تنفيذ معيار حماية Azure DDoS لمرونة التطبيق

تنفيذ معيار حماية Azure DDoS لمرونة التطبيق

14/09/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وتكوين معيار حماية Azure DDoS لضمان مرونة التطبيقات المستضافة على Azure. تعد هجمات رفض الخدمة الموزعة (DDoS) واحدة من أكبر التهديدات التي تواجه توفر الخدمات عبر الإنترنت. يوفر Azure DDoS Protection Standard إمكانات متقدمة لتخفيف هجمات DDoS، مما يحمي موارد Azure من الهجمات الحجمية والبروتوكولية وهجمات طبقات التطبيقات، مما يضمن استمرارية الأعمال وتجربة المستخدم [1].

مقدمة

في المشهد الرقمي الحالي، يعد توفر التطبيقات والخدمات أمرًا بالغ الأهمية مثل أمنها وسلامتها. تهدف هجمات DDoS إلى زيادة التحميل على موارد الخدمة، مما يجعلها غير متاحة للمستخدمين الشرعيين. يمكن أن تؤدي مثل هذه الهجمات إلى خسائر مالية كبيرة وإلحاق الضرر بالسمعة وتعطيل العمليات الحيوية. يعد Azure DDoS Protection Standard حلاً أصليًا من Azure يوفر حماية شاملة ضد هذه الهجمات، باستخدام شبكة تخفيف عالمية وخوارزميات اكتشاف قائمة على التعلم الآلي لتحديد حركة المرور الضارة وتجنبها قبل أن تصل إلى مواردك [2].

سيغطي هذا الدليل العملي إنشاء خطة حماية DDoS، وتمكين الحماية للشبكات الافتراضية وعناوين IP العامة، والتكامل مع خدمات Azure الأخرى مثل Azure Web Application Firewall (WAF) وAzure Firewall، والتحقق من صحة الحماية من خلال محاكاة الهجوم. سيتم توفير إرشادات وأمثلة خطوة بخطوة لأوامر Azure CLI حتى يتمكن القارئ من تنفيذ واختبار دفاع قوي ضد هجمات DDoS، مما يعزز مرونة التطبيقات السحابية والبنية التحتية الخاصة به.

ما سبب أهمية معيار حماية Azure DDoS؟

  • التخفيف الشامل: يحمي من الهجمات الحجمية (مثل فيضانات UDP، وSYN)، وهجمات البروتوكول (مثل فيضانات SYN-ACK، وتجزئة IP) وهجمات طبقة التطبيق (مثل فيضانات HTTP) [3].
  • الاكتشاف والتكيف التلقائي: يستخدم خوارزميات التعلم الآلي لاكتشاف الهجمات في الوقت الفعلي وضبط سياسات التخفيف دون تدخل يدوي.
  • النطاق العالمي: يستفيد من النطاق العالمي لشبكة Azure لاستيعاب كميات كبيرة من حركة مرور الهجمات وصدها.
  • القياس عن بعد التفصيلي: يوفر قياسًا غنيًا عن بعد وسجلات التخفيف ومقاييس الهجوم في Azure Monitor للتحليل والتحقيق.
  • التكامل الأصلي: يتكامل بسلاسة مع خدمات أمان Azure الأخرى، مثل Azure Firewall وAzure WAF، للدفاع بعمق.
  • ضمان التكلفة: يوفر حماية من تكلفة الموارد التي تم ضبطها أثناء هجوم DDoS، ويغطي أرصدة الموارد التي سيتم توسيع نطاقها لاستيعاب الهجوم.

المتطلبات الأساسية

لتطبيق معيار حماية Azure DDoS، ستحتاج إلى العناصر التالية:

  1. اشتراك Azure النشط: اشتراك Azure لإنشاء الموارد وإدارتها.
  2. الوصول الإداري: حساب بدور "المالك" أو "المساهم" في اشتراك Azure، أو في مجموعة الموارد حيث توجد شبكات VNets وعناوين IP العامة.
  3. الشبكات الافتراضية (VNets): الشبكات الافتراضية التي تستضيف الموارد التي تريد حمايتها (مثل الأجهزة الافتراضية وموازنات التحميل وبوابات التطبيقات).
  4. عناوين IP العامة: الموارد ذات عناوين IP العامة (مثل الأجهزة الافتراضية ذات IP العام، وموازنات التحميل العامة، وبوابات التطبيقات) التي ستكون الهدف المحتمل لهجمات DDoS.
  5. Azure CLI أو Azure PowerShell: أدوات سطر الأوامر المثبتة والمكونة للتفاعل مع Azure.

خطوة بخطوة: تنفيذ معيار حماية Azure DDoS

فلنقم بتكوين Azure DDoS Protection Standard لحماية مواردك.

1. إنشاء خطة حماية ضد هجمات DDoS

الخطوة الأولى هي إنشاء خطة حماية DDoS. تعد هذه الخطة موردًا عالميًا يمكنك ربطه بشبكات VNet متعددة عبر مناطق واشتراكات مختلفة.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في حقل البحث العلوي، اكتب "خطط حماية DDoS" وحددها من النتائج.
  4. انقر فوق "+ إنشاء".
  5. املأ تفاصيل الخطة:
    • التوقيع: إذاحدد اشتراك Azure الخاص بك.
    • مجموعة الموارد: أنشئ مجموعة موارد جديدة (على سبيل المثال RG-DDoS-Protection) أو حدد مجموعة موجودة.
    • الاسم: قم بتسمية خطتك (على سبيل المثال: DDoS-Plan-Artigos).
    • المنطقة: حدد المنطقة التي تريد إدارة الخطة فيها (لا يؤثر على الحماية العالمية).
  6. انقر فوق "مراجعة + إنشاء"، ثم "إنشاء".

2. تمكين الحماية من DDoS للشبكة الافتراضية

بعد إنشاء خطة الحماية من DDoS، يتعين عليك ربطها بالشبكات الافتراضية التي تحتوي على الموارد التي تريد حمايتها.

  1. في بوابة Azure، انتقل إلى شبكة VNet التي تريد حمايتها (على سبيل المثال: VNet-Hub الذي تم إنشاؤه في مقالة جدار حماية Azure).
  2. في جزء التنقل الأيمن لشبكة VNet، حدد حماية DDoS.
  3. ضمن "خطة حماية DDoS"، حدد الخطة التي أنشأتها (على سبيل المثال: "DDoS-Plan-Artigos").

  4. انقر فوق "حفظ".

    • أمر Azure CLI لتمكين حماية DDoS على شبكة VNet: ``` باش # احصل على معرف خطة DDoS DDP_PLAN_ID=$(عرض خطة حماية ddos للشبكة من Az - اسم DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --معرف الاستعلام -o tsv)

      قم بتحديث VNet لاستخدام خطة DDoS

      تحديث شبكة vnet --اسم VNet-Hub --مجموعة الموارد RG-Firewall-Artigos --خطة حماية ddos $DDP_PLAN_ID --خطة حماية ddos-تمكين صحيح ```

3. تأمين عناوين IP العامة

عند تمكين VNet لمعيار حماية DDoS، تتم حماية جميع الموارد ذات عناوين IP العامة داخل شبكة VNet هذه (على سبيل المثال، أجهزة IP VM العامة وموازنات التحميل العامة وبوابات التطبيقات) تلقائيًا. ليست هناك حاجة لتكوين الحماية بشكل فردي لكل عنوان IP عام.

  • التحقق: للتأكد من حماية عنوان IP العام، يمكنك الانتقال إلى مورد IP العام في بوابة Azure. في قسم "النظرة العامة"، سترى "خطة الحماية من DDoS" المرتبطة.

4. التكامل مع جدار حماية تطبيق الويب Azure (WAF) وجدار الحماية Azure

للدفاع بشكل متعمق، يوصى بدمج معيار حماية Azure DDoS مع حلول أمان الشبكة الأخرى.

  • جدار حماية تطبيق الويب Azure (WAF): يحمي WAF تطبيقات الويب من هجمات الويب الشائعة (مثل حقن SQL والبرمجة النصية عبر المواقع) التي لا تغطيها حماية DDoS. انشر WAF أمام تطبيقات الويب الخاصة بك (على سبيل المثال، مع Azure Application Gateway أو Azure Front Door). يحمي معيار حماية DDoS طبقة الشبكة الخاصة بـ WAF، بينما يحمي WAF طبقة التطبيق [4].

  • Azure Firewall: يوفر Azure Firewall تصفية حركة مرور الشبكة والتطبيقات، ومعلومات التهديدات، وIDPS. عند استخدامه مع معيار حماية DDoS، يمكن لجدار الحماية فحص حركة المرور المشروعة بعد تخفيف DDoS، مما يضيف طبقة أخرى من الأمان.

التحقق والاختبار

يعد التحقق من فعالية معيار حماية Azure DDoS أمرًا بالغ الأهمية. ومع ذلك، لا تقم مطلقًا بتنفيذ هجوم DDoS فعليًا على مواردك الخاصة دون الحصول على إذن صريح من Microsoft. تقدم Microsoft برنامج اختبار محاكاة DDoS للعملاء.

1. التحقق من قياس حماية DDoS عن بعد

أثناء الهجوم (أو المحاكاة)، يوفر Azure DDoS Protection Standard مقاييس تفصيلية في Azure Monitor.

  1. في بوابة Azure، انتقل إلى خطة الحماية من DDoS (على سبيل المثال: DDoS-Plan-Artigos).
  2. في جزء التنقل الأيسر، حدد المقاييس.
  3. يمكنك عرض مقاييس مثل:
    • حركة مرور هجوم DDoS (الواردة): حركة مرور الهجوم الواردة.
    • حزم هجوم DDoS (الواردة): حزم الهجوم الواردة.
    • وحدات بايت هجوم DDoS (الواردة): وحدات بايت الهجوم الواردة.
    • هجوم DDoS أسقط الحزم (الواردة): تم إسقاط حزم الهجوم.

2. تكوين التنبيهات لهجمات DDoS

من الضروري إعداد التنبيهات ليتم إعلامك عند حدوث هجوم DDoS.

  1. في بوابة Azure، انتقل إلى خطة حماية DDoS الخاصة بك.
  2. في جزء التنقل الأيمن، حدد التنبيهات.
  3. انقر فوق "+ إنشاء قاعدة تنبيه".
  4. قم بتكوين الشرط للتنبيه باستخدام مقاييس مثل "في حالة هجوم DDoS أم لا" (تشير القيمة 1 إلى الهجوم، 0 تشير إلى عادي) أو "حركة مرور هجوم DDoS (الواردة)".
  5. قم بتكوين إجراءات التنبيه (على سبيل المثال، إرسال بريد إلكتروني أو رسائل نصية قصيرة أو خطاف ويب أو تشغيل وظيفة Azure أو تطبيق منطقي).

3. إجراء محاكاة لهجوم DDoS (مع الشركاء المعتمدين)

مايكروسوفت تتعاون مع الشريكإمكانات اختبار DDoS لتمكين العملاء من محاكاة الهجمات بطريقة خاضعة للرقابة وآمنة ضد مواردهم المحمية بواسطة Azure DDoS Protection Standard. لا تحاول مطلقًا محاكاة هجوم DDoS بنفسك دون موافقة وتنسيق من Microsoft وشريك معتمد.

  1. اتصل بشريك اختبار DDoS المعتمد من Microsoft: تقدم شركات مثل BreakingPoint (Keysight) أو Radware خدمات محاكاة DDoS.
  2. التنسيق مع Microsoft: أبلغ Microsoft بالاختبار المخطط له لمنع التخفيف التلقائي لـ Azure من تفسير الاختبار على أنه هجوم حقيقي واتخاذ إجراءات غير متوقعة.
  3. المراقبة أثناء الاختبار: أثناء المحاكاة، راقب مقاييس الحماية من DDoS في Azure Monitor لمراقبة التخفيف أثناء العمل والتحقق من مرونة التطبيق الخاص بك.

نصائح أمنية وأفضل الممارسات

  • تصميم تطبيق قوي: يعد معيار حماية Azure DDoS أكثر فعالية عند دمجه مع تصميم تطبيق قوي ومرن. يتضمن ذلك بنيات قابلة للتطوير وموازنة التحميل والتخزين المؤقت والتسامح مع الأخطاء.
  • الدفاع في العمق: لا تعتمد فقط على الحماية من هجمات DDoS. يمكنك دمجها مع حلول أمنية أخرى مثل Azure Firewall وAzure WAF وNSGs لإنشاء إستراتيجية دفاعية متعمقة.
  • تحسين التكلفة: تحمي الخطة القياسية جميع موارد IP العامة في شبكات VNet المرتبطة. فكر في تجميع الموارد في شبكات VNets المحمية لتحسين التكاليف.
  • المراقبة النشطة: قم بتكوين التنبيهات في Azure Monitor لهجمات DDoS ومراقبة القياس عن بعد بشكل فعال لفهم سلوك الهجوم وفعالية التخفيف.
  • الاختبار المنتظم: قم بإجراء عمليات محاكاة لهجوم DDoS مع الشركاء المعتمدين بانتظام للتحقق من فعالية الحماية الخاصة بك وتحديد أي ثغرات.
  • حماية DNS: فكر في استخدام Azure DNS مع حماية DDoS المضمنة لحماية خوادم DNS الخاصة بك من الهجمات.
  • حماية طبقة التطبيق: بالنسبة لتطبيقات الويب، استخدم Azure WAF للحماية من هجمات الطبقة 7، والتي لا يعالجها معيار حماية DDoS بشكل مباشر.
  • تحديد المعدل: قم بتنفيذ تحديد المعدل على بوابات التطبيق الخاصة بك أو الوكلاء العكسيين للتخفيف من هجمات طبقة التطبيق ذات الحجم المنخفض.

استكشاف الأخطاء وإصلاحها الشائعة

  • لم يتم تمكين حماية DDoS: تحقق من إنشاء خطة حماية DDoS وأن شبكة VNet مرتبطة بها. تأكد من أن الموارد التي تأمل في حمايتها لها عناوين IP عامة.
  • لم يتم اكتشاف هجوم DDoS: تأكد من أن حركة مرور الهجوم موجهة فعليًا إلى عناوين IP العامة المحمية. تأكد من جمع مقاييس القياس عن بعد في Azure Monitor. قد يكون هناك تأخير طفيف في اكتشاف الهجمات ذات الحجم المنخفض.
  • لا يزال التطبيق متأثرًا أثناء الهجوم: قد يشير هذا إلى أن الهجوم ليس مجرد DDoS (على سبيل المثال، هجوم طبقة التطبيق الذي يحتاج إلى WAF) أو أن التطبيق نفسه ليس مرنًا بدرجة كافية. مراجعة تصميم التطبيق وتكامل WAF.
  • لم يتم تلقي تنبيهات DDoS: تحقق من قواعد التنبيه التي تم تكوينها في Azure Monitor. تأكد من تكوين إجراءات الإشعارات بشكل صحيح وأن المستلمين يتلقون الإشعارات.
  • مشكلات الأداء بعد التنشيط: معيار حماية DDoS هو خدمة شبكة ولا يسبب مشكلات في الأداء بشكل عام. إذا كان هناك بطء، فتحقق من المكونات الأخرى لبنيتك (مثل الأجهزة الافتراضية، وموازنات التحميل، وجدران الحماية، وWAF).

الخلاصة

يعد Azure DDoS Protection Standard خدمة مهمة لأي مؤسسة تتطلع إلى حماية تطبيقاتها وخدماتها ضد التهديد المتزايد لهجمات DDoS. من خلال توفير التخفيف التلقائي والقابل للتطوير والشامل، فإنه يضمن توافر ومرونة موارد Azure. إن التنفيذ الفعال لمعيار حماية DDoS، إلى جانب التصميم القوي للتطبيقات والدفاع المتعمق مع الحلول الأمنية الأخرى والمراقبة المستمرة، يمكّن المؤسسات من الحفاظ على استمرارية الأعمال وحماية تجربة المستخدم. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان مجهزين جيدًا لتكوين معيار حماية Azure DDoS والتحقق من صحته وإدارته، مما يعزز الوضع الأمني ​​ومرونة تطبيقاتهم السحابية.

المراجع:

[1] مايكروسوفت تعلم. * نظرة عامة للمحترفينحماية Azure DDoS. متوفر على: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] مايكروسوفت تعلم. أنواع هجمات DDoS. متوفر على: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] مايكروسوفت تعلم. مقارنة طبقة حماية Azure DDoS. متوفر على: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] مايكروسوفت تعلم. البنيات المرجعية لحماية DDoS*. متوفر على: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures