アプリケーション層攻撃を挙動で理解し、正しいアクションで停止する適応型防御。
アプリケーション層攻撃はしばしば明白な攻撃のようには見えません。HTTP flood、Slowloris、low-and-slow、credential stuffing、ターゲット型API攻撃は有効なHTTPリクエストのように振る舞うことがあります。トラフィックはプロトコルに準拠していますが、アプリケーションのリソースを消費し、ログイン画面を圧迫し、APIエンドポイントを窒息させ、または実際のユーザー体験を遅らせます。
TR7 L7 DDoS保護はリクエスト/秒のしきい値だけを見るのではありません。各vServiceに対してトラフィック挙動を監視します:接続率、リクエスト率、パス密度、エラー率、セッション挙動、IP評判、ボットスコア、アプリケーション応答が共に評価されます。
こうしてすべての高トラフィックが攻撃とみなされるわけではなく、すべての低速度が安全とみなされるわけでもありません。TR7は挙動を分析します;攻撃モデルに従って適切なアクションを適用します:deny、rate-limit、redirect、制御されたコンテンツ表示、またはローカルCAPTCHA。
トラフィックの速度ではなく、挙動を見る。
L7 DDoS保護は、サービスベースのトラフィックプロファイル、複合条件、適応型アクションでアプリケーション層攻撃をより正確に区別します。目的は攻撃を止めることだけでなく、実際のユーザーを保護しながらアプリケーションを維持することです。
L7 DDoS保護は挙動分析、サービスベースしきい値、適応型アクションのレイヤーを共に使用します。このアプローチにより、アプリケーションに損害を与えるがプロトコル的には有効に見える攻撃をより正確に捕捉できます。
攻撃決定は単一のメトリクスに基づいて行われません。TR7は複数のシグナルを同時に評価して、トラフィックが正常か、疑わしいか、攻撃かを理解しようとします。
各アプリケーションの正常なトラフィックは異なります。ログインページ、APIエンドポイント、決済画面、または静的コンテンツサービスを同じしきい値で保護することはできません。TR7は各vServiceに対して個別のトラフィックプロファイルを作成します。
すべての攻撃に同じ応答を与えるわけではありません。明白な攻撃はブロックできます;疑わしいトラフィックは遅くできます;ボットと考えられるクライアントはCAPTCHAにリダイレクトできます。目的は攻撃を止めながら、実際のユーザーに不要な障害を作らないことです。
L7 DDoS保護は別個のデバイス、別個のサービス、別個のクラウド層ではありません。TR7 WAAP上で動作するプレミアム保護レイヤーです。こうしてアプリケーションセキュリティ、ボット管理、API保護、L7 DDoS防御が同じポリシーチェーンに統合されます。
L7 DDoS保護は、特に従来のレートリミットや静的WAAPルールで区別が困難なアプリケーション層攻撃で価値を生み出します。
攻撃者は多数の接続を開き、各接続に非常に遅いデータを送信し、サーバーリソースを消耗させます。リクエスト/秒が低いままなので、従来の速度しきい値は攻撃を遅く検出します。
TR7は異常なセッション期間、低request/response比率、増加する活動接続挙動を共に評価します。攻撃トラフィックはフィルタリングまたは制限されます;アプリケーション接続プールが保護されます。
攻撃者は侵害されたユーザー名/パスワードペアを分散IPプールからログイン画面に送信します。各IPが低速度のままなので、攻撃は単独でrate-limitで容易に区別できません。
TR7はログインパス密度、4xxエラー率の増加、IP評判、ボットスコア、分散ソース挙動を共に評価します。疑わしいトラフィックはCAPTCHAまたはrate-limitに引き渡されます;明白な攻撃はブロックされます。
オートメーションまたはAI支援ボットが人間に似た速度でAPIエンドポイントにリクエストを送信します。単一のIPや単一の速度シグナルは攻撃を明確に示さない可能性があります。
TR7はボットスコア、挙動指紋、パス密度、API使用パターンを共に分析します。疑わしいクライアントはrate-limit、CAPTCHA、またはブロックアクションに引き渡されます。
Eコマース、チケット販売、または申請システムなどの環境で、短時間にトラフィックが大きく増加します。静的しきい値は実際のユーザーをブロックしたり、攻撃を区別できなかったりする可能性があります。
TR7はサービスベースのベースラインで予想されるピーク期間をより正確に評価します。実際のユーザートラフィックが保護され、ボット、スクレイピング、または攻撃トラフィックが分離されます。
L7 DDoS保護は、保護されるvServiceの数によってライセンスされます。小規模構造からマルチアプリケーション企業環境、サービスプロバイダーシナリオまでスケールします。
各ADCおよびWAAPライセンスで、特定数のvServiceに対して基本的な適応型L7 DDoS保護が標準として提供されます。より広い範囲のために、追加の容量ティアが有効化されます。
PAYG顧客の場合、L7 DDoS保護はPAYG Extra Package内でL4 DDoSおよびL7 Reporting機能と共に提供できます。
L7 DDoS保護は、機密性の高いWebアプリケーションにおけるサービス継続性、アカウントセキュリティ、自動攻撃のブロック、イベントレコードの監査可能性のために強力な追加のセキュリティレイヤーを提供します。
個人データを処理するシステムでサービス継続性とデータセキュリティのための技術的措置をサポートします。アカウント乗っ取りや自動攻撃の波に対する保護を提供します。
オンラインバンキング、顧客ポータル、金融アプリケーションにおけるアプリケーション層攻撃に対する防御とインシデント追跡可能性を提供します。
金融取引システムへの自動試行、ボット、不正使用攻撃に対する挙動ベースの保護レイヤーを提供します。
カード保有者データ環境にアクセスするアプリケーションで自動攻撃の波、ボットトラフィック、アプリケーション層の不正使用に対する追加の防御を提供します。
L7 DDoS保護はTR7のBase、Geo、Secure、Enterpriseパッケージにプレミアムアドオンとして追加できます。挙動分析、サービスベースベースライン、複合条件、適応型アクション、rate-limit、ローカルCAPTCHA機能がアドオン範囲内で提供されます。
L7 DDoS保護デモであなた自身のシナリオに沿って進みましょう:どのvServiceが保護されるか、どのトラフィック挙動が正常として受け入れられるか、どのアクションが適用されるか、WAAPポリシーとどのように統合動作するか。