Implémentation de la norme Azure DDoS Protection pour la résilience des applications

Implémentation de la norme Azure DDoS Protection pour la résilience des applications

14/09/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre et la configuration d’Azure DDoS Protection Standard afin de garantir la résilience des applications hébergées sur Azure. Les attaques par déni de service distribué (DDoS) constituent l'une des plus grandes menaces pour la disponibilité des services en ligne. Azure DDoS Protection Standard fournit des fonctionnalités avancées d’atténuation des attaques DDoS, protégeant les ressources Azure contre les attaques volumétriques, de protocole et de couche d’application, garantissant ainsi la continuité des activités et l’expérience utilisateur [1].

Présentation

Dans le paysage numérique actuel, la disponibilité des applications et des services est aussi critique que leur sécurité et leur intégrité. Les attaques DDoS visent à surcharger les ressources d'un service, le rendant indisponible aux utilisateurs légitimes. De telles attaques peuvent entraîner des pertes financières importantes, nuire à la réputation et perturber les opérations critiques. Azure DDoS Protection Standard est une solution native Azure qui offre une protection complète contre ces attaques, en utilisant un réseau mondial d'atténuation et des algorithmes de détection basés sur l'apprentissage automatique pour identifier et détourner le trafic malveillant avant qu'il n'atteigne vos ressources [2].

Ce guide pratique couvrira la création d'un plan de protection DDoS, permettant la protection des réseaux virtuels et des adresses IP publiques, l'intégration à d'autres services Azure comme Azure Web Application Firewall (WAF) et Azure Firewall, et la validation de la protection via des simulations d'attaques. Des instructions étape par étape et des exemples de commandes Azure CLI seront fournis afin que le lecteur puisse mettre en œuvre et tester une défense robuste contre les attaques DDoS, renforçant ainsi la résilience de ses applications et infrastructures cloud.

Pourquoi Azure DDoS Protection Standard est-il crucial ?

  • Atténuation complète : protège contre les attaques volumétriques (par exemple, les inondations UDP, SYN), les attaques de protocole (par exemple, les inondations SYN-ACK, la fragmentation IP) et les attaques de la couche application (par exemple, les inondations HTTP) [3].
  • Détection et adaptation automatiques : utilise des algorithmes d'apprentissage automatique pour détecter les attaques en temps réel et ajuster les politiques d'atténuation sans intervention manuelle.
  • Échelle mondiale : exploite l'échelle mondiale du réseau Azure pour absorber et détourner de gros volumes de trafic d'attaque.
  • Télémétrie détaillée : fournit une télémétrie riche, des journaux d'atténuation et des métriques d'attaque dans Azure Monitor à des fins d'analyse et d'investigation.
  • Intégration native : s'intègre de manière transparente à d'autres services de sécurité Azure, tels que le pare-feu Azure et Azure WAF, pour une défense en profondeur.
  • Garantie des coûts : offre une protection des coûts pour les ressources mises à l'échelle lors d'une attaque DDoS, couvrant les crédits pour les ressources qui seraient mises à l'échelle pour absorber l'attaque.

Prérequis

Pour implémenter Azure DDoS Protection Standard, vous aurez besoin des éléments suivants :

  1. Abonnement Azure actif : un abonnement Azure pour créer et gérer des ressources.
  2. Accès administrateur : un compte avec le rôle de « Propriétaire » ou « Contributeur » dans l'abonnement Azure, ou dans le groupe de ressources où se trouvent les réseaux virtuels et les adresses IP publiques.
  3. Réseaux virtuels (VNets) : les réseaux virtuels qui hébergent les ressources que vous souhaitez protéger (par exemple, les machines virtuelles, les équilibreurs de charge, les passerelles d'applications).
  4. Adresses IP publiques : ressources dotées d'adresses IP publiques (par exemple, machines virtuelles avec adresse IP publique, équilibreurs de charge publics, passerelles d'applications) qui seront la cible potentielle d'attaques DDoS.
  5. Azure CLI ou Azure PowerShell : outils de ligne de commande installés et configurés pour interagir avec Azure.

Étape par étape : implémentation de la norme Azure DDoS Protection

Configurons Azure DDoS Protection Standard pour protéger vos ressources.

1. Création d'un plan de protection DDoS

La première étape consiste à créer un plan de protection DDoS. Ce plan est une ressource globale que vous pouvez lier à plusieurs réseaux virtuels dans différentes régions et abonnements.

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le champ de recherche supérieur, tapez « Plans de protection DDoS » et sélectionnez-le dans les résultats.
  4. Cliquez sur « + Créer ».
  5. Remplissez les détails du plan :
    • Signature : SiSélectionnez votre abonnement Azure.
    • Groupe de ressources : créez un nouveau groupe de ressources (par exemple RG-DDoS-Protection) ou sélectionnez-en un existant.
    • Nom : Donnez un nom à votre plan (ex : DDoS-Plan-Artigos).
    • Région : Sélectionnez la région dans laquelle vous souhaitez que le plan soit géré (n'affecte pas la protection globale).
  6. Cliquez sur « Réviser + créer », puis sur « Créer ».

2. Activation de la protection DDoS pour un réseau virtuel

Après avoir créé le plan de protection DDoS, vous devez le lier aux réseaux virtuels contenant les ressources que vous souhaitez protéger.

  1. Dans le portail Azure, accédez au réseau virtuel que vous souhaitez protéger (ex : « VNet-Hub » créé dans l'article Pare-feu Azure).
  2. Dans le volet de navigation de gauche du réseau virtuel, sélectionnez Protection DDoS.
  3. Sous « Plan de protection DDoS », sélectionnez le plan que vous avez créé (ex : « DDoS-Plan-Artigos »).

  4. Cliquez sur « Enregistrer ».

    • Commande Azure CLI pour activer la protection DDoS sur un réseau virtuel : ```bash # Obtenez l'ID du plan DDoS DDP_PLAN_ID=$(az network ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Mettre à jour le VNet pour utiliser le plan DDoS

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Sécuriser les adresses IP publiques

Lorsqu'un réseau virtuel est activé pour la norme de protection DDoS, toutes les ressources possédant des adresses IP publiques au sein de ce réseau virtuel (par exemple, les machines virtuelles IP publiques, les équilibreurs de charge publics, les passerelles d'application) sont automatiquement protégées. Il n'est pas nécessaire de configurer la protection individuellement pour chaque adresse IP publique.

  • Vérification : pour confirmer qu'une adresse IP publique est protégée, vous pouvez accéder à la ressource IP publique dans le portail Azure. Dans la section « Présentation », vous verrez le « Plan de protection DDoS » associé.

4. Intégration avec Azure Web Application Firewall (WAF) et Azure Firewall

Pour une défense en profondeur, il est recommandé de combiner Azure DDoS Protection Standard avec d’autres solutions de sécurité réseau.

  • Azure Web Application Firewall (WAF) : WAF protège les applications Web contre les attaques Web courantes (par exemple, injection SQL, scripts intersites) que la protection DDoS ne couvre pas. Déployez WAF devant vos applications Web (par exemple avec Azure Application Gateway ou Azure Front Door). Le standard de protection DDoS protège la couche réseau du WAF, tandis que le WAF protège la couche application [4].

  • Pare-feu Azure : le pare-feu Azure fournit un filtrage du trafic réseau et applicatif, des informations sur les menaces et un IDPS. Lorsqu'il est utilisé conjointement avec la norme de protection DDoS, le pare-feu peut inspecter le trafic légitime après l'atténuation des attaques DDoS, ajoutant ainsi une couche de sécurité supplémentaire.

Validation et tests

La validation de l’efficacité d’Azure DDoS Protection Standard est cruciale. Cependant, n'effectuez jamais d'attaque DDoS réelle contre vos propres ressources sans l'autorisation explicite de Microsoft. Microsoft propose un programme de tests de simulation DDoS aux clients.

1. Vérification de la télémétrie de la protection DDoS

Lors d’une attaque (ou simulation), Azure DDoS Protection Standard fournit des métriques détaillées dans Azure Monitor.

  1. Dans le portail Azure, accédez à votre plan de protection DDoS (ex : « DDoS-Plan-Artigos »).
  2. Dans le volet de navigation de gauche, sélectionnez Metrics.
  3. Vous pouvez afficher des métriques telles que :
    • « Trafic d'attaque DDoS (entrant) » : trafic d'attaque entrant.
    • Paquets d'attaque DDoS (entrants) : paquets d'attaque entrants.
    • Octets d'attaque DDoS (entrants) : octets d'attaque entrants.
    • « Attaque DDoS abandonnée de paquets (entrants) » : paquets d'attaque abandonnés.

2. Configuration des alertes pour les attaques DDoS

Il est essentiel de mettre en place des alertes pour être averti lorsqu'une attaque DDoS est en cours.

  1. Dans le portail Azure, accédez à votre plan de protection DDoS.
  2. Dans le volet de navigation de gauche, sélectionnez Alertes.
  3. Cliquez sur « + Créer une règle d'alerte ».
  4. Configurez la condition de l'alerte, en utilisant des métriques telles que « Sous attaque DDoS ou non » (la valeur 1 indique une attaque, 0 indique un état normal) ou « Trafic d'attaque DDoS (entrant) ».
  5. Configurez les actions d'alerte (par exemple, envoyer un e-mail, un SMS, un webhook, déclencher une fonction Azure ou une application logique).

3. Réalisation d'une simulation d'attaque DDoS (avec des partenaires agréés)

Microsoft collabore avec un partenaireCapacités de test DDoS pour permettre aux clients de simuler des attaques de manière contrôlée et sécurisée contre leurs ressources protégées par Azure DDoS Protection Standard. N'essayez jamais de simuler une attaque DDoS par vous-même sans l'approbation et la coordination de Microsoft et d'un partenaire agréé.

  1. Contactez un partenaire de test DDoS approuvé par Microsoft : des sociétés comme BreakingPoint (Keysight) ou Radware proposent des services de simulation DDoS.
  2. Coordonner avec Microsoft : Informez Microsoft du test prévu pour empêcher l'atténuation automatique d'Azure d'interpréter le test comme une véritable attaque et de prendre des mesures inattendues.
  3. Surveiller pendant les tests : pendant la simulation, surveillez les métriques de protection DDoS dans Azure Monitor pour observer l'atténuation en action et vérifier la résilience de votre application.

Conseils de sécurité et bonnes pratiques

  • Conception d'application robuste : Azure DDoS Protection Standard est plus efficace lorsqu'il est associé à une conception d'application robuste et résiliente. Cela inclut des architectures évolutives, l'équilibrage de charge, la mise en cache et la tolérance aux pannes.
  • Défense en profondeur : ne comptez pas uniquement sur la protection DDoS. Combinez-le avec d’autres solutions de sécurité comme Azure Firewall, Azure WAF et NSG pour créer une stratégie de défense en profondeur.
  • Optimisation des coûts : le plan Standard protège toutes les ressources IP publiques dans les réseaux virtuels liés. Envisagez de regrouper les ressources dans des réseaux virtuels protégés pour optimiser les coûts.
  • Surveillance active : configurez les alertes dans Azure Monitor pour les attaques DDoS et surveillez activement la télémétrie pour comprendre le comportement des attaques et l'efficacité de l'atténuation.
  • Tests réguliers : effectuez régulièrement des simulations d'attaques DDoS avec des partenaires agréés pour valider l'efficacité de votre protection et identifier les éventuelles lacunes.
  • Protection DNS : envisagez d'utiliser Azure DNS avec une protection DDoS intégrée pour protéger vos serveurs DNS contre les attaques.
  • Protection de la couche d'application : pour les applications Web, utilisez Azure WAF pour vous protéger contre les attaques de couche 7, que la norme de protection DDoS ne traite pas directement.
  • Limitation de débit : implémentez une limitation de débit sur vos passerelles d'applications ou vos proxys inverses pour atténuer les attaques de couche d'application à faible volume.

Dépannage courant

  • Protection DDoS non activée : Vérifiez que le plan de protection DDoS a été créé et que le réseau virtuel y est lié. Confirmez que les ressources que vous espérez protéger ont des adresses IP publiques.
  • Attaque DDoS non détectée : Vérifiez que le trafic d'attaque est réellement dirigé vers les adresses IP publiques protégées. Assurez-vous que les métriques de télémétrie sont collectées dans Azure Monitor. Il peut y avoir un léger retard dans la détection des attaques à faible volume.
  • Application toujours affectée lors d'une attaque : cela peut indiquer que l'attaque n'est pas purement DDoS (par exemple, une attaque de couche application nécessitant WAF) ou que l'application elle-même n'est pas suffisamment résiliente. Examiner la conception de l'application et l'intégration du WAF.
  • Alertes DDoS non reçues : vérifiez les règles d'alerte configurées dans Azure Monitor. Assurez-vous que les actions de notification sont correctement configurées et que les destinataires reçoivent les notifications.
  • Problèmes de performances après l'activation : DDoS Protection Standard est un service réseau et ne provoque généralement pas de problèmes de performances. En cas de lenteur, étudiez d'autres composants de votre architecture (par exemple, machines virtuelles, équilibreurs de charge, pare-feu, WAF).

Conclusion

Azure DDoS Protection Standard est un service essentiel pour toute organisation cherchant à protéger ses applications et services contre la menace croissante des attaques DDoS. En fournissant une atténuation automatique, évolutive et complète, il garantit la disponibilité et la résilience des ressources Azure. La mise en œuvre efficace de la norme de protection DDoS, combinée à une conception d'application robuste, à une défense en profondeur avec d'autres solutions de sécurité et à une surveillance continue, permet aux organisations de maintenir la continuité de leurs activités et de protéger l'expérience utilisateur. Avec ce guide pratique, les professionnels de la sécurité seront bien équipés pour configurer, valider et gérer Azure DDoS Protection Standard, renforçant ainsi la posture de sécurité et la résilience de leurs applications cloud.

Références :

[1] Microsoft Apprendre. Aperçu professionnelProtection Azure DDoS. Disponible sur : https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Apprendre. Types d'attaques DDoS. Disponible sur : https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Apprendre. Comparaison des couches de protection Azure DDoS. Disponible sur : https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Apprendre. Archites de référence pour la protection DDoS. Disponible sur : https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures