M06-ユニット 4 Azure portal を使用して仮想ネットワーク上に DDoS Protection を構成する

演習のシナリオ

Contoso のネットワーク セキュリティ チームを担当しているあなたは、仮想ネットワークで模擬 DDoS 攻撃を実行しようとしています。 次の手順では、仮想ネットワークを作成し、DDoS Protection を構成し、テレメトリとメトリックを使用して観察および監視できる攻撃を作成する手順について説明します。

DDoS アーキテクチャの図。

この演習では、次のことを行います。

  • タスク 1: リソース グループを作成する
  • タスク 2: DDoS Protection プランを作成する
  • タスク 3: 新しい仮想ネットワークで DDoS Protection を有効にする
  • タスク 4: DDoS テレメトリを構成する
  • タスク 5: DDoS 診断ログを構成する
  • タスク 6: DDoS アラートを構成する

  • タスク 7: シミュレーション パートナーとのテスト

    メモ: このラボをご自分のペースでクリックして進めることができる、 ラボの対話型シミュレーション が用意されています。 対話型シミュレーションとホストされたラボの間に若干の違いがある場合がありますが、示されている主要な概念とアイデアは同じです。

予想所要時間: 40 分

タスク 1: リソース グループを作成する

  1. Azure アカウントにログインします。

  2. Azure portal のホーム ページで、[リソース グループ] を選択します。

  3. [作成] を選択します

  4. [基本] タブの [リソース グループ] に「MyResourceGroup」と入力します。

  5. [リージョン] で [米国東部] を選択します。

  6. Review + create を選択します。

  7. [作成] を選択します

タスク 2: DDoS Protection プランを作成する

  1. Azure portal のホームページで、検索ボックスに「DDoS」と入力し、表示された [DDoS 保護プラン] を選択します。

  2. [+ 作成] を選択します。

  3. [基本] タブの [リソース グループ] の一覧で、先ほど作成したリソース グループを選択します。

  4. [インスタンス名] ボックスに「MyDdoSProtectionPlan」と入力して、 [確認および作成] を選択します。

  5. [作成] を選択します

タスク 3: 新しい仮想ネットワークで DDoS Protection を有効にする

ここでは、既存の仮想ネットワークではなく新しい仮想ネットワークで DDoS を有効にします。そのため、最初に新しい仮想ネットワークを作成してから、先ほど作成したプランを使用して DDoS Protection を有効にする必要があります。

  1. Azure portal のホーム ページで [リソースの作成] を選択し、検索ボックスに「仮想ネットワーク」と入力して、表示されたら [仮想ネットワーク] を選択します。

  2. [仮想ネットワーク] ページで、 [作成] を選択します。

  3. [基本] タブで、前に作成したリソース グループを選択します。

  4. [名前] ボックスに「MyVirtualNetwork」と入力して、 [セキュリティ] タブを選択します。

  5. [セキュリティ] タブで、 [DDoS ネットワーク保護] の横にある [有効] を選択します。

  6. [DDoS 保護計画] ドロップダウン リストで、MyDdosProtectionPlan を選択します。

    [仮想ネットワークの作成] - [セキュリティ] タブ

  7. Review + create を選択します。

  8. [作成] を選択します

タスク 4: DDoS テレメトリを構成する

パブリック IP アドレスを作成し、次のステップでテレメトリを設定します。

  1. Azure portal のホーム ページで [リソースの作成] を選択し、検索ボックスに「パブリック IP」と入力して、[パブリック IP アドレス] が表示されたら選択します。

  2. [パブリック IP アドレス] ページで、[作成] を選択します。

  3. [パブリック IP アドレスの作成] ページの [SKU] で、 [Standard] を選択します。

  4. [名前] ボックスに「MyPublicIPAddress」と入力します。

  5. [IP アドレスの割り当て] で、[静的] を選択します。

  6. [DNS 名ラベル] に「mypublicdnsxx」と入力します (xx は、これを一意にするためのユーザーのイニシャルです)。

  7. [作成] を選択します

  8. テレメトリを設定するには、Azure ホーム ページに移動し、 [すべてのリソース] を選びます。

  9. リソースの一覧で、 [MyDdosProtectionPlan] を選択します。

  10. [監視][メトリック] を選びます。

  11. [スコープ] ボックスを選択し、MyPublicIPAddress の横にあるチェック ボックスをオンにします。

    DDoS テレメトリのメトリック スコープを作成します

  12. [適用] を選択します。

  13. [メトリック] ボックスで、 [DDoS で破棄されたインバウンド パケット数] を選択します。

  14. [集計] ボックスで、 [最大] を選択します。

    DDoS テレメトリ用に作成されたメトリック

タスク 5: DDoS 診断ログを構成する

  1. Azure のホーム ページで、[すべてのリソース] を選択します。

  2. リソースの一覧で [MyPublicIPAddress] を選択します。

  3. [監視][診断設定] を選択します。

  4. [診断設定の追加] を選択します。

  5. [診断設定] ページの [診断設定の名前] ボックスに、「MyDiagnosticSetting」と入力します。

  6. [カテゴリの詳細] で、3 つのログすべてのチェック ボックスと [AllMetrics] チェック ボックスをオンにします。

  7. [宛先の詳細] で、Send to Log Analytics workspace チェック ボックスをオンにします。 ここでは、既存の Log Analytics ワークスペースを選択することもできますが、診断ログの宛先をまだ設定していないので、設定を入力しても、この演習の次のステップでそれらを破棄します。

    DDoS の新しい診断設定を構成します

  8. 通常は、ここで [保存] を選択して診断設定を保存します。 設定の構成をまだ完了できないため、このオプションは淡色表示になっています。

  9. [破棄] を選択してから、[はい] を選択します。

タスク 6: DDoS アラートを構成する

このステップでは、仮想マシンを作成し、パブリック IP アドレスをそれに割り当ててから、DDoS アラートを構成します。

VM の作成

  1. Azure portal のホーム ページで [リソースの作成] を選択してから、検索ボックスに「仮想マシン」と入力して、表示されたら [仮想マシン] を選択します。

  2. [仮想マシン] ページで、[作成] を選択します。

  3. [基本] タブで、次の表の情報を使用して新しい VM を作成します。

    設定 Value
    サブスクリプション サブスクリプションを選択します。
    リソース グループ MyResourceGroup
    仮想マシン名 MyVirtualMachine
    リージョン 自分のリージョン
    可用性のオプション インフラストラクチャ冗長は必要ありません
    Image Ubuntu Server 20.04 LTS - Gen 2 (必要な場合は、[VM の世代の構成] リンクを選びます)
    [サイズ] See all sizes を選択し、一覧で [B1ls] を選択して、 [選択] を選択します (Standard_B1ls - 1 vcpu, 0.5 GiB memory)
    認証の種類 SSH 公開キー
    ユーザー名 azureuser
    SSH 公開キーのソース 新しいキーの組の生成
    キーの組名 myvirtualmachine-ssh-key
    パブリック受信ポート [すべて選択解除]

  4. Review + create を選択します。

  5. [作成] を選択します

  6. [新しいキーの組を生成] ダイアログ ボックスで、 [秘密キーをダウンロードしてリソースを作成する] を選択します。

  7. 秘密キーを保存します。

  8. デプロイが完了したら、[リソースに移動] を選択します。

パブリック IP アドレスを割り当てる

  1. 新しい仮想マシンの [概要] ページで、[設定] の下にある [ネットワーク] を選択します。

  2. [ネットワーク インターフェイス] の横にある [myvirtualmachine-nic] を選択します。 NIC の名前は異なる場合があります。

  3. [設定][IP 構成] を選択します。

  4. ipconfig1 を選択します。

  5. [パブリック IP アドレス] の一覧で、 [MyPublicIPAddress] を選択します。

  6. [保存] を選択します。

    DDoS VM のパブリック IP アドレスを変更します

DDoS アラートを構成する

  1. Azure のホーム ページで、[すべてのリソース] を選択します。

  2. リソースの一覧で [MyPublicIPAddress] を選択します。

  3. [監視][アラート] を選択します。

  4. [アラート ルールの作成] を選択します。

  5. [アラート ルールの作成] ページの [スコープ] で、[リソースの編集] を選択します。

  6. シグナル名として [DDoS 攻撃を受けているかどうか] を選びます。

  7. アラート ロジックで [演算子] 設定を見つけ、 [次の値より大きいか等しい] を選びます。

  8. [しきい値] に「1」と入力します (攻撃を受けている場合を意味します)。

  9. [詳細] タブに移動し、 [アラート ルール名] を選び、「MyDdosAlert」と入力します。

    新しいアラート ルールの作成の終了点

  10. [アラート ルールの作成] を選択します。

タスク 7: シミュレーション パートナーとのテスト

  1. [Azure DDoS シミュレーションのテスト ポリシー] ページを確認します。

  2. いくつかのテスト パートナーがいることに注意してください。 時間があれば、DDoS 攻撃のシミュレーションを構成します。 BreakingPoint Cloud の場合は、最初にBreakingPoint Cloud アカウントを作成する必要があります。

リソースをクリーンアップする

:新規に作成し、使用しなくなったすべての Azure リソースを削除することを忘れないでください。 使用していないリソースを削除することで、予期しない料金が発生しなくなります。

  1. Azure portal で、 [Cloud Shell] ペイン内に PowerShell セッションを開きます。

  2. 次のコマンドを実行して、このモジュールのラボ全体を通して作成したすべてのリソース グループを削除します。

    Remove-AzResourceGroup -Name 'MyResourceGroup' -Force -AsJob

    :このコマンドは非同期で実行されるため (-AsJob パラメーターによって決定されます)、同じ PowerShell セッション内で直後に別の PowerShell コマンドを実行できますが、リソース グループが実際に削除されるまでに数分かかります。

Copilot を使用して学習を拡張する

Copilot は、Azure スクリプト ツールの使用方法を学習するのに役立ちます。 Copilot は、ラボでは対象外の、またはさらに詳しい情報が必要な領域でも役立ちます。 Edge ブラウザーを開き、Copilot (右上) を選択するか、copilot.microsoft.com に移動します。 次のプロンプトを試すには数分かかります。

  • DDoS 攻撃とは? DDoS 攻撃はどのように分類され、軽減戦略はありますか?
  • 2 つの異なる Azure DDoS Protection レベルをまとめた表を提供してください。
  • DDoS Protection で保護できるのはどのような Azure リソースですか?

自習トレーニングでさらに学習する

要点

以上でラボは完了です。 このラボの要点は次のとおりです。

  • DDoS 攻撃は、アプリケーションのリソースを使い果たし、正当なユーザーがアプリケーションを使用できなくなるようにする悪意のある試みです。
  • Azure DDoS Protection は、DDoS 攻撃に対して防御します。 この機能は、仮想ネットワーク内にあるお客様固有の Azure リソースを保護するために、自動的に調整されます。
  • Azure DDoS Proectection の機能には、常時動作のトラフィック監視、アダプティブ リアルタイム チューニング、テレメトリとアラートなどがあります。
  • Azure DDoS Protection では、DDoS IP 保護と DDoS ネットワーク保護の 2 種類のサービス レベルがサポートされています。