加情報については、arbornetworks.com/asr9000 [英語] を参照してください。

DDoS 攻撃に対するネットワークの保護、およびお客様への DDoS 攻撃対策ソリューション サービスを提供するには、シスコのセールス担当者またはシスコ認定チャネル パートナーにお問い合わせください。