Implementace Azure DDoS Protection Standard pro odolnost aplikací

Implementace Azure DDoS Protection Standard pro odolnost aplikací

14.09.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a konfiguraci Azure DDoS Protection Standard, aby byla zajištěna odolnost aplikací hostovaných v Azure. Útoky DDoS (Distributed Denial of Service) jsou jednou z největších hrozeb pro dostupnost online služeb. Azure DDoS Protection Standard poskytuje pokročilé možnosti zmírnění útoků DDoS, chrání prostředky Azure před objemovými, protokolovými a aplikačními útoky a zajišťuje kontinuitu podnikání a uživatelské prostředí [1].

Úvod

V současném digitálním prostředí je dostupnost aplikací a služeb stejně důležitá jako jejich bezpečnost a integrita. DDoS útoky mají za cíl přetížit zdroje služby, čímž se stane nedostupnou pro legitimní uživatele. Takové útoky mohou mít za následek značné finanční ztráty, poškození pověsti a narušení kritických operací. Azure DDoS Protection Standard je nativní řešení Azure, které poskytuje komplexní ochranu proti těmto útokům pomocí globální sítě pro zmírňování a detekčních algoritmů založených na strojovém učení k identifikaci a odvrácení škodlivého provozu předtím, než se dostane k vašim prostředkům [2].

Tato praktická příručka se bude zabývat vytvořením plánu ochrany DDoS, povolením ochrany pro virtuální sítě a veřejné IP adresy, integrací s dalšími službami Azure, jako je Azure Web Application Firewall (WAF) a Azure Firewall, a ověřením ochrany prostřednictvím simulací útoků. Budou poskytnuty podrobné pokyny a příklady příkazů Azure CLI, aby čtenář mohl implementovat a otestovat robustní obranu proti útokům DDoS a posílit tak odolnost svých cloudových aplikací a infrastruktury.

Proč je Azure DDoS Protection Standard zásadní?

  • Komplexní zmírnění: Chrání před volumetrickými útoky (např. záplavy UDP, SYN), protokolovými útoky (např. záplavami SYN-ACK, fragmentace IP) a útoky na aplikační vrstvě (např. záplavami HTTP) [3].
  • Automatická detekce a přizpůsobení: Využívá algoritmy strojového učení k detekci útoků v reálném čase a úpravě zásad zmírňování bez ručního zásahu.
  • Globální měřítko: Využívá globální měřítko sítě Azure k absorbování a odvracení velkých objemů útočného provozu.
  • Podrobná telemetrie: Poskytuje bohatou telemetrii, protokoly zmírnění a metriky útoků v Azure Monitor pro analýzu a vyšetřování.
  • Nativní integrace: Hladce se integruje s dalšími službami zabezpečení Azure, jako je Azure Firewall a Azure WAF, pro hloubkovou ochranu.
  • Záruka nákladů: Poskytuje ochranu nákladů na škálované zdroje během DDoS útoku a pokrývá kredity za zdroje, které by byly škálovány, aby absorbovaly útok.

Předpoklady

K implementaci Azure DDoS Protection Standard budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure k vytváření a správě prostředků.
  2. Administrativní přístup: Účet s rolí „Vlastník“ nebo „Přispěvatel“ v předplatném Azure nebo ve skupině prostředků, kde se nacházejí virtuální sítě a veřejné IP adresy.
  3. Virtuální sítě (VNets): Virtuální sítě, které hostí zdroje, které chcete chránit (např. VM, Load Balancers, Application Gateways).
  4. Veřejné IP adresy: Zdroje s veřejnými IP adresami (např. VM s veřejnou IP, veřejné Load Balancery, Application Gateways), které budou potenciálním cílem DDoS útoků.
  5. Azure CLI nebo Azure PowerShell: Nainstalované a nakonfigurované nástroje příkazového řádku pro interakci s Azure.

Krok za krokem: Implementace Azure DDoS Protection Standard

Pojďme nakonfigurovat Azure DDoS Protection Standard pro ochranu vašich prostředků.

1. Vytvoření plánu ochrany DDoS

Prvním krokem je vytvoření plánu DDoS ochrany. Tento plán je globální zdroj, který můžete propojit s více virtuálními sítěmi v různých oblastech a předplatných.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „plány ochrany DDoS“ a vyberte jej z výsledků.
  4. Klikněte na + Vytvořit.
  5. Vyplňte podrobnosti plánu:
    • Podpis: PokudVyberte své předplatné Azure.
    • Skupina prostředků: Vytvořte novou skupinu prostředků (např. RG-DDoS-Protection) nebo vyberte existující.
    • Jméno: Pojmenujte svůj plán (např.: DDoS-Plan-Artigos).
    • Region: Vyberte oblast, ve které chcete plán spravovat (neovlivňuje globální ochranu).
  6. Klikněte na Zkontrolovat + vytvořit a poté na Vytvořit.

2. Povolení ochrany DDoS pro virtuální síť

Po vytvoření plánu ochrany DDoS jej musíte propojit s virtuálními sítěmi, které obsahují prostředky, které chcete chránit.

  1. V Azure Portal přejděte na virtuální síť, kterou chcete chránit (např. VNet-Hub vytvořený v článku Azure Firewall).
  2. V levém navigačním panelu virtuální sítě vyberte DDoS Protection.
  3. V části DDoS Protection Plan vyberte plán, který jste vytvořili (např. DDoS-Plan-Artigos).

  4. Klikněte na Uložit.

    • Příkaz Azure CLI pro aktivaci ochrany DDoS na virtuální síti: ``` bash # Získejte ID plánu DDoS DDP_PLAN_ID=$(az show plánu ochrany ddos sítě --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Aktualizujte virtuální síť, abyste mohli používat plán DDoS

      az aktualizace síťové vnet --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Zabezpečení veřejných IP adres

Když je pro virtuální síť povolena DDoS Protection Standard, jsou automaticky chráněny všechny zdroje s veřejnými IP adresami v rámci této virtuální sítě (např. veřejné IP VM, veřejné Load Balancery, Application Gateways). Není potřeba konfigurovat ochranu individuálně pro každou veřejnou IP.

  • Ověření: Chcete-li potvrdit, že je veřejná IP chráněná, můžete přejít na prostředek veřejné IP na Azure Portal. V části „Přehled“ uvidíte související „Plán ochrany DDoS“.

4. Integrace s Azure Web Application Firewall (WAF) a Azure Firewall

Pro ochranu do hloubky se doporučuje kombinovat Azure DDoS Protection Standard s dalšími řešeními zabezpečení sítě.

  • Azure Web Application Firewall (WAF): WAF chrání webové aplikace před běžnými webovými útoky (např. SQL injection, cross-site scripting), které DDoS Protection nepokrývá. Nasaďte WAF před své webové aplikace (např. pomocí Azure Application Gateway nebo Azure Front Door). DDoS Protection Standard chrání síťovou vrstvu WAF, zatímco WAF chrání aplikační vrstvu [4].

  • Azure Firewall: Azure Firewall poskytuje filtrování síťového a aplikačního provozu, informace o hrozbách a IDPS. Při použití ve spojení s DDoS Protection Standard může Firewall kontrolovat legitimní provoz po zmírnění DDoS a přidat další vrstvu zabezpečení.

Validace a testování

Ověření účinnosti Azure DDoS Protection Standard je zásadní. Nikdy však neprovádějte skutečný útok DDoS proti svým vlastním zdrojům bez výslovného povolení od společnosti Microsoft. Společnost Microsoft nabízí zákazníkům testovací program simulace DDoS.

1. Kontrola telemetrie ochrany DDoS

Během útoku (nebo simulace) poskytuje Azure DDoS Protection Standard podrobné metriky v Azure Monitor.

  1. V Azure Portal přejděte na svůj plán ochrany DDoS (např. DDoS-Plan-Artigos).
  2. V levém navigačním panelu vyberte Metriky.
  3. Můžete zobrazit metriky jako:
    • DDoS útočný provoz (příchozí): Příchozí útočný provoz.
    • "DDoS útočné pakety (příchozí)": příchozí útočné pakety.
    • DDoS útočné bajty (příchozí): Příchozí útočné bajty.
    • DDoS útokem zahozené pakety (příchozí): Zahozené útočné pakety.

2. Konfigurace upozornění na útoky DDoS

Je nezbytné nastavit upozornění, která budou upozorněna, když probíhá DDoS útok.

  1. Na portálu Azure přejděte do plánu ochrany DDoS.
  2. V levém navigačním panelu vyberte Výstrahy.
  3. Klikněte na + Vytvořit pravidlo výstrahy.
  4. Nakonfigurujte podmínku pro výstrahu pomocí metrik, jako je „Pod útokem DDoS nebo ne“ (hodnota 1 označuje útok, 0 označuje normální) nebo „Provoz DDoS útoku (příchozí)“.
  5. Nakonfigurujte akce výstrah (např. odeslání e-mailu, SMS, webhook, spuštění funkce Azure nebo aplikace Logic).

3. Provedení simulace útoku DDoS (se schválenými partnery)

Microsoft spolupracuje s partneremMožnosti testování DDoS, které zákazníkům umožňují kontrolovaným a bezpečným způsobem simulovat útoky proti jejich prostředkům chráněným Azure DDoS Protection Standard. Nikdy se nepokoušejte simulovat útok DDoS sami bez schválení a koordinace od společnosti Microsoft a schváleného partnera.

  1. Kontaktujte partnera pro testování DDoS schváleného společností Microsoft: Společnosti jako BreakingPoint (Keysight) nebo Radware nabízejí služby simulace DDoS.
  2. Koordinujte se společností Microsoft: Informujte Microsoft o plánovaném testu, abyste zabránili tomu, aby automatické zmírnění Azure interpretovalo test jako skutečný útok a neprovádělo neočekávané akce.
  3. Monitorujte během testování: Během simulace sledujte metriky ochrany DDoS v Azure Monitor, abyste mohli pozorovat zmírnění v akci a ověřovat odolnost své aplikace.

Bezpečnostní tipy a doporučené postupy

  • Robustní návrh aplikací: Azure DDoS Protection Standard je nejúčinnější v kombinaci s robustním a odolným návrhem aplikací. To zahrnuje škálovatelné architektury, vyvažování zátěže, ukládání do mezipaměti a odolnost proti chybám.
  • Hloubková obrana: Nespoléhejte se pouze na DDoS ochranu. Zkombinujte to s dalšími řešeními zabezpečení, jako je Azure Firewall, Azure WAF a NSG, abyste vytvořili strategii ochrany do hloubky.
  • Optimalizace nákladů: Standardní plán chrání všechny veřejné IP zdroje v propojených virtuálních sítích. Zvažte seskupení zdrojů do chráněných virtuálních sítí pro optimalizaci nákladů.
  • Aktivní monitorování: Nakonfigurujte výstrahy v Azure Monitor pro útoky DDoS a aktivně sledujte telemetrii, abyste pochopili chování útoků a účinnost zmírňování.
  • Pravidelné testování: Pravidelně provádějte simulace DDoS útoků se schválenými partnery, abyste ověřili účinnost vaší ochrany a identifikovali případné mezery.
  • Ochrana DNS: Zvažte použití Azure DNS s integrovanou ochranou DDoS k ochraně serverů DNS před útoky.
  • Ochrana aplikační vrstvy: Pro webové aplikace použijte Azure WAF k ochraně před útoky na 7. vrstvě, které DDoS Protection Standard přímo neřeší.
  • Omezení rychlosti: Implementujte omezení rychlosti na své aplikační brány nebo reverzní proxy, abyste zmírnili útoky na nízkoobjemovou aplikační vrstvu.

Běžné odstraňování problémů

  • ** Ochrana DDoS není povolena**: Ověřte, že byl vytvořen plán ochrany DDoS a že je s ním propojena virtuální síť. Potvrďte, že zdroje, které chcete chránit, mají veřejné IP adresy.
  • DDoS útok nebyl detekován: Ověřte, zda je útok skutečně směrován na chráněné veřejné IP adresy. Zajistěte, aby se metriky telemetrie shromažďovaly v Azure Monitor. Může dojít k mírnému zpoždění při detekci útoků s nízkou hlasitostí.
  • Aplikace stále ovlivněna během útoku: To může znamenat, že útok není čistě DDoS (např. útok na aplikační vrstvě, který potřebuje WAF) nebo že samotná aplikace není dostatečně odolná. Zkontrolujte návrh aplikace a integraci WAF.
  • Výstrahy DDoS nebyly přijaty: Zkontrolujte pravidla výstrah nakonfigurovaná v Azure Monitor. Ujistěte se, že akce oznámení jsou správně nakonfigurovány a že příjemci dostávají oznámení.
  • Problémy s výkonem po aktivaci: DDoS Protection Standard je síťová služba a obecně nezpůsobuje problémy s výkonem. Pokud je pomalost, prozkoumejte další součásti vaší architektury (např. VM, Load Balancers, Firewally, WAF).

Závěr

Azure DDoS Protection Standard je klíčová služba pro každou organizaci, která chce chránit své aplikace a služby před rostoucí hrozbou útoků DDoS. Tím, že poskytuje automatické, škálovatelné a komplexní zmírnění, zajišťuje dostupnost a odolnost prostředků Azure. Efektivní implementace DDoS Protection Standard v kombinaci s robustním návrhem aplikací, hloubkovou obranou s dalšími bezpečnostními řešeními a nepřetržitým monitorováním umožňuje organizacím udržovat obchodní kontinuitu a chránit uživatelskou zkušenost. Díky této praktické příručce budou odborníci na zabezpečení dobře vybaveni ke konfiguraci, ověřování a správě Azure DDoS Protection Standard, čímž posílí zabezpečení a odolnost jejich cloudových aplikací.

Reference:

[1] Microsoft Learn. Pro přehledAzure DDoS ochrana. Dostupné na: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Learn. Typy DDoS útoků. Dostupné na: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Learn. Porovnání vrstev Azure DDoS Protection. Dostupné na: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn. Referenční architektury ochrany DDoS. Dostupné na: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures