Implementierung des Azure DDoS Protection Standards für Anwendungsresilienz

Implementierung des Azure DDoS Protection Standards für Anwendungsresilienz

14.09.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Implementierung und Konfiguration des Azure DDoS Protection Standards helfen, um die Ausfallsicherheit von auf Azure gehosteten Anwendungen sicherzustellen. Distributed Denial of Service (DDoS)-Angriffe sind eine der größten Bedrohungen für die Verfügbarkeit von Online-Diensten. Azure DDoS Protection Standard bietet erweiterte Funktionen zur Abwehr von DDoS-Angriffen, schützt Azure-Ressourcen vor volumetrischen, Protokoll- und Anwendungsschichtangriffen und gewährleistet so die Geschäftskontinuität und das Benutzererlebnis [1].

Einführung

In der aktuellen digitalen Landschaft ist die Verfügbarkeit von Anwendungen und Diensten ebenso wichtig wie deren Sicherheit und Integrität. DDoS-Angriffe zielen darauf ab, die Ressourcen eines Dienstes zu überlasten, sodass er für legitime Benutzer nicht mehr verfügbar ist. Solche Angriffe können zu erheblichen finanziellen Verlusten, Reputationsschäden und Störungen kritischer Abläufe führen. Azure DDoS Protection Standard ist eine Azure-native Lösung, die umfassenden Schutz vor diesen Angriffen bietet, indem sie ein globales Abwehrnetzwerk und auf maschinellem Lernen basierende Erkennungsalgorithmen nutzt, um bösartigen Datenverkehr zu identifizieren und abzuwehren, bevor er Ihre Ressourcen erreicht [2].

Dieser praktische Leitfaden behandelt die Erstellung eines DDoS-Schutzplans, die Aktivierung des Schutzes für virtuelle Netzwerke und öffentliche IP-Adressen, die Integration mit anderen Azure-Diensten wie Azure Web Application Firewall (WAF) und Azure Firewall sowie die Validierung des Schutzes durch Angriffssimulationen. Es werden Schritt-für-Schritt-Anleitungen und Beispiele für Azure CLI-Befehle bereitgestellt, damit der Leser eine robuste Verteidigung gegen DDoS-Angriffe implementieren und testen und so die Widerstandsfähigkeit seiner Cloud-Anwendungen und -Infrastruktur stärken kann.

Warum ist Azure DDoS Protection Standard so wichtig?

  • Umfassende Schadensbegrenzung: Schützt vor volumetrischen Angriffen (z. B. UDP-Floods, SYN), Protokollangriffen (z. B. SYN-ACK-Floods, IP-Fragmentierung) und Angriffen auf Anwendungsebene (z. B. HTTP-Floods) [3].
  • Automatische Erkennung und Anpassung: Verwendet maschinelle Lernalgorithmen, um Angriffe in Echtzeit zu erkennen und Abwehrrichtlinien ohne manuelles Eingreifen anzupassen.
  • Globale Skalierung: Nutzt die globale Skalierung des Azure-Netzwerks, um große Mengen an Angriffsverkehr zu absorbieren und abzuwehren.
  • Detaillierte Telemetrie: Bietet umfassende Telemetrie, Schadensbegrenzungsprotokolle und Angriffsmetriken in Azure Monitor zur Analyse und Untersuchung.
  • Native Integration: Nahtlose Integration mit anderen Azure-Sicherheitsdiensten wie Azure Firewall und Azure WAF für umfassende Verteidigung.
  • Kostengarantie: Bietet Kostenschutz für skalierte Ressourcen während eines DDoS-Angriffs und deckt Gutschriften für Ressourcen ab, die zur Abwehr des Angriffs skaliert würden.

Voraussetzungen

Um Azure DDoS Protection Standard zu implementieren, benötigen Sie die folgenden Elemente:

  1. Aktives Azure-Abonnement: Ein Azure-Abonnement zum Erstellen und Verwalten von Ressourcen.
  2. Administratorzugriff: Ein Konto mit der Rolle „Besitzer“ oder „Mitwirkender“ im Azure-Abonnement oder in der Ressourcengruppe, in der sich die VNets und öffentlichen IPs befinden.
  3. Virtuelle Netzwerke (VNets): Die VNets, die die Ressourcen hosten, die Sie schützen möchten (z. B. VMs, Load Balancer, Application Gateways).
  4. Öffentliche IP-Adressen: Ressourcen mit öffentlichen IP-Adressen (z. B. VMs mit öffentlicher IP, öffentliche Load Balancer, Application Gateways), die das potenzielle Ziel von DDoS-Angriffen sein werden.
  5. Azure CLI oder Azure PowerShell: Installierte und konfigurierte Befehlszeilentools für die Interaktion mit Azure.

Schritt für Schritt: Implementierung des Azure DDoS Protection Standards

Lassen Sie uns Azure DDoS Protection Standard konfigurieren, um Ihre Ressourcen zu schützen.

1. Erstellen eines DDoS-Schutzplans

Der erste Schritt besteht darin, einen DDoS-Schutzplan zu erstellen. Bei diesem Plan handelt es sich um eine globale Ressource, die Sie mit mehreren VNets in verschiedenen Regionen und Abonnements verknüpfen können.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „DDoS-Schutzpläne“ ein und wählen Sie es aus den Ergebnissen aus.
  4. Klicken Sie auf „+ Erstellen“.
  5. Geben Sie die Plandetails ein:
    • Unterschrift: WennWählen Sie Ihr Azure-Abonnement aus.
    • Ressourcengruppe: Erstellen Sie eine neue Ressourcengruppe (z. B. „RG-DDoS-Protection“) oder wählen Sie eine vorhandene aus.
    • Name: Geben Sie Ihrem Plan einen Namen (z. B. „DDoS-Plan-Artigos“).
    • Region: Wählen Sie die Region aus, in der der Plan verwaltet werden soll (hat keinen Einfluss auf den globalen Schutz).
  6. Klicken Sie auf „Überprüfen + erstellen“ und dann auf „Erstellen“.

2. Aktivieren des DDoS-Schutzes für ein virtuelles Netzwerk

Nachdem Sie den DDoS-Schutzplan erstellt haben, müssen Sie ihn mit den virtuellen Netzwerken verknüpfen, die die zu schützenden Ressourcen enthalten.

  1. Navigieren Sie im Azure-Portal zu dem VNet, das Sie schützen möchten (z. B. „VNet-Hub“, erstellt im Azure Firewall-Artikel).
  2. Wählen Sie im linken Navigationsbereich des VNet DDoS-Schutz aus.
  3. Wählen Sie unter „DDoS-Schutzplan“ den von Ihnen erstellten Plan aus (z. B. „DDoS-Plan-Artigos“).

  4. Klicken Sie auf „Speichern“.

    • Azure CLI-Befehl zum Aktivieren des DDoS-Schutzes auf einem VNet: „Bash # Holen Sie sich die DDoS-Plan-ID DDP_PLAN_ID=$(az network ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Aktualisieren Sie das VNet, um den DDoS-Plan zu verwenden

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true „

3. Öffentliche IP-Adressen sichern

Wenn ein VNet für DDoS Protection Standard aktiviert ist, werden alle Ressourcen mit öffentlichen IP-Adressen innerhalb dieses VNet (z. B. öffentliche IP-VMs, öffentliche Load Balancer, Application Gateways) automatisch geschützt. Es ist nicht erforderlich, den Schutz für jede öffentliche IP einzeln zu konfigurieren.

  • Überprüfung: Um zu bestätigen, dass eine öffentliche IP geschützt ist, können Sie im Azure-Portal zur öffentlichen IP-Ressource navigieren. Im Abschnitt „Übersicht“ sehen Sie den zugehörigen „DDoS-Schutzplan“.

4. Integration mit Azure Web Application Firewall (WAF) und Azure Firewall

Für eine umfassende Verteidigung wird empfohlen, Azure DDoS Protection Standard mit anderen Netzwerksicherheitslösungen zu kombinieren.

  • Azure Web Application Firewall (WAF): WAF schützt Webanwendungen vor häufigen Webangriffen (z. B. SQL-Injection, Cross-Site-Scripting), die der DDoS-Schutz nicht abdeckt. Stellen Sie WAF vor Ihren Webanwendungen bereit (z. B. mit Azure Application Gateway oder Azure Front Door). Der DDoS Protection Standard schützt die Netzwerkschicht der WAF, während die WAF die Anwendungsschicht schützt [4].

  • Azure Firewall: Azure Firewall bietet Filterung des Netzwerk- und Anwendungsdatenverkehrs, Bedrohungsinformationen und IDPS. In Verbindung mit dem DDoS Protection Standard kann die Firewall nach der DDoS-Abwehr legitimen Datenverkehr überprüfen und so eine weitere Sicherheitsebene hinzufügen.

Validierung und Tests

Die Validierung der Wirksamkeit des Azure DDoS Protection Standards ist von entscheidender Bedeutung. Führen Sie jedoch niemals einen tatsächlichen DDoS-Angriff auf Ihre eigenen Ressourcen ohne ausdrückliche Genehmigung von Microsoft durch**. Microsoft bietet seinen Kunden ein DDoS-Simulationstestprogramm an.

1. Überprüfung der DDoS-Schutz-Telemetrie

Während eines Angriffs (oder einer Simulation) stellt Azure DDoS Protection Standard detaillierte Metriken in Azure Monitor bereit.

  1. Navigieren Sie im Azure-Portal zu Ihrem DDoS-Schutzplan (z. B. „DDoS-Plan-Artigos“).
  2. Wählen Sie im linken Navigationsbereich Metriken aus.
  3. Sie können Metriken anzeigen wie:
    • „DDoS-Angriffsverkehr (eingehend)“: Eingehender Angriffsverkehr.
    • „DDoS-Angriffspakete (eingehend)“: Eingehende Angriffspakete.
    • „DDoS-Angriffsbytes (eingehend)“: Eingehende Angriffsbytes.
    • „DDoS-Angriff hat Pakete verworfen (eingehend)“: Angriffspakete wurden verworfen.

2. Konfigurieren von Warnungen für DDoS-Angriffe

Es ist wichtig, Benachrichtigungen einzurichten, um benachrichtigt zu werden, wenn ein DDoS-Angriff stattfindet.

  1. Navigieren Sie im Azure-Portal zu Ihrem DDoS-Schutzplan.
  2. Wählen Sie im linken Navigationsbereich Benachrichtigungen aus.
  3. Klicken Sie auf „+ Warnregel erstellen“.
  4. Konfigurieren Sie die Bedingung für die Warnung, indem Sie Metriken wie „Unter DDoS-Angriff oder nicht“ (Wert 1 bedeutet Angriff, 0 bedeutet normal) oder „DDoS-Angriffsverkehr (eingehend)“ verwenden.
  5. Konfigurieren Sie die Alarmaktionen (z. B. E-Mail, SMS, Webhook senden, eine Azure-Funktion oder eine Logik-App auslösen).

3. Durchführung einer DDoS-Angriffssimulation (mit zugelassenen Partnern)

Microsoft arbeitet mit Partner zusammenDDoS-Testfunktionen, die es Kunden ermöglichen, Angriffe auf ihre durch den Azure DDoS Protection Standard geschützten Ressourcen auf kontrollierte und sichere Weise zu simulieren. Versuchen Sie niemals, auf eigene Faust einen DDoS-Angriff zu simulieren, ohne die Genehmigung und Koordination von Microsoft und einem zugelassenen Partner.

  1. Kontaktieren Sie einen von Microsoft zugelassenen DDoS-Testpartner: Unternehmen wie BreakingPoint (Keysight) oder Radware bieten DDoS-Simulationsdienste an.
  2. Abstimmung mit Microsoft: Informieren Sie Microsoft über den geplanten Test, um zu verhindern, dass die automatische Schadensbegrenzung von Azure den Test als echten Angriff interpretiert und unerwartete Maßnahmen ergreift.
  3. Während des Tests überwachen: Überwachen Sie während der Simulation die DDoS-Schutzmetriken in Azure Monitor, um die Abhilfemaßnahmen in Aktion zu beobachten und die Ausfallsicherheit Ihrer Anwendung zu überprüfen.

Sicherheitstipps und Best Practices

  • Robustes Anwendungsdesign: Azure DDoS Protection Standard ist am effektivsten, wenn es mit einem robusten und belastbaren Anwendungsdesign kombiniert wird. Dazu gehören skalierbare Architekturen, Lastausgleich, Caching und Fehlertoleranz.
  • Tiefenverteidigung: Verlassen Sie sich nicht nur auf den DDoS-Schutz. Kombinieren Sie es mit anderen Sicherheitslösungen wie Azure Firewall, Azure WAF und NSGs, um eine tiefgreifende Verteidigungsstrategie zu erstellen.
  • Kostenoptimierung: Der Standardplan schützt alle öffentlichen IP-Ressourcen in verknüpften VNets. Erwägen Sie die Gruppierung von Ressourcen in geschützten VNets, um die Kosten zu optimieren.
  • Aktive Überwachung: Konfigurieren Sie Warnungen in Azure Monitor für DDoS-Angriffe und überwachen Sie aktiv Telemetriedaten, um das Angriffsverhalten und die Wirksamkeit der Abwehrmaßnahmen zu verstehen.
  • Regelmäßige Tests: Führen Sie regelmäßig DDoS-Angriffssimulationen mit zugelassenen Partnern durch, um die Wirksamkeit Ihres Schutzes zu überprüfen und etwaige Lücken zu identifizieren.
  • DNS-Schutz: Erwägen Sie die Verwendung von Azure DNS mit integriertem DDoS-Schutz, um Ihre DNS-Server vor Angriffen zu schützen.
  • Application Layer Protection: Verwenden Sie für Webanwendungen Azure WAF zum Schutz vor Layer-7-Angriffen, die der DDoS Protection Standard nicht direkt anspricht.
  • Ratenbegrenzung: Implementieren Sie eine Ratenbegrenzung auf Ihren Anwendungs-Gateways oder Reverse-Proxys, um Angriffe auf Anwendungsebene mit geringem Volumen abzuwehren.

Allgemeine Fehlerbehebung

  • DDoS-Schutz nicht aktiviert: Stellen Sie sicher, dass der DDoS-Schutzplan erstellt wurde und das VNet damit verknüpft ist. Stellen Sie sicher, dass die Ressourcen, die Sie schützen möchten, über öffentliche IP-Adressen verfügen.
  • DDoS-Angriff nicht erkannt: Stellen Sie sicher, dass der Angriffsverkehr tatsächlich an die geschützten öffentlichen IPs geleitet wird. Stellen Sie sicher, dass Telemetriemetriken in Azure Monitor erfasst werden. Es kann zu einer leichten Verzögerung bei der Erkennung von Angriffen mit geringem Volumen kommen.
  • Anwendung während eines Angriffs weiterhin betroffen: Dies kann darauf hindeuten, dass der Angriff kein reiner DDoS-Angriff ist (z. B. ein Angriff auf Anwendungsebene, der WAF benötigt) oder dass die Anwendung selbst nicht widerstandsfähig genug ist. Überprüfen Sie das Anwendungsdesign und die WAF-Integration.
  • DDoS-Warnungen nicht empfangen: Überprüfen Sie die in Azure Monitor konfigurierten Warnregeln. Stellen Sie sicher, dass die Benachrichtigungsaktionen richtig konfiguriert sind und dass die Empfänger Benachrichtigungen erhalten.
  • Leistungsprobleme nach der Aktivierung: DDoS Protection Standard ist ein Netzwerkdienst und verursacht im Allgemeinen keine Leistungsprobleme. Wenn es zu Langsamkeit kommt, untersuchen Sie andere Komponenten Ihrer Architektur (z. B. VMs, Load Balancer, Firewalls, WAF).

Fazit

Azure DDoS Protection Standard ist ein wichtiger Dienst für jedes Unternehmen, das seine Anwendungen und Dienste vor der wachsenden Bedrohung durch DDoS-Angriffe schützen möchte. Durch die Bereitstellung einer automatischen, skalierbaren und umfassenden Schadensbegrenzung stellt es die Verfügbarkeit und Belastbarkeit von Azure-Ressourcen sicher. Durch die effektive Implementierung des DDoS-Schutzstandards in Kombination mit einem robusten Anwendungsdesign, einer umfassenden Verteidigung mit anderen Sicherheitslösungen und einer kontinuierlichen Überwachung können Unternehmen die Geschäftskontinuität aufrechterhalten und das Benutzererlebnis schützen. Mit diesem praktischen Leitfaden sind Sicherheitsexperten bestens gerüstet, um Azure DDoS Protection Standard zu konfigurieren, zu validieren und zu verwalten und so den Sicherheitsstatus und die Ausfallsicherheit ihrer Cloud-Anwendungen zu stärken.

Referenzen:

[1] Microsoft Learn. Pro-ÜbersichtAzure DDoS-Schutz. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Learn. Arten von DDoS-Angriffen. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Learn. Vergleich der Azure DDoS Protection-Schichten. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn. DDoS-Schutz-Referenzarchitekturen. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures