Implementatie van Azure DDoS Protection Standard voor applicatieveerkracht

Implementatie van Azure DDoS Protection Standard voor applicatieveerkracht

14/09/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en configureren van Azure DDoS Protection Standard om de veerkracht van toepassingen die op Azure worden gehost te garanderen. Distributed Denial of Service (DDoS)-aanvallen vormen een van de grootste bedreigingen voor de beschikbaarheid van onlinediensten. Azure DDoS Protection Standard biedt geavanceerde mogelijkheden voor het beperken van DDoS-aanvallen, waardoor Azure-resources worden beschermd tegen volumetrische, protocol- en applicatielaagaanvallen, waardoor bedrijfscontinuïteit en gebruikerservaring worden gegarandeerd [1].

Introductie

In het huidige digitale landschap is de beschikbaarheid van applicaties en diensten net zo cruciaal als de veiligheid en integriteit ervan. DDoS-aanvallen zijn bedoeld om de bronnen van een dienst te overbelasten, waardoor deze niet meer beschikbaar is voor legitieme gebruikers. Dergelijke aanvallen kunnen leiden tot aanzienlijke financiële verliezen, reputatieschade en verstoring van kritieke activiteiten. Azure DDoS Protection Standard is een Azure-native oplossing die uitgebreide bescherming biedt tegen deze aanvallen, met behulp van een wereldwijd mitigatienetwerk en op machine learning gebaseerde detectie-algoritmen om kwaadaardig verkeer te identificeren en af ​​te weren voordat het uw bronnen bereikt [2].

Deze praktische handleiding behandelt het maken van een DDoS-beschermingsplan, het mogelijk maken van bescherming voor virtuele netwerken en openbare IP-adressen, het integreren met andere Azure-services zoals Azure Web Application Firewall (WAF) en Azure Firewall, en het valideren van bescherming door middel van aanvalssimulaties. Er worden stapsgewijze instructies en voorbeelden van Azure CLI-opdrachten gegeven, zodat de lezer een robuuste verdediging tegen DDoS-aanvallen kan implementeren en testen, waardoor de veerkracht van zijn cloudapplicaties en infrastructuur wordt versterkt.

Waarom is Azure DDoS Protection Standard cruciaal?

  • Uitgebreide beperking: Beschermt tegen volumetrische aanvallen (bijv. UDP-floods, SYN), protocolaanvallen (bijv. SYN-ACK-floods, IP-fragmentatie) en aanvallen op applicatielagen (bijv. HTTP-floods) [3].
  • Automatische detectie en aanpassing: maakt gebruik van machine learning-algoritmen om aanvallen in realtime te detecteren en het mitigatiebeleid aan te passen zonder handmatige tussenkomst.
  • Wereldwijd: maakt gebruik van de mondiale schaal van het Azure-netwerk om grote hoeveelheden aanvalsverkeer te absorberen en af ​​te weren.
  • Gedetailleerde telemetrie: Biedt uitgebreide telemetrie, risicobeperkingslogboeken en aanvalsstatistieken in Azure Monitor voor analyse en onderzoek.
  • Native Integratie: Naadloze integratie met andere Azure-beveiligingsservices, zoals Azure Firewall en Azure WAF, voor diepgaande verdediging.
  • Kostengarantie: Biedt kostenbescherming voor geschaalde bronnen tijdens een DDoS-aanval, waarbij kredieten worden gedekt voor bronnen die zouden worden geschaald om de aanval op te vangen.

Vereisten

Om Azure DDoS Protection Standard te implementeren, hebt u de volgende items nodig:

  1. Actief Azure-abonnement: een Azure-abonnement om resources te maken en te beheren.
  2. Beheerderstoegang: een account met de rol 'Eigenaar' of 'Bijdrager' in het Azure-abonnement, of in de resourcegroep waar de VNets en openbare IP's zich bevinden.
  3. Virtuele netwerken (VNets): de VNets die de bronnen hosten die u wilt beschermen (bijvoorbeeld VM's, Load Balancers, Application Gateways).
  4. Openbare IP-adressen: bronnen met openbare IP-adressen (bijvoorbeeld VM's met openbaar IP-adres, openbare load balancers, applicatiegateways) die het potentiële doelwit zullen zijn van DDoS-aanvallen.
  5. Azure CLI of Azure PowerShell: geïnstalleerde en geconfigureerde opdrachtregelprogramma's voor interactie met Azure.

Stap voor stap: Azure DDoS Protection Standard implementeren

Laten we Azure DDoS Protection Standard configureren om uw bronnen te beschermen.

1. Een DDoS-beschermingsplan maken

De eerste stap is het maken van een DDoS-beschermingsplan. Dit plan is een globale bron die u kunt koppelen aan meerdere VNets in verschillende regio's en abonnementen.

  1. Open uw browser en navigeer naar de Azure-portal: https://portal.azure.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Typ 'DDoS-beschermingsplannen' in het bovenste zoekveld en selecteer dit uit de resultaten.
  4. Klik op + Maken.
  5. Vul de plangegevens in:
    • Handtekening: IndienSelecteer uw Azure-abonnement.
    • Brongroep: maak een nieuwe brongroep (bijvoorbeeld RG-DDoS-Protection) of selecteer een bestaande.
    • Naam: Geef uw plan een naam (bijvoorbeeld: DDoS-Plan-Artigos).
    • Regio: Selecteer de regio waar u het abonnement wilt beheren (heeft geen invloed op de wereldwijde bescherming).
  6. Klik op 'Bekijken + aanmaken' en vervolgens op 'Maken'.

2. DDoS-beveiliging inschakelen voor een virtueel netwerk

Nadat u het DDoS-beschermingsplan hebt gemaakt, moet u dit koppelen aan de virtuele netwerken die de bronnen bevatten die u wilt beschermen.

  1. Navigeer in de Azure Portal naar het VNet dat u wilt beveiligen (bijvoorbeeld: 'VNet-Hub' gemaakt in het Azure Firewall-artikel).
  2. Selecteer DDoS Protection in het linkernavigatievenster van het VNet.
  3. Selecteer onder DDoS Protection Plan het plan dat u hebt gemaakt (bijvoorbeeld: DDoS-Plan-Artigos).

  4. Klik op 'Opslaan'.

    • Azure CLI-opdracht om DDoS-beveiliging in te schakelen op een VNet: ``` bash # Haal de DDoS-abonnements-ID op DDP_PLAN_ID=$(az netwerk ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Update het VNet om het DDoS-abonnement te gebruiken

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Openbare IP-adressen beveiligen

Wanneer een VNet is ingeschakeld voor DDoS Protection Standard, worden alle bronnen met openbare IP-adressen binnen dat VNet (bijvoorbeeld openbare IP-VM's, openbare Load Balancers, Application Gateways) automatisch beveiligd. Het is niet nodig om de beveiliging voor elk openbaar IP-adres afzonderlijk te configureren.

  • Verificatie: om te bevestigen dat een openbaar IP-adres is beveiligd, kunt u naar de openbare IP-bron in de Azure-portal navigeren. In het onderdeel ‘Overzicht’ ziet u het bijbehorende ‘DDoS Protection Plan’.

4. Integratie met Azure Web Application Firewall (WAF) en Azure Firewall

Voor diepgaande verdediging wordt aanbevolen om Azure DDoS Protection Standard te combineren met andere netwerkbeveiligingsoplossingen.

  • Azure Web Application Firewall (WAF): WAF beschermt webapplicaties tegen veelvoorkomende webaanvallen (bijvoorbeeld SQL-injectie, cross-site scripting) die niet door DDoS Protection worden gedekt. Implementeer WAF voor uw webapplicaties (bijvoorbeeld met Azure Application Gateway of Azure Front Door). De DDoS Protection Standard beschermt de netwerklaag van de WAF, terwijl de WAF de applicatielaag beschermt [4].

  • Azure Firewall: Azure Firewall biedt filtering van netwerk- en applicatieverkeer, informatie over bedreigingen en IDPS. Bij gebruik in combinatie met DDoS Protection Standard kan Firewall legitiem verkeer inspecteren na DDoS-beperking, waardoor een extra beveiligingslaag wordt toegevoegd.

Validatie en testen

Het valideren van de effectiviteit van de Azure DDoS Protection Standard is van cruciaal belang. Voer echter nooit een daadwerkelijke DDoS-aanval uit op uw eigen bronnen zonder expliciete toestemming van Microsoft. Microsoft biedt een DDoS-simulatietestprogramma voor klanten.

1. DDoS-beveiligingstelemetrie controleren

Tijdens een aanval (of simulatie) biedt Azure DDoS Protection Standard gedetailleerde metrische gegevens in Azure Monitor.

  1. Navigeer in de Azure-portal naar uw DDoS-beschermingsplan (bijvoorbeeld: DDoS-Plan-Artigos).
  2. Selecteer Metrische gegevens in het linkernavigatievenster.
  3. U kunt statistieken bekijken zoals:
    • DDoS-aanvalsverkeer (inkomend): inkomend aanvalsverkeer.
    • DDoS-aanvalspakketten (inkomend): Inkomende aanvalspakketten.
    • DDoS-aanvalsbytes (inkomend): Inkomende aanvalsbytes.
    • DDoS-aanval heeft pakketten laten vallen (inkomend): Aanvalspakketten zijn verwijderd.

2. Waarschuwingen voor DDoS-aanvallen configureren

Het is essentieel om waarschuwingen in te stellen, zodat u op de hoogte wordt gesteld wanneer er een DDoS-aanval gaande is.

  1. Navigeer in de Azure-portal naar uw DDoS-beschermingsplan.
  2. Selecteer Waarschuwingen in het linkernavigatievenster.
  3. Klik op + Waarschuwingsregel maken.
  4. Configureer de voorwaarde voor de waarschuwing, met behulp van statistieken zoals 'Onder DDoS-aanval of niet' (waarde 1 geeft aanval aan, 0 geeft normaal aan) of 'DDoS-aanvalsverkeer (inkomend)'.
  5. Configureer de waarschuwingsacties (bijvoorbeeld e-mail, sms, webhook verzenden, een Azure-functie of logische app activeren).

3. Een DDoS-aanvalsimulatie uitvoeren (met goedgekeurde partners)

Microsoft werkt samen met partnerDDoS-testmogelijkheden waarmee klanten op een gecontroleerde en veilige manier aanvallen kunnen simuleren op hun bronnen die worden beschermd door Azure DDoS Protection Standard. Probeer nooit zelf een DDoS-aanval te simuleren zonder goedkeuring en coördinatie van Microsoft en een goedgekeurde partner.

  1. Neem contact op met een door Microsoft goedgekeurde DDoS-testpartner: Bedrijven zoals BreakingPoint (Keysight) of Radware bieden DDoS-simulatiediensten aan.
  2. Coördineren met Microsoft: Informeer Microsoft over de geplande test om te voorkomen dat de automatische mitigatie van Azure de test als een echte aanval interpreteert en onverwachte acties onderneemt.
  3. Monitor tijdens testen: tijdens de simulatie bewaakt u de DDoS Protection-statistieken in Azure Monitor om de mitigatie in actie te observeren en de veerkracht van uw toepassing te verifiëren.

Beveiligingstips en best practices

  • Robuust applicatieontwerp: Azure DDoS Protection Standard is het meest effectief in combinatie met een robuust en veerkrachtig applicatieontwerp. Dit omvat schaalbare architecturen, taakverdeling, caching en fouttolerantie.
  • ** Diepgaande verdediging**: Vertrouw niet alleen op DDoS-bescherming. Combineer het met andere beveiligingsoplossingen zoals Azure Firewall, Azure WAF en NSG's om een ​​diepgaande verdedigingsstrategie te creëren.
  • Kostenoptimalisatie: het standaardabonnement beschermt alle openbare IP-bronnen in gekoppelde VNets. Overweeg resources te groeperen in beveiligde VNets om de kosten te optimaliseren.
  • Actieve bewaking: configureer waarschuwingen in Azure Monitor voor DDoS-aanvallen en controleer actief telemetrie om inzicht te krijgen in het aanvalsgedrag en de effectiviteit van de mitigatie.
  • Regelmatig testen: Voer regelmatig DDoS-aanvalsimulaties uit met goedgekeurde partners om de effectiviteit van uw bescherming te valideren en eventuele hiaten te identificeren.
  • DNS-beveiliging: overweeg het gebruik van Azure DNS met ingebouwde DDoS-beveiliging om uw DNS-servers tegen aanvallen te beschermen.
  • Applicatielaagbescherming: gebruik voor webapplicaties Azure WAF om te beschermen tegen laag 7-aanvallen, die DDoS Protection Standard niet rechtstreeks aanpakt.
  • Snelheidslimiet: implementeer snelheidslimieten op uw applicatiegateways of omgekeerde proxy's om aanvallen op applicatielagen met een laag volume te beperken.

Algemene probleemoplossing

  • DDoS-beveiliging niet ingeschakeld: controleer of het DDoS-beveiligingsplan is gemaakt en of het VNet eraan is gekoppeld. Controleer of de bronnen die u wilt beschermen openbare IP-adressen hebben.
  • DDoS-aanval niet gedetecteerd: controleer of het aanvalsverkeer daadwerkelijk naar de beschermde openbare IP's wordt geleid. Zorg ervoor dat telemetriestatistieken worden verzameld in Azure Monitor. Er kan een kleine vertraging optreden bij het detecteren van aanvallen met een laag volume.
  • Applicatie wordt nog steeds getroffen tijdens een aanval: Dit kan erop wijzen dat de aanval niet puur DDoS is (bijvoorbeeld een aanval op de applicatielaag waarvoor WAF nodig is) of dat de applicatie zelf niet veerkrachtig genoeg is. Beoordeel het applicatieontwerp en de WAF-integratie.
  • DDoS-waarschuwingen niet ontvangen: controleer de waarschuwingsregels die zijn geconfigureerd in Azure Monitor. Zorg ervoor dat meldingsacties correct zijn geconfigureerd en dat ontvangers meldingen ontvangen.
  • Prestatieproblemen na activering: DDoS Protection Standard is een netwerkdienst en veroorzaakt over het algemeen geen prestatieproblemen. Als er sprake is van traagheid, onderzoek dan andere componenten van uw architectuur (bijvoorbeeld VM's, Load Balancers, Firewalls, WAF).

Conclusie

Azure DDoS Protection Standard is een essentiële service voor elke organisatie die haar applicaties en services wil beschermen tegen de groeiende dreiging van DDoS-aanvallen. Door automatische, schaalbare en uitgebreide mitigatie te bieden, wordt de beschikbaarheid en veerkracht van Azure-resources gegarandeerd. Effectieve implementatie van de DDoS Protection Standard, gecombineerd met een robuust applicatieontwerp, diepgaande verdediging met andere beveiligingsoplossingen en continue monitoring, stelt organisaties in staat de bedrijfscontinuïteit te behouden en de gebruikerservaring te beschermen. Met deze praktische gids zijn beveiligingsprofessionals goed toegerust voor het configureren, valideren en beheren van Azure DDoS Protection Standard, waardoor de beveiligingshouding en veerkracht van hun cloudapplicaties worden versterkt.

Referenties:

[1] Microsoft Leer. Pro-overzichtAzure DDoS-bescherming. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Leer. Typen DDoS-aanvallen. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Leer. Vergelijking van Azure DDoS Protection-laag. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Leer. DDoS-beschermingsreferentiearchitecturen. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures