この連携機能により、Flowmonでトラフィック監視・分析して、フローベースでDDoS攻撃を高精度に素早く検知し、「Thunder TPS」に攻撃情報を送信してパケット経路変更や不正パケット破棄などのミティゲーション処理を行うことで、既存のネットワーク構成を変更せず、負荷をかけずにDDoS攻撃からのネットワーク防御が可能になるという。既に「Thunder TPS」と「Flowmon DDoS Defender」を導入している企業は、追加のライセンス費用なく、新しい連携機能を利用できる。
フロー分析ベースでのDDoS検出のメリット
Flowmonソリューションは、Flowmonコレクタ」がフロー情報(送信元/送信先IPアドレスやポート番号、プロトコル番号などの通信統計情報)を、スイッチやルータ、フロー情報生成装置「Flowmonプローブ」などから収集し、蓄積・分析することで、ネットワーク全域や個々の通信を可視化する。
「Flowmonコレクタ」のプラグインである「Flowmon DDoS Defender」は、フロー分析からDDoS特有のボリューム攻撃を検知する。Flowmonによるフロー分析は、パケット分析型と比較してデータ量が500分の1で済む上に、あらゆるレベルでの疑わしい攻撃トラフィックをすみやかに検知する高精度な解析を担保している。このため、攻撃であると判断するまでの検知処理の効率化、および負荷の低減が可能となり、大規模ネットワークにおいても現実的な対策を施すことができるとしている。
「Thunder TPS」でのミティゲーション制御
「Flowmon DDoS Defender」は、既存のルータと直接連携することで、PBR (Policy Based Routing)、BGP Flowspec、およびBGP RTBHプロトコル経由で、攻撃トラフィックを制御することも可能だが、本来通過させなければいけない正常なパケットも丸ごと破棄してしまう可能性がある。今回連携する「Thunder TPS」は、細やかなミティゲーション制御が可能なため、より精度の高い防御対策と緩和を実現するという。
「Flowmon コレクタ」と「A10 Thunder TPS」の連携では、ISPやMSSP(マネージドセキュリティサービスパートナー)、データセンタでの導入に向けて、昨今のDDoS攻撃の大規模化を考慮し、アウトオブパス構成による防御戦略を採用している。
アウトオブパス構成とは、監視対象のリンク(パス)を直接攻撃検知・ミティゲーション装置にインライン構成するのではなく、複数のリンクをラインの外側に配置した攻撃検知装置で監視するもの。攻撃トラフィックを検知するとそのトラフィックのみをミティゲーション装置に迂回させて、攻撃トラフィックを除去する。アウトオブパス構成にすることで、効率的なDDoS対策が可能になる。
