Akamai Diversity
Home > Akamai Japan

Recently in Akamai Japan Category

署名バージョン4による認証ヘッダーを付ける

Akamai Edge Server上で、エンドユーザーから受け取ったHTTPリクエストに、AWSのアクセスキー(Access Key IDとSecret Access Key)を使用して生成した署名(署名バージョン4)を付けS3に送信する事が可能です。以前は Advanced実装扱いでしたが、現在は Property の Behavior を使用してユーザーが設定する事が可能です。

署名されていない一般ユーザーによるS3へのアクセスを防ぐ事ができますので、Akamai を通さない S3へのアクセスを許可したくない場合等に使用できます。また、AWSのアクセスキーを使うため、S3バケットに対する細かなアクセス制御を行う事も可能になります。

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。
フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。
本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。
VP_1.png

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。

memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

低遅延ライブ動画配信の実現

近年さまざまな動画コンテンツがインターネット上でライブ配信されていますが、映像の時間が実際の時間より遅れていたり、誰かがSNSに投稿したコメントを見て、結果を先に知ってしまったりして、配信に遅延が発生していることを感じたことはありませんでしょうか?

今回はインターネットのライブ動画配信で遅延が起こる理由と、遅延を短くするためのアカマイの取り組みを紹介します。

Akamai API Protection

APIマネジメント、APIエコノミーなどAPIに関連した言葉をニュースや記事として目にする機会が増えています。Akamaiでも日々Webサイト、動画等々いろいろな種類のトラフィックを配信していますが、APIを利用したトラフィックは非常に大きな割合を占めるようになってきています。現在、Akamai経由で配信しているFQDNのうち約4%でAPIを取り扱っているのですが、実トラフィック量に占める割合は約20%程度となっております。

APIは多くの場合JSONなどのテキストデータになりますので、1リクエストあたりのデータ量は画像等と比べた場合は小さくなりますので、非常に多くのデータが流れていることが想像いただけると思います。

このような中でAkamaiでは重要度を増すAPIのトラフィックに対するユーザ体験を向上させるために大きく以下の5つの機能を提供しています。

  • API Acceleration - 従来から持っているWebの高速化機能をAPIにも適用することにより、APIトラフィックデータをより高速に運ぶ機能の提供
  • API Caching - こちらも従来から持っているWebのキャッシュ機能をAPIにも適用することにより、サーバの負荷低減と高速化を実現
  • API Compression - APIのデータを圧縮しデータサイズを60-90%削減することでAPIトラフィックデータをより高速に運ぶ機能の提供
  • API Prioritization Cloudlet - サーバが高負荷になった場合などに優先度の高いAPIトラフィックをサーバに透過させたり、優先度の低いAPIトラフィックに対して代替レスポンスの実施など行う機能の提供(こちらはCloudletというコンポーネントで提供しています。CloudletについてはBlogサイトをご参照下さい
  • API Protection - JSONやXMLデータのインスペクトやHTTPメソッドの確認、APIリクエストに対するDDoS/流量過多を防ぐためのRate Controlの提供

今回の記事ではKona Site Defenderの新機能であるAPI Protectionについてご紹介いたします。

現在のWebサーバーへのアクセスは、非常に多岐に渡るエンドユーザー環境からのアクセスを受けます。そのため、それぞれのエンドユーザー環境に応じたコンテンツ配信が必要となり、その最適化はWebサーバーのコンテンツ提供者にとっては、非常に大きな負担となっています。その上、ユーザー要求、新たな技術、脆弱性などが次々に現れ、日々の業務に併せて、それらの対応もままならない状況になっているWebサーバー管理者の皆様もいらっしゃるのではないでしょうか。今回は、HTTP/2関連技術を用いて、簡単にWebサーバーのパフォーマンスの最適化を行える、Akamaiの最新のソリューションをご紹介したいと思います。

Akamaiを介して配信をすると、簡単にHTTP/2によるコンテンツ配信を実現することができます。

HTTP_2.png

Luna トラフィックレポートの確認方法

みなさん、こんにちは。
アカマイ・テクノロジーズ西日本支店の熊澤です。

今日は、Lunaのトラフィックレポートの見方のおさらいをしたいと思います。
Akamaiのサイト配信を使っているけど、あまりLunaは見たことがない方向けの記事です。

WAFをご利用のお客様が急増していますのでセキュリティ関連のレポートの見方もご紹介したいところですが、それは次回にいたします。

早速ですが、私がよく使うレポートは、以下の3つ。

・オフロード
・レスポンス
・ユニークビジター

AkamaiではSIRT(Security Intelligence Response Team)という独立してサイバー脅威の監視、調査、分析を行うグループが存在します。
SIRTは調査を通じて非常に高いレベルのTTPs(Tactics、Techniques and Procedures/戦術、技術および手順)を構築し、これをさらに向上すべく様々な活動をしております。

この活動の一環として得られた知見などについては英語ベースにはなりますがBlogなどで公開させていただいております。ここではAkamai Security Intelligence Response Teamが活動を公開している4つのサイトについて紹介します。

<< 1 2 3