Alibaba Cloud WAFをAnti-DDoS Premiumと組み合わせる

f:id:SB_kaori_matsushima:20211012111958j:plain (2021年1月20日掲載)

こんにちは。SBクラウドの赤羽です。前回に引き続き、Alibaba Cloudのセキュリティプロダクト「Web Application Firewall(WAF)」について書いていきます。今回はDDoS対策強化を目的に「Anti-DDoS Premium」との組み合わせ方法を紹介します。

AlilbabaCloudのAnti-DDoSについて

AlibabaCloud WAFはデフォルトでAnti-DDoS Basicが有効になっています。Anti-DDoS Basicでは、トラフィッククリーニングに加え、ブラックホール機能(※)により、Alibaba Cloud全体を保護しています。このブラックホール機能ですが、閾値を超える量の攻撃を受けると発動し、WEBサイトへのアクセスそのものを止めるという仕様になっています。ユーザ側でブラックホール状態の解除や、Anti-DDoS Basicの無効化はできないため、もしブラックホール機能が発動した場合は解除されるまで待つしかありません。

(※)ブラックホール機能:トラフィックコントロールにより無効なIPへ誘導する仕組み 

有償版のAnti-DDoS Premiumではこの閾値によるブラックホール機能は無いため、例えばECサイトなど、Webサイト停止による影響が大きい場合は、WAFと一緒に導入いただくことをおすすめしています。

【Anti-DDoSプロダクトの種類】

Alibaba CloudのAnti-DDoSプロダクトは大きく分けて4つあります。

・Anti-DDoS Basic ⇒ ECS、EIP、SLB、WAFに標準で装備。無料
・Anti-DDoS Pro  ⇒ 中国本土内の複数スクラビングセンター(※)にてDDoS防御
・Anti-DDoS Premium ⇒ グローバルに展開された複数スクラビングセンターにてDDoS防御
・Game Shield  ⇒ ゲームアプリケーションの防御に特化したプロダクト

(※)スクラビングセンター:DDoS攻撃の検知やトラフィッククリーニングをしたのち、正常通信のみ透過させる

中国本土からのアクセスに特化しているプロダクトが用意されているのもAlibabaCloudの特徴です。今回はグローバルに展開しているWEBサイトを想定して、Anti-DDoS Premiumとの組み合わせをご紹介していきたいと思います。


(参考)Anti-DDoS BasicとAnti-DDoS Premiumをピックアップして特徴を並べてみました。

■Anti-DDoS Basic
・最大5Gbpsまでの保護(東京リージョンの場合、500Mbps)
・レイヤー3、レイヤー4のDDoS攻撃防御
・ブラックホール閾値 有
・無料

■Anti-DDoS Premium
・10Tbps超の保護性能(グローバルで分散保護している)
・レイヤー3、レイヤー4、レイヤー7のDDoS攻撃防御
・ブラックホール閾値 無
・有料

Anti-DDoS Premiumではレイヤー7の保護も追加され、Webサービスの防御に優れていることがわかります。


WAFとAnti-DDoS Premiumとの組み合わせについて

今回の構成です。①~④はインスタンスデプロイの順番です。ECS、WAFは購入済みの段階から説明しますので、②の途中から進めていくことになります。ECSとWAFは東京リージョン。Anti-DDoS premiumはエニーキャストにより、クライアントから最寄りのインスタンスを経由するため、リージョンという考えはありません。

f:id:sbc_akahane:20210119143043p:plain

前提

・独自ドメインは取得済み
・ECSとWAFは購入済み。東京リージョンに立ち上がっている
・ネームサーバはお名前.comを利用

設定の流れ

設定の順番は下記となります。
1.WAFにドメイン設定をする(ECSのIPアドレスを登録)
2.Anti-DDoS Premiumインスタンスの購入する
3.Anti-DDoS Premiumにドメイン設定をする(WAFのCNAMEを登録)
4.ネームサーバにドメイン設定をする(Anti-DDoS PremiumのCNAMEを登録)

1.WAFにドメイン設定をする(ECSのIPアドレスを登録)

1-1 WAFコンソールにて、Website Access > Website Access ボタンをクリックします。

f:id:sbc_akahane:20210119113541p:plain

1-2 WAFコンソールの画面下段よりManually Add Other Websiteをクリックします。

f:id:sbc_akahane:20210119113558p:plain

1-3 設定画面が表示されますので、ドメインやサーバのIPアドレスを入力していきます。 IPアドレスはECS(WEBサーバー)のIPアドレスです。 今回はWAFの前段にAnti-DDoSが置かれますので、最下段の"Does layer7 proxy exist in front o f WAF"はYESにすることがポイントです。

f:id:sbc_akahane:20210119113313p:plain

1-4 設定が完了したらドメイン一覧より対象のCNAMEをコピーしておきます。

Website Access > 対象ドメインにカーソルを合わせるとCNAMEが表示されます。

f:id:sbc_akahane:20210119112703p:plain

2.Anti-DDoS Premiumインスタンスの購入する

2-1 AlibabaCloudコンソールより、Products and Service > Anti-DDoS Proを選択します。

f:id:sbc_akahane:20210119110920p:plain

2-2 購入するインスタンスを選択します。
Product Type:Anti-DDoS Premium
Mitigation Plan:Insurance
Function Plan:Standard Function
※帯域や更新期間等は必要に応じて選択します。

f:id:sbc_akahane:20210119110647p:plain

次の画面で金額を確認し、購入を進めます。

3.Anti-DDoS Premiumにドメイン設定をする(WAFのCNAMEを登録)

3-1 Anti-DDoS Premiumコンソールにて、Website Config > Add Domain をクリックします。

f:id:sbc_akahane:20210119144758p:plain

3-2 各種選択・入力していきます。
Function Plan : Standard
Domain : ドメインを入力
Protocol : HTTP・HTTPS※必要なものにチェックしてください
Server IP : Origine Server Domainを選択。WAFのCNAMEを入力します。

f:id:sbc_akahane:20210119145536p:plain
確認したらAddボタンをクリックします。

3-3 Website Configのページより、ドメインが登録されたことを確認します。 Origin Server IP列にWAFのCNAMEが登録されていることを確認。
DNS登録用にAnti-DDoS PremiumのCNAMEをコピーしておきます。

f:id:sbc_akahane:20210119150050p:plain

4.ネームサーバにドメイン設定をする(Anti-DDoS PremiumのCNAMEを登録)

お名前ドットコムのサイトでDNSレコードの登録をします。
CNAMEにはAnti-DDoS Premiumで発行されたCNAMEを登録します。

f:id:sbc_akahane:20210119144549p:plain

確認

ネームサーバ登録完了後、DNS解決ができるか、Webサイトへアクセスできるか確認します。

・nslookup
⇒Anti-DDoSPremiumのCNAMEで解決されました。

f:id:sbc_akahane:20210119144216p:plain

・WebブラウザでURLへアクセス
⇒SQL埋め込みにてWAFブロックもされました。

f:id:sbc_akahane:20210119155416p:plain

・Anti-DDoSコンソール確認
Anti-DDoS Premiumコンソールではアクセス状況が確認できます。
ダッシュボードでサイトステータスが可視化されるのもPro/Premiumの特徴ですね。
コンソールでは保護強度も調整可能ですが、今回は割愛いたします。

f:id:sbc_akahane:20210120192958p:plain

まとめ

今回はWAFとAnti-DDoS Premiumの組み合わせについてご紹介いたしました。 構築のポイントとしては、①Anti-DDoS Premium ⇒ WAF ⇒ ECSの並びで構成することと、 ②WAF設定の中で前段プロキシの設定にすること、がポイントです。

無償版のAnti-DDoS Basicでは防御能力も限られており、ブラックホールに陥る懸念がありますので、 Webサイトの規模や重要度に合わせてAnti-DDoS Premiumの導入をご検討ください。

関連サービス

Alibaba Cloud