ケーススタディ

OVHcloudがFPGAを使用してDDoS攻撃を軽減する方法

BittWare の多くのお客様は、サイバー攻撃やアプリケーションコードの暴走があってもサービス品質を守るなど、ネットワークパケット処理に当社のFPGAベースのソリューションを使用しています。欧州のハイパースケールクラウドプロバイダーであるOVHcloudの場合、分散型サービス拒否（DDoS）攻撃からの顧客の保護が強化されました。OVHcloudは、攻撃を軽減するための最も高度なフィルタを構築するためにXUP-P3Rカード（写真）を選択し、ボードあたり最大200Gbpsを処理しました。

DDoS攻撃って何？

インターネットに接続された機器や帯域幅が拡大するにつれて、新たな脅威が出現しています：分散型サービス拒否（DDoS）です。この攻撃は、一般的に侵害された多数のデバイス（例えば、デフォルトのセキュリティが最小限の家庭用IPカメラなど）が、攻撃者によって単一のエンドポイントに大量に攻撃されることに依存しています。攻撃対象から見ると、各デバイスは、Webページなど、サーバーに何かをリクエストしているように見えます。しかし、攻撃されると、システムがリクエストであふれかえり、不安定になったり利用できなくなったりします。システムは過負荷状態にあるため、入ってくる正当なリクエストを処理することができません。

OVHcloudはどのようにDDoS攻撃を軽減しているのでしょうか？

すべてのクラウドプロバイダーと同様に、OVHcloudはDDoS攻撃から顧客を守るために投資しています。DDoS対策ソリューションは、ネットワークを監視して攻撃を探すことで機能します。通常、攻撃を検出するのに数秒かかります。検知後、OVHcloudソリューションはルーティングルールを更新し、疑わしいトラフィックを「スクラビング」デバイスに誘導します。

OVHcloudは、VAC（バキューム）と呼ばれる独自開発のスクラビング・ソリューションを持っています。各VACには、600GbEで相互接続された複数のコンポーネントが含まれている。これらのコンポーネントの中で最も先進的なものは、3台の「Armor」サーバーのアレイだ。各Armorサーバーは、2ソケットのマザーボードに1枚のXUP-P3Rカードを搭載している。このカードにはAMD FPGAと4つの100GbEポートが搭載されており、OVHcloudはこのうち2つを使用している。

OVHcloudでは、DDoS攻撃からお客様を保護することは、決してオプションサービスであってはならないと考えています。これが、すべてのお客様に革新的なハイパフォーマンス保護を提供する理由です。この「by design」アプローチによるサービスの可用性は、モレックスグループの一員であるBittWare 、FPGAベースのネットワーク処理カードに基づいています。
-OVHcloud CISO ステファン・ナッポ氏

2つの100GbEポートと3台のArmorサーバーを組み合わせることで、OVHcloudは導入した各VACで600Gbpsの高度なスクラビングが可能です。また、OVHcloudのソリューションは、BittWare が採用したDPDK.orgソフトウェアインフラを活用しています。

OVHcloud Armorが実行する特定のスクラビング機能の詳細については、アンチDDoSテクノロジーに関するOVHcloudのページをご覧ください。

BittWare のソリューションを使用して、独自のソリューションをジャンプスタートさせます。

OVHcloudが行ったような独自のアンチDDoSソリューションの作成に興味がある場合は、BittWare「SmartNIC Shell」から始めることができます。これはFPGAカードをDPDKベースのネットワークカードに変えるIPのコレクションです。SmartNIC Shell IPから始めることで、ゼロから始めるのではなく、アンチDDoSフィルタリングIPの供給だけに集中することができます。SmartNIC Shell IPには、AMDのSDNetのP4言語を使用したものと、C++ HLSを使用したものの2種類のパケット分類器が実装されています。

ハードウェア面では、お客様がネットワーク・アプリケーションにBittWare を選択する主な理由は、QDR-II+ SRAM メモリをサポートしていることです。SRAMは、FPGAの内部メモリに収まりきらないほど大きなテーブルのために必要とされてきました。QDR-II+のオプションを持つカードには、XUP-P3Rと XUP-VV8があります。