एप्लिकेशन लचीलेपन के लिए Azure DDoS सुरक्षा मानक लागू करना

एप्लिकेशन लचीलेपन के लिए Azure DDoS सुरक्षा मानक लागू करना

09/14/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Azure पर होस्ट किए गए एप्लिकेशन की लचीलापन सुनिश्चित करने के लिए Azure DDoS सुरक्षा मानक को लागू करने और कॉन्फ़िगर करने में सुरक्षा विश्लेषकों, IT प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (डीडीओएस) हमले ऑनलाइन सेवाओं की उपलब्धता के लिए सबसे बड़े खतरों में से एक हैं। Azure DDoS प्रोटेक्शन स्टैंडर्ड उन्नत DDoS हमले शमन क्षमताएं प्रदान करता है, वॉल्यूमेट्रिक, प्रोटोकॉल और एप्लिकेशन लेयर हमलों के खिलाफ Azure संसाधनों की सुरक्षा करता है, व्यापार निरंतरता और उपयोगकर्ता अनुभव सुनिश्चित करता है [1]।

परिचय

वर्तमान डिजिटल परिदृश्य में, एप्लिकेशन और सेवाओं की उपलब्धता उनकी सुरक्षा और अखंडता जितनी ही महत्वपूर्ण है। DDoS हमलों का उद्देश्य किसी सेवा के संसाधनों को अधिभारित करना है, जिससे यह वैध उपयोगकर्ताओं के लिए अनुपलब्ध हो जाता है। ऐसे हमलों के परिणामस्वरूप महत्वपूर्ण वित्तीय नुकसान, प्रतिष्ठा क्षति और महत्वपूर्ण कार्यों में व्यवधान हो सकता है। Azure DDoS प्रोटेक्शन स्टैंडर्ड एक Azure-नेटिव समाधान है जो आपके संसाधनों तक पहुंचने से पहले दुर्भावनापूर्ण ट्रैफ़िक की पहचान करने और उसे हटाने के लिए वैश्विक शमन नेटवर्क और मशीन लर्निंग-आधारित डिटेक्शन एल्गोरिदम का उपयोग करके इन हमलों के खिलाफ व्यापक सुरक्षा प्रदान करता है [2]।

यह व्यावहारिक मार्गदर्शिका DDoS सुरक्षा योजना बनाने, वर्चुअल नेटवर्क और सार्वजनिक आईपी पते के लिए सुरक्षा सक्षम करने, Azure वेब एप्लिकेशन फ़ायरवॉल (WAF) और Azure फ़ायरवॉल जैसी अन्य Azure सेवाओं के साथ एकीकृत करने और हमले सिमुलेशन के माध्यम से सुरक्षा को मान्य करने को कवर करेगी। Azure CLI कमांड के चरण-दर-चरण निर्देश और उदाहरण प्रदान किए जाएंगे ताकि पाठक अपने क्लाउड अनुप्रयोगों और बुनियादी ढांचे के लचीलेपन को मजबूत करते हुए, DDoS हमलों के खिलाफ एक मजबूत रक्षा को लागू और परीक्षण कर सकें।

Azure DDoS सुरक्षा मानक क्यों महत्वपूर्ण है?

  • व्यापक शमन: वॉल्यूमेट्रिक हमलों (जैसे यूडीपी बाढ़, एसवाईएन), प्रोटोकॉल हमलों (जैसे SYN-ACK बाढ़, आईपी विखंडन) और एप्लिकेशन परत हमलों (जैसे HTTP बाढ़) से बचाता है [3]।
  • स्वचालित जांच और अनुकूलन: वास्तविक समय में हमलों का पता लगाने और मैन्युअल हस्तक्षेप के बिना शमन नीतियों को समायोजित करने के लिए मशीन लर्निंग एल्गोरिदम का उपयोग करता है।
  • वैश्विक पैमाना: बड़ी मात्रा में आक्रमण ट्रैफ़िक को अवशोषित और विक्षेपित करने के लिए Azure नेटवर्क के वैश्विक पैमाने का लाभ उठाता है।
  • विस्तृत टेलीमेट्री: विश्लेषण और जांच के लिए एज़्योर मॉनिटर में समृद्ध टेलीमेट्री, शमन लॉग और आक्रमण मेट्रिक्स प्रदान करता है।
  • मूल एकीकरण: गहराई से रक्षा के लिए अन्य Azure सुरक्षा सेवाओं, जैसे Azure फ़ायरवॉल और Azure WAF के साथ निर्बाध रूप से एकीकृत होता है।
  • लागत गारंटी: DDoS हमले के दौरान स्केल किए गए संसाधनों के लिए लागत सुरक्षा प्रदान करता है, उन संसाधनों के क्रेडिट को कवर करता है जिन्हें हमले को अवशोषित करने के लिए स्केल किया जाएगा।

पूर्वावश्यकताएँ

Azure DDoS सुरक्षा मानक को लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. सक्रिय Azure सदस्यता: संसाधन बनाने और प्रबंधित करने के लिए एक Azure सदस्यता।
  2. प्रशासनिक पहुंच: Azure सदस्यता में, या संसाधन समूह में जहां VNets और सार्वजनिक IP स्थित हैं, मालिक या योगदानकर्ता की भूमिका वाला एक खाता।
  3. वर्चुअल नेटवर्क (वीनेट्स): वीनेट्स जो उन संसाधनों को होस्ट करते हैं जिन्हें आप सुरक्षित करना चाहते हैं (उदाहरण के लिए वीएम, लोड बैलेंसर्स, एप्लिकेशन गेटवे)।
  4. सार्वजनिक आईपी पते: सार्वजनिक आईपी पते वाले संसाधन (जैसे सार्वजनिक आईपी वाले वीएम, सार्वजनिक लोड बैलेंसर्स, एप्लिकेशन गेटवे) जो डीडीओएस हमलों का संभावित लक्ष्य होंगे।
  5. Azure CLI या Azure PowerShell: Azure के साथ इंटरैक्ट करने के लिए कमांड-लाइन टूल इंस्टॉल और कॉन्फ़िगर किया गया।

चरण दर चरण: Azure DDoS सुरक्षा मानक लागू करना

आइए आपके संसाधनों की सुरक्षा के लिए Azure DDoS सुरक्षा मानक को कॉन्फ़िगर करें।

1. DDoS सुरक्षा योजना बनाना

पहला कदम DDoS सुरक्षा योजना बनाना है। यह योजना एक वैश्विक संसाधन है जिसे आप विभिन्न क्षेत्रों और सदस्यताओं में एकाधिक VNets से लिंक कर सकते हैं।

  1. अपना ब्राउज़र खोलें और Azure पोर्टल पर जाएँ: https://portal.azure.com
  2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।
  3. शीर्ष खोज फ़ील्ड में, DDoS सुरक्षा योजनाएँ टाइप करें और परिणामों से इसे चुनें।
  4. + बनाएँ पर क्लिक करें।
  5. योजना विवरण भरें:
    • हस्ताक्षर: यदिअपनी Azure सदस्यता चुनें.
    • संसाधन समूह: एक नया संसाधन समूह बनाएं (जैसे आरजी-डीडीओएस-प्रोटेक्शन) या किसी मौजूदा का चयन करें।
    • नाम: अपनी योजना को एक नाम दें (उदाहरण: डीडीओएस-प्लान-आर्टिगोस)।
    • क्षेत्र: उस क्षेत्र का चयन करें जहां आप योजना को प्रबंधित करना चाहते हैं (वैश्विक सुरक्षा को प्रभावित नहीं करता)।
  6. समीक्षा + बनाएं पर क्लिक करें और फिर बनाएं पर क्लिक करें।

2. वर्चुअल नेटवर्क के लिए DDoS सुरक्षा सक्षम करना

DDoS सुरक्षा योजना बनाने के बाद, आपको इसे वर्चुअल नेटवर्क से लिंक करना होगा जिसमें वे संसाधन शामिल हैं जिनकी आप सुरक्षा करना चाहते हैं।

  1. Azure पोर्टल में, उस VNet पर नेविगेट करें जिसे आप सुरक्षित करना चाहते हैं (उदा: Azure फ़ायरवॉल लेख में बनाया गया VNet-Hub)।
  2. VNet के बाएँ नेविगेशन फलक में, DDoS सुरक्षा चुनें।
  3. डीडीओएस सुरक्षा योजना के तहत, आपके द्वारा बनाई गई योजना का चयन करें (उदाहरण: डीडीओएस-प्लान-आर्टिगोस)।

  4. 'सहेजें' पर क्लिक करें।

    • VNet पर DDoS सुरक्षा सक्षम करने के लिए Azure CLI कमांड: ```बैश # DDoS योजना आईडी प्राप्त करें DDP_PLAN_ID=$(az नेटवर्क ddos-प्रोटेक्शन प्लान शो --नाम DDoS-प्लान-आर्टिगोस --रिसोर्स-ग्रुप RG-DDoS-प्रोटेक्शन --क्वेरी आईडी -o tsv)

      DDoS योजना का उपयोग करने के लिए VNet को अपडेट करें

      एज़ नेटवर्क वीनेट अद्यतन --नाम वीनेट-हब --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --डीडीओएस-सुरक्षा-योजना $डीडीपी_पीएलएएन_आईडी --डीडीओएस-सुरक्षा-योजना-सक्षम सत्य ```

3. सार्वजनिक आईपी पते सुरक्षित करना

जब VNet को DDoS सुरक्षा मानक के लिए सक्षम किया जाता है, तो उस VNet के भीतर सार्वजनिक आईपी पते वाले सभी संसाधन (जैसे, सार्वजनिक आईपी वीएम, सार्वजनिक लोड बैलेंसर्स, एप्लिकेशन गेटवे) स्वचालित रूप से सुरक्षित हो जाते हैं। प्रत्येक सार्वजनिक आईपी के लिए व्यक्तिगत रूप से सुरक्षा कॉन्फ़िगर करने की आवश्यकता नहीं है।

  • सत्यापन: यह पुष्टि करने के लिए कि एक सार्वजनिक आईपी सुरक्षित है, आप Azure पोर्टल में सार्वजनिक आईपी संसाधन पर नेविगेट कर सकते हैं। अवलोकन अनुभाग में, आप संबंधित डीडीओएस सुरक्षा योजना देखेंगे।

4. Azure वेब एप्लिकेशन फ़ायरवॉल (WAF) और Azure फ़ायरवॉल के साथ एकीकरण

गहराई से सुरक्षा के लिए, Azure DDoS प्रोटेक्शन स्टैंडर्ड को अन्य नेटवर्क सुरक्षा समाधानों के साथ संयोजित करने की अनुशंसा की जाती है।

  • Azure वेब एप्लिकेशन फ़ायरवॉल (WAF): WAF वेब एप्लिकेशन को सामान्य वेब हमलों (जैसे SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग) से बचाता है जो DDoS प्रोटेक्शन में शामिल नहीं है। अपने वेब एप्लिकेशन के सामने WAF तैनात करें (उदाहरण के लिए Azure एप्लिकेशन गेटवे या Azure फ्रंट डोर के साथ)। DDoS सुरक्षा मानक WAF की नेटवर्क परत की सुरक्षा करता है, जबकि WAF एप्लिकेशन परत की सुरक्षा करता है [4]।

  • एज़्योर फ़ायरवॉल: एज़्योर फ़ायरवॉल नेटवर्क और एप्लिकेशन ट्रैफ़िक फ़िल्टरिंग, ख़तरे की जानकारी और आईडीपीएस प्रदान करता है। जब DDoS सुरक्षा मानक के साथ संयोजन में उपयोग किया जाता है, तो फ़ायरवॉल DDoS शमन के बाद सुरक्षा की एक और परत जोड़कर वैध ट्रैफ़िक का निरीक्षण कर सकता है।

सत्यापन और परीक्षण

Azure DDoS सुरक्षा मानक की प्रभावशीलता को मान्य करना महत्वपूर्ण है। हालाँकि, Microsoft की स्पष्ट अनुमति के बिना कभी भी अपने स्वयं के संसाधनों के विरुद्ध वास्तविक DDoS हमला न करें। Microsoft ग्राहकों के लिए DDoS सिमुलेशन परीक्षण कार्यक्रम प्रदान करता है।

1. DDoS सुरक्षा टेलीमेट्री की जाँच करना

किसी हमले (या सिमुलेशन) के दौरान, Azure DDoS प्रोटेक्शन स्टैंडर्ड Azure मॉनिटर में विस्तृत मेट्रिक्स प्रदान करता है।

  1. Azure पोर्टल में, अपने DDoS सुरक्षा योजना पर जाएँ (उदाहरण: DDoS-Plan-Artigos)।
  2. बाएँ नेविगेशन फलक में, मेट्रिक्स चुनें।
  3. आप मेट्रिक्स को इस प्रकार देख सकते हैं:
    • डीडीओएस अटैक ट्रैफिक (इनबाउंड): इनबाउंड अटैक ट्रैफिक।
    • डीडीओएस अटैक पैकेट्स (इनबाउंड): इनबाउंड अटैक पैकेट्स।
    • डीडीओएस अटैक बाइट्स (इनबाउंड): इनबाउंड अटैक बाइट्स।
    • DDoS हमले के पैकेट गिराए गए (इनबाउंड): हमले के पैकेट गिराए गए।

2. DDoS हमलों के लिए अलर्ट कॉन्फ़िगर करना

जब DDoS हमला चल रहा हो तो सूचित करने के लिए अलर्ट सेट करना आवश्यक है।

  1. Azure पोर्टल में, अपने DDoS सुरक्षा योजना पर जाएँ।
  2. बाएँ नेविगेशन फलक में, अलर्ट चुनें।
  3. + अलर्ट नियम बनाएं पर क्लिक करें।
  4. 'डीडीओएस हमले के तहत या नहीं' (मान 1 हमले को इंगित करता है, 0 सामान्य को इंगित करता है) या 'डीडीओएस हमले के ट्रैफिक (इनबाउंड)' जैसे मेट्रिक्स का उपयोग करके अलर्ट के लिए स्थिति कॉन्फ़िगर करें।
  5. अलर्ट क्रियाओं को कॉन्फ़िगर करें (उदाहरण के लिए ईमेल, एसएमएस, वेबहुक भेजें, एज़्योर फ़ंक्शन या लॉजिक ऐप ट्रिगर करें)।

3. DDoS अटैक सिमुलेशन का संचालन करना (अनुमोदित भागीदारों के साथ)

माइक्रोसॉफ्ट पार्टनर के साथ सहयोग करता हैDDoS परीक्षण क्षमताएं ग्राहकों को Azure DDoS सुरक्षा मानक द्वारा संरक्षित उनके संसाधनों के विरुद्ध नियंत्रित और सुरक्षित तरीके से हमलों का अनुकरण करने में सक्षम बनाती हैं। माइक्रोसॉफ्ट और किसी स्वीकृत भागीदार की मंजूरी और समन्वय के बिना कभी भी अपने आप पर DDoS हमले का अनुकरण करने का प्रयास न करें।

  1. माइक्रोसॉफ्ट द्वारा अनुमोदित DDoS परीक्षण भागीदार से संपर्क करें: ब्रेकिंगप्वाइंट (कीसाइट) या रेडवेयर जैसी कंपनियां DDoS सिमुलेशन सेवाएं प्रदान करती हैं।
  2. माइक्रोसॉफ्ट के साथ समन्वय: Azure स्वचालित शमन को परीक्षण को वास्तविक हमले के रूप में समझने और अप्रत्याशित कार्रवाई करने से रोकने के लिए नियोजित परीक्षण के बारे में Microsoft को सूचित करें।
  3. परीक्षण के दौरान मॉनिटर करें: सिमुलेशन के दौरान, कार्रवाई में कमी देखने और अपने एप्लिकेशन की लचीलेपन को सत्यापित करने के लिए Azure मॉनिटर में DDoS सुरक्षा मेट्रिक्स की निगरानी करें।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • मजबूत एप्लिकेशन डिज़ाइन: Azure DDoS प्रोटेक्शन स्टैंडर्ड एक मजबूत और लचीले एप्लिकेशन डिज़ाइन के साथ संयुक्त होने पर सबसे प्रभावी होता है। इसमें स्केलेबल आर्किटेक्चर, लोड बैलेंसिंग, कैशिंग और फॉल्ट टॉलरेंस शामिल हैं।
  • गहराई में रक्षा: केवल DDoS सुरक्षा पर निर्भर न रहें। एक गहन रक्षा रणनीति बनाने के लिए इसे Azure फ़ायरवॉल, Azure WAF और NSG जैसे अन्य सुरक्षा समाधानों के साथ संयोजित करें।
  • लागत अनुकूलन: मानक योजना लिंक किए गए वीनेट्स में सभी सार्वजनिक आईपी संसाधनों की सुरक्षा करती है। लागतों को अनुकूलित करने के लिए संसाधनों को संरक्षित वीनेट्स में समूहीकृत करने पर विचार करें।
  • सक्रिय निगरानी: DDoS हमलों के लिए एज़्योर मॉनिटर में अलर्ट कॉन्फ़िगर करें और हमले के व्यवहार और शमन प्रभावशीलता को समझने के लिए सक्रिय रूप से टेलीमेट्री की निगरानी करें।
  • नियमित परीक्षण: अपनी सुरक्षा की प्रभावशीलता को मान्य करने और किसी भी अंतराल की पहचान करने के लिए अनुमोदित भागीदारों के साथ नियमित रूप से DDoS हमले सिमुलेशन का संचालन करें।
  • DNS सुरक्षा: अपने DNS सर्वरों को हमलों से बचाने के लिए अंतर्निहित DDoS सुरक्षा के साथ Azure DNS का उपयोग करने पर विचार करें।
  • एप्लिकेशन लेयर प्रोटेक्शन: वेब एप्लिकेशन के लिए, लेयर 7 हमलों से बचाने के लिए Azure WAF का उपयोग करें, जिसे DDoS प्रोटेक्शन स्टैंडर्ड सीधे संबोधित नहीं करता है।
  • दर सीमा: कम मात्रा वाले अनुप्रयोग परत हमलों को कम करने के लिए अपने एप्लिकेशन गेटवे या रिवर्स प्रॉक्सी पर दर सीमित लागू करें।

सामान्य समस्या निवारण

  • DDoS सुरक्षा सक्षम नहीं: सत्यापित करें कि DDoS सुरक्षा योजना बनाई गई है और VNet इससे जुड़ा हुआ है। पुष्टि करें कि जिन संसाधनों की आप सुरक्षा करना चाहते हैं उनके सार्वजनिक आईपी पते हैं।
  • DDoS हमले का पता नहीं चला: सत्यापित करें कि हमला ट्रैफ़िक वास्तव में संरक्षित सार्वजनिक आईपी को निर्देशित किया गया है। सुनिश्चित करें कि टेलीमेट्री मेट्रिक्स Azure मॉनिटर में एकत्र किए जा रहे हैं। कम मात्रा वाले हमलों का पता लगाने में थोड़ी देरी हो सकती है।
  • किसी हमले के दौरान एप्लिकेशन अभी भी प्रभावित होता है: यह संकेत दे सकता है कि हमला पूरी तरह से DDoS नहीं है (उदाहरण के लिए एप्लिकेशन लेयर अटैक जिसके लिए WAF की आवश्यकता होती है) या एप्लिकेशन स्वयं पर्याप्त लचीला नहीं है। एप्लिकेशन डिज़ाइन और WAF एकीकरण की समीक्षा करें।
  • DDoS अलर्ट प्राप्त नहीं हुए: Azure मॉनिटर में कॉन्फ़िगर किए गए अलर्ट नियमों की जाँच करें। सुनिश्चित करें कि अधिसूचना क्रियाएँ सही ढंग से कॉन्फ़िगर की गई हैं और प्राप्तकर्ताओं को सूचनाएं प्राप्त हो रही हैं।
  • सक्रियण के बाद प्रदर्शन संबंधी समस्याएं: DDoS प्रोटेक्शन स्टैंडर्ड एक नेटवर्क सेवा है और आम तौर पर प्रदर्शन संबंधी समस्याएं पैदा नहीं होती हैं। यदि धीमापन है, तो अपने आर्किटेक्चर के अन्य घटकों (जैसे वीएम, लोड बैलेंसर्स, फ़ायरवॉल, डब्ल्यूएएफ) की जांच करें।

निष्कर्ष

Azure DDoS प्रोटेक्शन स्टैंडर्ड किसी भी संगठन के लिए एक महत्वपूर्ण सेवा है जो DDoS हमलों के बढ़ते खतरे के खिलाफ अपने अनुप्रयोगों और सेवाओं की सुरक्षा करना चाहता है। स्वचालित, स्केलेबल और व्यापक शमन प्रदान करके, यह Azure संसाधनों की उपलब्धता और लचीलापन सुनिश्चित करता है। DDoS सुरक्षा मानक का प्रभावी कार्यान्वयन, मजबूत एप्लिकेशन डिज़ाइन, अन्य सुरक्षा समाधानों के साथ गहराई से रक्षा और निरंतर निगरानी के साथ, संगठनों को व्यवसाय की निरंतरता बनाए रखने और उपयोगकर्ता अनुभव की सुरक्षा करने में सक्षम बनाता है। इस व्यावहारिक मार्गदर्शिका के साथ, सुरक्षा पेशेवर Azure DDoS सुरक्षा मानक को कॉन्फ़िगर करने, मान्य करने और प्रबंधित करने, अपने क्लाउड अनुप्रयोगों की सुरक्षा स्थिति और लचीलेपन को मजबूत करने के लिए अच्छी तरह से सुसज्जित होंगे।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। प्रो सिंहावलोकनAzure DDoS सुरक्षा। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] माइक्रोसॉफ्ट लर्न। DDoS हमलों के प्रकार. यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] माइक्रोसॉफ्ट लर्न। Azure DDoS सुरक्षा परत तुलना। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] माइक्रोसॉफ्ट लर्न। डीडीओएस सुरक्षा संदर्भ आर्किटेक्चर। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures