Akamai Japan ブログ購読
Akamai CLIのご紹介
弊社では昨年6月に作業の自動化が必要な方に向けて、統合された拡張可能なパッケージ管理ツールである Akamai CLI を発表しました。 また 配信設定を管理する為の Akamai CLI for Property Manager 、キャッシュパージの為の Akamai CLI for Purge というパッケージをリリース致しました。 今春のリリースでは Akamai CLI 1.0 が発表されましたので、アップデートをご紹介させていただきます。 今回は Visitor Prioritization Cloudlets 、Network Experience Analytics 、NetStorage(現在 プレビュー版)のパッケージも追加リリースしています。
mPulseの高度分析環境「データサイエンスワークベンチ(DSWB)」とは
前回、アカマイのデジタルパフォーマンス管理製品に加わったRUM ベースのソリューションである「mPulse」をご紹介しました。mPulseは、よく利用されるユースケースを想定したダッシュボード(以降、標準ダッシュボード)を多数用意しており、すぐに使えるパワフルなSaaS型のクラウドサービスです。今回は、mPulseをより高度にご活用いただける分析環境「データサイエンスワークベンチ(DSWB)」という付属ツールをご紹介します。 DSWB(データサイエンスワークベンチ)とは mPulseではWEBパフォーマンスに関する様々なデータを蓄積しており、よく利用されるユースケースを想定した標準ダッシュボードをご用意しています。次のデモサイトで標準ダッシュボードを体験いただけます。デモサイトはこちら 一方、それら標準ダッシュボード以外の軸やチャートでのスライシング、ダイシング、ドリルダウンといった分析が必要になるケースが出てくると想定されます。それらダッシュボードを作成できる環境がDSWBです。お客様がより迅速に、より簡便に、状況の把握と意思決定を行うことを支援するダッシュボードのご提供を目的としています。DSWBを操作してダッシュボードを作成する作業は、弊社エンジニアによるプロフェッショナルサービスが前提となりますが、作成されたDSWBのダッシュボード(以降、DSダッシュボード)はmPulseの画面を通じて、お客様にてご利用することができます。
ゼロ・トラストの概念と「ゆでカエル」
ゼロ・トラスト・ネットワーキングとは? ゼロ・トラスト・セキュリティモデルは、2010年にForrester ResearchのJohn Kindervag氏によって提唱されました。その概念は、従来の信頼モデルである「信ぜよ、されど確認せよ」はもはや有効ではないため、「決して信頼せず必ず確認」すべきである、というものです。 これは煮詰めていく(つまり要約する)と、ネットワークは、いかなるユーザーもデバイスも、その所在位置に基づいて信頼されていると仮定してはならない、という意味です。ネットワークの内部か外部かに関わらず、ユーザーとデバイスは、リソースにアクセスしようとするたびに必ず確認する必要があります。「煮詰める」といえば、いわゆる「茹でガエルの法則」におけるカエルはどうなったのでしょうか? やや残酷な例えで恐縮ですが・・・もし冷たい水の入った鍋にカエルを入れて火をつけると、そのカエルは手遅れになるまで水温の上昇に気がつきません。 これを、ゆっくりと複雑かつ非効率になっていきつつあるネットワーク境界の管理状況に例えることができます。幸い、私達はカエルよりも賢明ですから、熱湯の中にいたらすぐ分かるし鍋から飛び上がって脱出することができますよね!
CMAF と CMAFを使用した低遅延 Live 配信の実現
CMAF(Common Media Application Format)とは 2018年時点の HTTP Streaming の世界では、2017年に IETFでRFCとして承認されたApple が主導するHLS (HTTP Live Streaming) と、ISO国際標準規格である MPEG-DASH(Dynamic Adaptive Streaming over HTTP)という2つのメディアコンテナファイルのフォーマットが主に使われるようになっています。 より多くのユーザーにリーチしたいコンテンツの提供者は、それぞれの規格用にエンコードを行い、それぞれをストレージに保管する必要があります。複数のフォーマットに対応しなければいけないという事は、ファイルの変換コストと変換をしたメディアコンテナファイルを保管するコストを必要とするため、ストリーミング配信の複雑さと高コスト化の大きな要因となっています。 これらのメディアコンテナファイルのフォーマットの複雑さを解決するために、Apple と Microsoft は、CMAF(Common Media Application Format) と呼ばれる共通の規格の策定をMPEGに提出し、2018年1月にISO/IEC 23000-19:2018として正式に発行されました[1]。 CMAF では、マニフェストファイル自体は定義しておらず、普段目にしている mpd (MPEG-DASH) や m3u8 (HLS)と言ったマニフェストファイルが無くなるわけではありません。CMAF では、暗号化や、複数 Bitrate配信のためのリファレンスモデルが定義されており、ISO BMFF(ISO Base Media File Format) をメディアコンテナファイルのフォーマットとして使用する事が定義されています。ISO BMFFの現実の実装としては fragmented MP4 (fMP4)が広く使われています。
S3バケットへの認証ヘッダー使ったアクセス
署名バージョン4による認証ヘッダーを付ける Akamai Solutions Engineer の Yuhki です。 Akamai Edge Server上で、エンドユーザーから受け取ったHTTPリクエストに、AWSのアクセスキー(Access Key IDとSecret Access Key)を使用して生成した署名(署名バージョン4)を付けS3に送信する事が可能です。以前は Advanced実装 (Akamaiのサービスに依頼して頂く必用のある実装) 扱いでしたが、現在は Property の Behavior を使用してユーザーが設定する事が可能です。(この機能が標準のBehaviorとして提供されているのは、この記事作製時点で Download Delivery 等の Media系製品のみになります) 署名されていない一般ユーザーによるS3へのアクセスを防ぐ事ができますので、Akamai を通さない S3へのアクセスを許可したくない場合等に使用できます。また、AWSのアクセスキーを使うため、S3バケットに対する細かなアクセス制御を行う事も可能になります。
memcachedでついに脅迫が!
※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。
memcachedを利用した1.3TbpsのDDoS攻撃
※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。
セール時などにおけるピークトラフィックへの対応 - Visitor Prioritization
ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。 フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。 本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。
memcachedを利用したUDPリフレクションDDoS
※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。 memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)