Implementering van Azure DDoS-beskermingstandaard vir toepassingsveerkragtigheid

Implementering van Azure DDoS-beskermingstandaard vir toepassingsveerkragtigheid

14/09/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en konfigurasie van Azure DDoS Protection Standard om die veerkragtigheid van toepassings wat op Azure aangebied word, te verseker. Distribued Denial of Service (DDoS)-aanvalle is een van die grootste bedreigings vir die beskikbaarheid van aanlyndienste. Azure DDoS Protection Standard bied gevorderde DDoS-aanvalversagtende vermoëns, wat Azure-hulpbronne teen volumetriese, protokol- en toepassingslaagaanvalle beskerm, wat besigheidskontinuïteit en gebruikerservaring verseker [1].

Inleiding

In die huidige digitale landskap is die beskikbaarheid van toepassings en dienste net so krities soos hul sekuriteit en integriteit. DDoS-aanvalle het ten doel om 'n diens se hulpbronne te oorlaai, wat dit onbeskikbaar maak vir wettige gebruikers. Sulke aanvalle kan aansienlike finansiële verliese, reputasieskade en ontwrigting van kritieke bedrywighede tot gevolg hê. Azure DDoS Protection Standard is 'n Azure-inheemse oplossing wat omvattende beskerming teen hierdie aanvalle bied, deur 'n globale versagtingsnetwerk en masjienleer-gebaseerde opsporingalgoritmes te gebruik om kwaadwillige verkeer te identifiseer en af ​​te lei voordat dit jou hulpbronne bereik [2].

Hierdie praktiese gids sal die skep van 'n DDoS-beskermingsplan dek, wat beskerming vir virtuele netwerke en openbare IP-adresse moontlik maak, integrasie met ander Azure-dienste soos Azure Web Application Firewall (WAF) en Azure Firewall, en die validering van beskerming deur aanvalsimulasies. Stap-vir-stap instruksies en voorbeelde van Azure CLI-opdragte sal verskaf word sodat die leser 'n robuuste verdediging teen DDoS-aanvalle kan implementeer en toets, wat die veerkragtigheid van hul wolktoepassings en infrastruktuur versterk.

Waarom is Azure DDoS Protection Standard van kardinale belang?

  • Omvattende versagting: Beskerm teen volumetriese aanvalle (bv. UDP-vloede, SYN), protokolaanvalle (bv. SYN-ACK-vloede, IP-fragmentasie) en toepassingslaagaanvalle (bv. HTTP-vloede) [3].
  • Outomatiese opsporing en aanpassing: Gebruik masjienleeralgoritmes om aanvalle intyds op te spoor en versagtingsbeleide aan te pas sonder handmatige ingryping.
  • Globale skaal: Maak gebruik van die globale skaal van die Azure-netwerk om groot volumes aanvalverkeer te absorbeer en af ​​te weer.
  • Gedetailleerde telemetrie: Verskaf ryk telemetrie, versagtingslogboeke en aanvalstatistieke in Azure Monitor vir ontleding en ondersoek.
  • Inheemse integrasie: Integreer naatloos met ander Azure-sekuriteitsdienste, soos Azure Firewall en Azure WAF, vir diepteverdediging.
  • Kostewaarborg: Bied kostebeskerming vir geskaalde hulpbronne tydens 'n DDoS-aanval, wat krediete dek vir hulpbronne wat geskaal sou word om die aanval te absorbeer.

Voorvereistes

Om Azure DDoS Protection Standard te implementeer, benodig u die volgende items:

  1. Aktiewe Azure-intekening: 'n Azure-intekening om hulpbronne te skep en te bestuur.
  2. Administratiewe toegang: 'n Rekening met die rol van 'Eienaar' of 'Bydraer' in die Azure-intekening, of in die hulpbrongroep waar die VNet's en openbare IP's geleë is.
  3. Virtuele netwerke (VNets): Die VNets wat die hulpbronne huisves wat jy wil beskerm (bv. VM's, Load Balancers, Application Gateways).
  4. Publieke IP-adresse: Hulpbronne met publieke IP-adresse (bv. VM'e met openbare IP, openbare laaibalanseerders, toepassingspoorte) wat die potensiële teiken van DDoS-aanvalle sal wees.
  5. Azure CLI of Azure PowerShell: Geïnstalleerde en gekonfigureerde opdragreëlnutsgoed om met Azure te kommunikeer.

Stap vir stap: Implementering van Azure DDoS Protection Standard

Kom ons stel Azure DDoS Protection Standard op om u hulpbronne te beskerm.

1. Skep 'n DDoS-beskermingsplan

Die eerste stap is om 'n DDoS-beskermingsplan te skep. Hierdie plan is 'n wêreldwye hulpbron wat jy kan koppel aan verskeie VNets oor verskillende streke en intekeninge.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. Tik DDoS-beskermingsplanne in die boonste soekveld en kies dit uit die resultate.
  4. Klik + Skep.
  5. Vul die planbesonderhede in:
    • Handtekening: IndienKies jou Azure-intekening.
    • Hulpbrongroep: Skep 'n nuwe hulpbrongroep (bv. RG-DDoS-Protection) of kies 'n bestaande een.
    • Naam: Gee jou plan 'n naam (byvoorbeeld: DDoS-Plan-Artigos).
    • Streek: Kies die streek waar jy wil hê die plan moet bestuur word (beïnvloed nie globale beskerming nie).
  6. Klik Hersien + skep en dan Skep.

2. Aktiveer DDoS-beskerming vir 'n virtuele netwerk

Nadat jy die DDoS-beskermingsplan geskep het, moet jy dit koppel aan die virtuele netwerke wat die hulpbronne bevat wat jy wil beskerm.

  1. In die Azure-portaal, navigeer na die VNet wat jy wil beskerm (byvoorbeeld: VNet-Hub geskep in die Azure Firewall-artikel).
  2. Kies DDoS-beskerming in die linkernavigasiepaneel van die VNet.
  3. Onder DDoS-beskermingsplan, kies die plan wat jy geskep het (byvoorbeeld: DDoS-Plan-Artigos).

  4. Klik Stoor.

    • Azure CLI-opdrag om DDoS-beskerming op 'n VNet te aktiveer: ``` bash # Kry die DDoS-plan-ID DDP_PLAN_ID=$(az netwerk ddos-beskermingsplan wys --naam DDoS-Plan-Artigos --hulpbrongroep RG-DDoS-beskerming --navraag-ID -o tsv)

      Dateer die VNet op om die DDoS-plan te gebruik

      az netwerk vnet-opdatering --naam VNet-Hub --hulpbrongroep RG-Firewall-Artigos --ddos-beskermingsplan $DDP_PLAN_ID --ddos-beskermingsplan-enable true ```

3. Beveilig van openbare IP-adresse

Wanneer 'n VNet vir DDoS-beskermingstandaard geaktiveer is, word alle hulpbronne met publieke IP-adresse binne daardie VNet (bv. publieke IP-VM'e, publieke laaibalanseerders, toepassingspoorte) outomaties beskerm. Dit is nie nodig om beskerming individueel vir elke openbare IP op te stel nie.

  • Verifikasie: Om te bevestig dat 'n openbare IP beskerm is, kan jy na die openbare IP-hulpbron in die Azure-portaal navigeer. In die Oorsig-afdeling sal jy die gepaardgaande DDoS-beskermingsplan sien.

4. Integrasie met Azure Web Application Firewall (WAF) en Azure Firewall

Vir diepteverdediging word dit aanbeveel om Azure DDoS Protection Standard met ander netwerksekuriteitsoplossings te kombineer.

  • Azure Web Application Firewall (WAF): WAF beskerm webtoepassings teen algemene webaanvalle (bv. SQL-inspuiting, cross-site scripting) wat DDoS-beskerming nie dek nie. Ontplooi WAF voor jou webtoepassings (bv. met Azure Application Gateway of Azure Front Door). Die DDoS-beskermingstandaard beskerm die netwerklaag van die WAF, terwyl die WAF die toepassingslaag beskerm [4].

  • Azure Firewall: Azure Firewall bied netwerk- en toepassingverkeerfiltrering, bedreigingsintelligensie en IDPS. Wanneer dit saam met DDoS-beskermingstandaard gebruik word, kan Firewall wettige verkeer na DDoS-versagting inspekteer, wat nog 'n laag sekuriteit byvoeg.

Bekragtiging en toetsing

Die validering van die doeltreffendheid van die Azure DDoS Protection Standard is van kardinale belang. Moet egter nooit 'n werklike DDoS-aanval op jou eie hulpbronne uitvoer sonder uitdruklike toestemming van Microsoft nie. Microsoft bied 'n DDoS-simulasietoetsprogram aan vir kliënte.

1. Gaan DDoS-beskermingtelemetrie na

Tydens 'n aanval (of simulasie), verskaf Azure DDoS Protection Standard gedetailleerde statistieke in Azure Monitor.

  1. In die Azure-portaal, navigeer na jou DDoS-beskermingsplan (byvoorbeeld: DDoS-Plan-Artigos).
  2. Kies Metrieks in die linkernavigasiepaneel.
  3. Jy kan maatstawwe bekyk soos:
    • DDoS-aanvalverkeer (inkomende): Inkomende aanvalverkeer.
    • DDoS-aanvalpakkies (inkomende): Inkomende aanvalpakkies.
    • DDoS-aanvalgrepe (inkomende): Inkomende aanvalgrepe.
    • DDoS-aanval het pakkies laat val (inkomende): Aanvalpakkies is laat val.

2. Opstel van waarskuwings vir DDoS-aanvalle

Dit is noodsaaklik om waarskuwings op te stel om in kennis gestel te word wanneer 'n DDoS-aanval aan die gang is.

  1. In die Azure-portaal, navigeer na jou DDoS-beskermingsplan.
  2. Kies Alerts in die linkernavigasiepaneel.
  3. Klik + Skep waarskuwingreël.
  4. Stel die toestand vir die waarskuwing op deur maatstawwe te gebruik soos Onder DDoS-aanval of nie (waarde 1 dui aanval aan, 0 dui normaal aan) of DDoS-aanvalverkeer (inkomende).
  5. Stel die waarskuwingsaksies op (bv. stuur e-pos, SMS, webhook, aktiveer 'n Azure Function of Logic App).

3. Doen 'n DDoS-aanvalsimulasie (met goedgekeurde vennote)

Microsoft werk saam met vennootDDoS-toetsvermoëns om kliënte in staat te stel om aanvalle op 'n beheerde en veilige manier te simuleer teen hul hulpbronne wat deur Azure DDoS Protection Standard beskerm word. Moet nooit probeer om 'n DDoS-aanval op jou eie te simuleer sonder goedkeuring en koördinering van Microsoft en 'n goedgekeurde vennoot nie.

  1. Kontak 'n Microsoft-goedgekeurde DDoS-toetsvennoot: Maatskappye soos BreakingPoint (Keysight) of Radware bied DDoS-simulasiedienste.
  2. Koördineer met Microsoft: Stel Microsoft in kennis van die beplande toets om te verhoed dat Azure outomatiese versagting die toets as 'n werklike aanval interpreteer en onverwagte aksies neem.
  3. Monitor tydens toetsing: Monitor DDoS-beskermingsmetrieke tydens die simulasie in Azure Monitor om versagting in aksie waar te neem en die veerkragtigheid van jou toepassing te verifieer.

Sekuriteitswenke en beste praktyke

  • Robuuste toepassingsontwerp: Azure DDoS Protection Standard is die doeltreffendste wanneer dit gekombineer word met 'n robuuste en veerkragtige toepassingsontwerp. Dit sluit in skaalbare argitekture, lasbalansering, cache en fouttoleransie.
  • Verdediging in diepte: Moenie net op DDoS-beskerming staatmaak nie. Kombineer dit met ander sekuriteitsoplossings soos Azure Firewall, Azure WAF en NSG's om 'n verdediging-in-diepte strategie te skep.
  • Koste-optimalisering: Die Standaard-plan beskerm alle openbare IP-bronne in gekoppelde VNets. Oorweeg om hulpbronne in beskermde VNets te groepeer om koste te optimaliseer.
  • Aktiewe monitering: Stel waarskuwings in Azure Monitor vir DDoS-aanvalle op en monitor aktief telemetrie om aanvalsgedrag en versagtende doeltreffendheid te verstaan.
  • Gereelde toetsing: Doen gereeld DDoS-aanvalsimulasies met goedgekeurde vennote om die doeltreffendheid van jou beskerming te bekragtig en enige leemtes te identifiseer.
  • DNS-beskerming: Oorweeg dit om Azure DNS met ingeboude DDoS-beskerming te gebruik om jou DNS-bedieners teen aanvalle te beskerm.
  • ** Toepassingslaagbeskerming**: Vir webtoepassings, gebruik Azure WAF om teen laag 7-aanvalle te beskerm, wat DDoS-beskermingstandaard nie direk aanspreek nie.
  • Kostebeperking: Implementeer tariefbeperking op jou toepassingspoorte of omgekeerde gevolmagtigdes om lae-volume toepassingslaagaanvalle te versag.

Algemene probleemoplossing

  • DDoS-beskerming nie geaktiveer nie: Verifieer dat die DDoS-beskermingsplan geskep is en dat die VNet daaraan gekoppel is. Bevestig dat die hulpbronne wat jy hoop om te beskerm openbare IP-adresse het.
  • DDoS-aanval nie bespeur nie: Verifieer dat die aanvalverkeer werklik na die beskermde publieke IP's gerig is. Maak seker dat telemetrie-metrieke in Azure Monitor ingesamel word. Daar kan 'n effense vertraging in die opsporing van lae-volume aanvalle wees.
  • Toepassing steeds geraak tydens 'n aanval: Dit kan aandui dat die aanval nie suiwer DDoS is nie (bv. toepassingslaagaanval wat WAF benodig) of dat die toepassing self nie veerkragtig genoeg is nie. Hersien toepassingsontwerp en WAF-integrasie.
  • DDoS-waarskuwings nie ontvang nie: Gaan waarskuwingreëls na wat in Azure Monitor opgestel is. Maak seker dat kennisgewinghandelinge korrek opgestel is en dat ontvangers kennisgewings ontvang.
  • Verrigtingkwessies na aktivering: DDoS Protection Standard is 'n netwerkdiens en veroorsaak oor die algemeen nie werkverrigtingkwessies nie. As daar traagheid is, ondersoek ander komponente van jou argitektuur (bv. VM's, Load Balancers, Firewalls, WAF).

Gevolgtrekking

Azure DDoS Protection Standard is 'n kritieke diens vir enige organisasie wat sy toepassings en dienste wil beskerm teen die groeiende bedreiging van DDoS-aanvalle. Deur outomatiese, skaalbare en omvattende versagting te verskaf, verseker dit die beskikbaarheid en veerkragtigheid van Azure-hulpbronne. Effektiewe implementering van die DDoS Beskerming Standaard, gekombineer met robuuste toepassing ontwerp, verdediging in diepte met ander sekuriteit oplossings, en deurlopende monitering, stel organisasies in staat om besigheid kontinuïteit te handhaaf en die gebruikers ervaring te beskerm. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om Azure DDoS Protection Standard op te stel, te bekragtig en te bestuur, wat die sekuriteitsposisie en veerkragtigheid van hul wolktoepassings versterk.

Verwysings:

[1] Microsoft Learn. * Pro OorsigAzure DDoS-beskerming. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Learn. Soorte DDoS-aanvalle. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Learn. Azure DDoS Protection-laagvergelyking. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn. DDoS-beskerming verwysingsargitekture*. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures