Implementazione dello standard di protezione DDoS di Azure per la resilienza delle applicazioni

Implementazione dello standard di protezione DDoS di Azure per la resilienza delle applicazioni

14/09/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nella configurazione di Azure DDoS Protection Standard per garantire la resilienza delle applicazioni ospitate su Azure. Gli attacchi Distributed Denial of Service (DDoS) rappresentano una delle maggiori minacce alla disponibilità dei servizi online. Azure DDoS Protection Standard offre funzionalità avanzate di mitigazione degli attacchi DDoS, proteggendo le risorse di Azure da attacchi volumetrici, di protocollo e a livello di applicazione, garantendo la continuità aziendale e l'esperienza utente [1].

Introduzione

Nell’attuale panorama digitale, la disponibilità di applicazioni e servizi è fondamentale quanto la loro sicurezza e integrità. Gli attacchi DDoS mirano a sovraccaricare le risorse di un servizio, rendendolo indisponibile agli utenti legittimi. Tali attacchi possono comportare perdite finanziarie significative, danni alla reputazione e interruzione delle operazioni critiche. Azure DDoS Protection Standard è una soluzione nativa di Azure che fornisce una protezione completa contro questi attacchi, utilizzando una rete di mitigazione globale e algoritmi di rilevamento basati sul machine learning per identificare e deviare il traffico dannoso prima che raggiunga le tue risorse [2].

Questa guida pratica riguarderà la creazione di un piano di protezione DDoS, l'abilitazione della protezione per reti virtuali e indirizzi IP pubblici, l'integrazione con altri servizi di Azure come Azure Web Application Firewall (WAF) e Azure Firewall e la convalida della protezione tramite simulazioni di attacco. Verranno fornite istruzioni dettagliate ed esempi di comandi dell'interfaccia della riga di comando di Azure in modo che il lettore possa implementare e testare una solida difesa contro gli attacchi DDoS, rafforzando la resilienza delle applicazioni e dell'infrastruttura cloud.

Perché la protezione DDoS di Azure standard è fondamentale?

  • Mitigazione completa: protegge da attacchi volumetrici (ad esempio inondazioni UDP, SYN), attacchi di protocollo (ad esempio inondazioni SYN-ACK, frammentazione IP) e attacchi a livello di applicazione (ad esempio inondazioni HTTP) [3].
  • Rilevamento e adattamento automatici: utilizza algoritmi di machine learning per rilevare gli attacchi in tempo reale e adattare le policy di mitigazione senza intervento manuale.
  • Scala globale: sfrutta la scala globale della rete di Azure per assorbire e deviare grandi volumi di traffico di attacchi.
  • Telemetria dettagliata: fornisce telemetria completa, log di mitigazione e metriche di attacco in Monitoraggio di Azure per analisi e indagini.
  • Integrazione nativa: si integra perfettamente con altri servizi di sicurezza di Azure, come Firewall di Azure e Azure WAF, per una difesa approfondita.
  • Garanzia sui costi: fornisce protezione dei costi per le risorse ridimensionate durante un attacco DDoS, coprendo i crediti per le risorse che verrebbero ridimensionate per assorbire l'attacco.

Prerequisiti

Per implementare Azure DDoS Protection Standard, saranno necessari i seguenti elementi:

  1. Abbonamento Azure attivo: un abbonamento Azure per creare e gestire risorse.
  2. Accesso amministrativo: un account con il ruolo di "Proprietario" o "Collaboratore" nella sottoscrizione di Azure o nel gruppo di risorse in cui si trovano le reti virtuali e gli IP pubblici.
  3. Reti virtuali (Reti virtuali): le reti virtuali che ospitano le risorse che si desidera proteggere (ad esempio VM, bilanciatori di carico, gateway applicativi).
  4. Indirizzi IP pubblici: risorse con indirizzi IP pubblici (ad esempio VM con IP pubblico, bilanciatori di carico pubblici, gateway applicativi) che saranno il potenziale bersaglio di attacchi DDoS.
  5. CLI di Azure o Azure PowerShell: strumenti da riga di comando installati e configurati per interagire con Azure.

Passo dopo passo: implementazione della protezione DDoS di Azure standard

Configuriamo Azure DDoS Protection Standard per proteggere le tue risorse.

1. Creazione di un piano di protezione DDoS

Il primo passo è creare un piano di protezione DDoS. Questo piano è una risorsa globale che è possibile collegare a più reti virtuali in aree e sottoscrizioni diverse.

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Piani di protezione DDoS" e selezionalo dai risultati.
  4. Fare clic su "+ Crea".
  5. Compila i dettagli del piano:
    • Firma: SeSeleziona la tua sottoscrizione di Azure.
    • Gruppo di risorse: crea un nuovo gruppo di risorse (ad esempio RG-DDoS-Protection) o selezionane uno esistente.
    • Nome: dai un nome al tuo piano (es: DDoS-Plan-Artigos).
    • Regione: seleziona la regione in cui desideri che venga gestito il piano (non influisce sulla protezione globale).
  6. Fare clic su "Rivedi + crea" e poi su "Crea".

2. Abilitazione della protezione DDoS per una rete virtuale

Dopo aver creato il piano di protezione DDoS è necessario collegarlo alle reti virtuali che contengono le risorse che si desidera proteggere.

  1. Nel portale di Azure accedere alla rete virtuale che si desidera proteggere (ad esempio: "VNet-Hub" creato nell'articolo Firewall di Azure).
  2. Nel riquadro di spostamento sinistro della rete virtuale selezionare Protezione DDoS.
  3. In "Piano di protezione DDoS", seleziona il piano che hai creato (es: "DDoS-Plan-Artigos").

  4. Fare clic su "Salva".

    • Comando della CLI di Azure per abilitare la protezione DDoS su una rete virtuale: "bash." # Ottieni l'ID del piano DDoS DDP_PLAN_ID=$(az network DDoS-Protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Aggiorna la rete virtuale per utilizzare il piano DDoS

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Protezione degli indirizzi IP pubblici

Quando una rete virtuale è abilitata per la protezione DDoS Standard, tutte le risorse con indirizzi IP pubblici all'interno di tale rete virtuale (ad esempio, macchine virtuali con IP pubblico, servizi di bilanciamento del carico pubblici e gateway applicazione) vengono protette automaticamente. Non è necessario configurare la protezione individualmente per ciascun IP pubblico.

  • Verifica: per confermare che un IP pubblico è protetto, è possibile accedere alla risorsa IP pubblico nel portale di Azure. Nella sezione "Panoramica" vedrai il "Piano di protezione DDoS" associato.

4. Integrazione con Azure Web Application Firewall (WAF) e Azure Firewall

Per una difesa approfondita, è consigliabile combinare Azure DDoS Protection Standard con altre soluzioni di sicurezza di rete.

  • Azure Web Application Firewall (WAF): WAF protegge le applicazioni Web dagli attacchi Web comuni (ad esempio SQL injection, cross-site scripting) che la protezione DDoS non copre. Distribuisci WAF davanti alle tue applicazioni Web (ad esempio con il gateway applicazione di Azure o la porta anteriore di Azure). Lo standard di protezione DDoS protegge il livello di rete del WAF, mentre il WAF protegge il livello dell'applicazione [4].

  • Firewall di Azure: Firewall di Azure fornisce filtraggio del traffico di rete e delle applicazioni, intelligence sulle minacce e IDPS. Se utilizzato insieme a DDoS Protection Standard, Firewall può ispezionare il traffico legittimo dopo la mitigazione degli DDoS, aggiungendo un ulteriore livello di sicurezza.

Convalida e test

La convalida dell'efficacia dello standard di protezione DDoS di Azure è fondamentale. Tuttavia, non eseguire mai un vero e proprio attacco DDoS contro le tue risorse senza l'autorizzazione esplicita di Microsoft. Microsoft offre ai clienti un programma di test di simulazione DDoS.

1. Controllo della telemetria della protezione DDoS

Durante un attacco (o una simulazione), Protezione DDoS di Azure standard fornisce metriche dettagliate in Monitoraggio di Azure.

  1. Nel portale di Azure, vai al tuo piano di protezione DDoS (es: DDoS-Plan-Artigos).
  2. Nel riquadro di navigazione a sinistra, seleziona Metriche.
  3. Puoi visualizzare metriche come:
    • "Traffico di attacco DDoS (in entrata)": traffico di attacco in entrata.
    • Pacchetti di attacco DDoS (in entrata): pacchetti di attacco in entrata.
    • Byte di attacco DDoS (in entrata): byte di attacco in entrata.
    • Pacchetti attacco DDoS rilasciati (in entrata): pacchetti di attacco rilasciati.

2. Configurazione degli avvisi per attacchi DDoS

È fondamentale impostare degli alert per essere avvisati quando è in corso un attacco DDoS.

  1. Nel portale di Azure passare al piano di protezione DDoS.
  2. Nel riquadro di navigazione a sinistra, seleziona Avvisi.
  3. Fare clic su "+ Crea regola di avviso".
  4. Configura la condizione per l'avviso, utilizzando metriche come "Sotto attacco DDoS o no" (il valore 1 indica attacco, 0 indica normale) o "Traffico di attacco DDoS (in entrata)".
  5. Configurare le azioni di avviso (ad esempio inviare posta elettronica, SMS, webhook, attivare una funzione di Azure o un'app per la logica).

3. Condurre una simulazione di attacco DDoS (con partner approvati)

Microsoft collabora con il partnerFunzionalità di test DDoS per consentire ai clienti di simulare attacchi in modo controllato e sicuro contro le proprie risorse protette da Azure DDoS Protection Standard. Non tentare mai di simulare un attacco DDoS da soli senza l'approvazione e il coordinamento di Microsoft e di un partner approvato.

  1. Contatta un partner di test DDoS approvato da Microsoft: aziende come BreakingPoint (Keysight) o Radware offrono servizi di simulazione DDoS.
  2. Coordinarsi con Microsoft: informare Microsoft del test pianificato per evitare che la mitigazione automatica di Azure interpreti il ​​test come un attacco reale e intraprenda azioni impreviste.
  3. Monitoraggio durante i test: durante la simulazione, monitorare i parametri di protezione DDoS in Monitoraggio di Azure per osservare la mitigazione in azione e verificare la resilienza dell'applicazione.

Suggerimenti e best practice per la sicurezza

  • Progettazione robusta dell'applicazione: Protezione DDoS di Azure Standard è più efficace se combinata con una progettazione dell'applicazione solida e resiliente. Ciò include architetture scalabili, bilanciamento del carico, memorizzazione nella cache e tolleranza agli errori.
  • Difesa approfondita: non affidarti solo alla protezione DDoS. Combinalo con altre soluzioni di sicurezza come Azure Firewall, Azure WAF e NSG per creare una strategia di difesa approfondita.
  • Ottimizzazione dei costi: il piano Standard protegge tutte le risorse IP pubbliche nelle reti virtuali collegate. Valutare la possibilità di raggruppare le risorse in reti virtuali protette per ottimizzare i costi.
  • Monitoraggio attivo: configura gli avvisi in Monitoraggio di Azure per gli attacchi DDoS e monitora attivamente la telemetria per comprendere il comportamento degli attacchi e l'efficacia della mitigazione.
  • Test regolari: esegui regolarmente simulazioni di attacchi DDoS con partner approvati per convalidare l'efficacia della tua protezione e identificare eventuali lacune.
  • Protezione DNS: valuta la possibilità di usare DNS di Azure con protezione DDoS integrata per proteggere i server DNS dagli attacchi.
  • Protezione a livello dell'applicazione: per le applicazioni Web, utilizzare Azure WAF per proteggersi dagli attacchi di livello 7, che lo standard di protezione DDoS non affronta direttamente.
  • Limitazione della velocità: implementa la limitazione della velocità sui gateway applicazione o sui proxy inversi per mitigare gli attacchi a livello di applicazione a basso volume.

Risoluzione dei problemi comuni

  • Protezione DDoS non abilitata: verificare che il piano di protezione DDoS sia stato creato e che la rete virtuale sia collegata ad esso. Conferma che le risorse che speri di proteggere abbiano indirizzi IP pubblici.
  • Attacco DDoS non rilevato: Verificare che il traffico dell'attacco sia effettivamente diretto agli IP pubblici protetti. Assicurarsi che le metriche di telemetria vengano raccolte in Monitoraggio di Azure. Potrebbe verificarsi un leggero ritardo nel rilevamento degli attacchi a basso volume.
  • Applicazione ancora interessata durante un attacco: ciò potrebbe indicare che l'attacco non è puramente DDoS (ad esempio un attacco a livello di applicazione che necessita di WAF) o che l'applicazione stessa non è sufficientemente resiliente. Esaminare la progettazione dell'applicazione e l'integrazione WAF.
  • Avvisi DDoS non ricevuti: controllare le regole di avviso configurate in Monitoraggio di Azure. Assicurati che le azioni di notifica siano configurate correttamente e che i destinatari ricevano le notifiche.
  • Problemi di prestazioni dopo l'attivazione: Protezione DDoS Standard è un servizio di rete e generalmente non causa problemi di prestazioni. In caso di lentezza, esamina altri componenti della tua architettura (ad esempio VM, bilanciatori di carico, firewall, WAF).

Conclusione

Azure DDoS Protection Standard è un servizio fondamentale per qualsiasi organizzazione che desidera proteggere le proprie applicazioni e servizi dalla crescente minaccia degli attacchi DDoS. Fornendo una mitigazione automatica, scalabile e completa, garantisce la disponibilità e la resilienza delle risorse di Azure. L'implementazione efficace dello standard di protezione DDoS, combinata con una solida progettazione delle applicazioni, una difesa approfondita con altre soluzioni di sicurezza e un monitoraggio continuo, consente alle organizzazioni di mantenere la continuità aziendale e proteggere l'esperienza dell'utente. Con questa guida pratica, i professionisti della sicurezza saranno ben attrezzati per configurare, convalidare e gestire Azure DDoS Protection Standard, rafforzando il livello di sicurezza e la resilienza delle loro applicazioni cloud.

Riferimenti:

[1]Microsoft Learn. Panoramica professionaleProtezione DDoS di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2]Microsoft Learn. Tipi di attacchi DDoS. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3]Microsoft Learn. Confronto dei livelli di protezione DDoS di Azure. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4]Microsoft Learn. Architetture di riferimento per la protezione DDoS. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures