ケーススタディ

OVHcloudがFPGAを使用してDDoS攻撃を軽減する方法

BittWare の多くのお客様は、サイバー攻撃やアプリケーションコードの暴走があってもサービス品質を守るなど、ネットワークパケット処理に当社のFPGAベースのソリューションを使用しています。欧州のハイパースケールクラウドプロバイダーであるOVHcloudの場合、分散型サービス拒否（DDoS）攻撃からの顧客の保護が強化されました。OVHcloudは、攻撃を軽減するための最も高度なフィルタを構築するためにXUP-P3Rカード（写真）を選択し、ボードあたり最大200Gbpsを処理しました。

DDoS攻撃って何？

インターネットに接続された機器や帯域幅が拡大するにつれて、新たな脅威が出現しています：分散型サービス拒否（DDoS）です。この攻撃は、一般的に侵害された多数のデバイス（例えば、デフォルトのセキュリティが最小限の家庭用IPカメラなど）が、攻撃者によって単一のエンドポイントに大量に攻撃されることに依存しています。攻撃対象から見ると、各デバイスは、Webページなど、サーバーに何かをリクエストしているように見えます。しかし、攻撃されると、システムがリクエストであふれかえり、不安定になったり利用できなくなったりします。システムは過負荷状態にあるため、入ってくる正当なリクエストを処理することができません。

OVHcloudはどのようにDDoS攻撃を軽減しているのでしょうか？

他のクラウドプロバイダーと同様に、OVHcloudはDDoS攻撃からお客様を守るために投資しています。DDoS対策ソリューションは、ネットワークを監視し、攻撃を探すことで機能します。通常、攻撃を検出するのに数秒かかります。検出後、OVHcloudソリューションはルーティングルールを更新し、疑わしいトラフィックを「スクラビング」デバイスに誘導します。 OVHcloudは、VACと呼ばれる独自開発のスクラビングソリューションを持っており、これはバキュームの略です。各VACには、600GbEで相互接続された複数のコンポーネントが含まれています。これらのコンポーネントの中で最も先進的なものは、3台の「Armor」サーバーのアレイです。各Armorサーバーは、2ソケットのマザーボードにXUP-P3Rカードが1枚詰め込まれています。このカードにはXilinx社のFPGAと4つの100GbEポートが搭載されており、OVHcloudはこのうち2つを使用しています。

OVHcloudでは、DDoS攻撃からお客様を保護することは、決してオプションサービスであってはならないと考えています。これが、すべてのお客様に革新的なハイパフォーマンス保護を提供する理由です。この「by design」アプローチによるサービスの可用性は、モレックスグループの一員であるBittWare 、FPGAベースのネットワーク処理カードに基づいています。
-OVHcloud CISO ステファン・ナッポ氏

2つの100GbEポートと3台のArmorサーバーを組み合わせることで、OVHcloudは導入した各VACで600Gbpsの高度なスクラビングが可能です。また、OVHcloudのソリューションは、BittWare が採用したDPDK.orgソフトウェアインフラを活用しています。

OVHcloud Armorが実行する特定のスクラビング機能の詳細については、アンチDDoSテクノロジーに関するOVHcloudのページをご覧ください。

BittWare のソリューションを使用して、独自のソリューションをジャンプスタートさせます。

OVHcloudのように独自のアンチDDoSソリューションを作りたいと考えている方は、BittWare「SmartNIC Shell」から始めることができます。これは、FPGAカードをDPDKベースのネットワークカードに変えるIPの集合体です。SmartNIC Shell IPから始めると、ゼロから始めるのではなく、アンチDDoSフィルタリングIPだけを供給することに集中することができます。SmartNIC Shell IPは、ザイリンクスのSDNetのP4言語とC++ HLSを使用した2種類のパケット分類器の実装を備えています。

ハードウェア面では、お客様がネットワーク・アプリケーションにBittWare を選択する主な理由は、QDR-II+ SRAM メモリをサポートしていることです。SRAMは、FPGAの内部メモリに収まりきらないほど大きなテーブルのために必要とされてきました。QDR-II+のオプションを持つカードには、XUP-P3Rと XUP-VV8があります。