Внедрение стандарта защиты от DDoS-атак Azure для обеспечения устойчивости приложений.

Внедрение стандарта защиты от DDoS-атак Azure для обеспечения устойчивости приложений.

14.09.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам реализовать и настроить стандарт защиты от DDoS-атак Azure для обеспечения устойчивости приложений, размещенных в Azure. Распределенные атаки типа «отказ в обслуживании» (DDoS) являются одной из самых больших угроз доступности онлайн-сервисов. Стандарт защиты от DDoS-атак Azure предоставляет расширенные возможности предотвращения DDoS-атак, защищая ресурсы Azure от объемных атак, атак на уровне протоколов и приложений, обеспечивая непрерывность бизнеса и удобство работы пользователей [1].

Введение

В нынешней цифровой среде доступность приложений и услуг так же важна, как их безопасность и целостность. DDoS-атаки направлены на перегрузку ресурсов службы, делая ее недоступной для законных пользователей. Подобные атаки могут привести к значительным финансовым потерям, репутационному ущербу и срыву критически важных операций. Стандарт защиты от DDoS-атак Azure — это собственное решение Azure, которое обеспечивает комплексную защиту от этих атак, используя глобальную сеть защиты и алгоритмы обнаружения на основе машинного обучения для выявления и отклонения вредоносного трафика до того, как он достигнет ваших ресурсов [2].

В этом практическом руководстве будет рассмотрено создание плана защиты от DDoS, обеспечивающее защиту виртуальных сетей и общедоступных IP-адресов, интеграцию с другими службами Azure, такими как Брандмауэр веб-приложений Azure (WAF) и Брандмауэр Azure, а также проверку защиты посредством моделирования атак. Будут предоставлены пошаговые инструкции и примеры команд Azure CLI, чтобы читатель мог реализовать и протестировать надежную защиту от DDoS-атак, повышая устойчивость своих облачных приложений и инфраструктуры.

Почему стандарт защиты от DDoS-атак Azure так важен?

  • Комплексное смягчение: защищает от объемных атак (например, UDP-флуд, SYN), протокольных атак (например, SYN-ACK-флуд, фрагментация IP) и атак на уровне приложений (например, HTTP-флуд) [3].
  • Автоматическое обнаружение и адаптация. Использует алгоритмы машинного обучения для обнаружения атак в режиме реального времени и корректировки политик смягчения последствий без ручного вмешательства.
  • Глобальный масштаб: использует глобальный масштаб сети Azure для поглощения и отклонения больших объемов атакующего трафика.
  • Подробная телеметрия: предоставляет расширенные данные телеметрии, журналы смягчения последствий и метрики атак в Azure Monitor для анализа и расследования.
  • Встроенная интеграция. Полная интеграция с другими службами безопасности Azure, такими как брандмауэр Azure и Azure WAF, для обеспечения глубокой защиты.
  • Гарантия стоимости: обеспечивает защиту затрат на масштабируемые ресурсы во время DDoS-атаки, покрывая кредиты за ресурсы, которые будут масштабированы для отражения атаки.

Предварительные условия

Для реализации стандарта защиты от DDoS-атак Azure вам потребуются следующие элементы:

  1. Активная подписка Azure: подписка Azure для создания ресурсов и управления ими.
  2. Административный доступ: учетная запись с ролью «Владелец» или «Участник» в подписке Azure или в группе ресурсов, где расположены виртуальные сети и общедоступные IP-адреса.
  3. Виртуальные сети (VNets): виртуальные сети, в которых размещаются ресурсы, которые вы хотите защитить (например, виртуальные машины, балансировщики нагрузки, шлюзы приложений).
  4. Публичные IP-адреса: ресурсы с общедоступными IP-адресами (например, виртуальные машины с общедоступным IP-адресом, общедоступные балансировщики нагрузки, шлюзы приложений), которые могут стать потенциальной целью DDoS-атак.
  5. Azure CLI или Azure PowerShell: установлены и настроены инструменты командной строки для взаимодействия с Azure.

Шаг за шагом: реализация стандарта защиты от DDoS-атак Azure

Давайте настроим стандарт защиты от DDoS-атак Azure для защиты ваших ресурсов.

1. Создание плана защиты от DDoS

Первым шагом является создание плана защиты от DDoS. Этот план представляет собой глобальный ресурс, который можно связать с несколькими виртуальными сетями в разных регионах и подписках.

  1. Откройте браузер и перейдите на портал Azure: https://portal.azure.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. В верхнем поле поиска введите «Планы защиты от DDoS» и выберите его из результатов.
  4. Нажмите «+ Создать».
  5. Заполните детали плана:
    • Подпись: ЕслиВыберите свою подписку Azure.
    • Группа ресурсов: создайте новую группу ресурсов (например, «RG-DDoS-Protection») или выберите существующую.
    • Имя: дайте вашему плану имя (например: DDoS-Plan-Artigos).
    • Регион: выберите регион, в котором вы хотите управлять планом (не влияет на глобальную защиту).
  6. Нажмите «Просмотр + создание», а затем «Создать».

2. Включение защиты от DDoS для виртуальной сети

После создания плана защиты от DDoS вам необходимо связать его с виртуальными сетями, содержащими ресурсы, которые вы хотите защитить.

  1. На портале Azure перейдите к виртуальной сети, которую вы хотите защитить (например, «VNet-Hub», созданная в статье «Брандмауэр Azure»).
  2. На левой панели навигации виртуальной сети выберите Защита от DDoS.
  3. В разделе «План защиты от DDoS» выберите созданный вами план (например: «DDoS-Plan-Artigos»).

  4. Нажмите «Сохранить».

    • Команда Azure CLI для включения защиты от DDoS в виртуальной сети: ``` баш # Получите идентификатор плана DDoS DDP_PLAN_ID=$(az network план защиты от DDoS show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Обновите виртуальную сеть, чтобы использовать план DDoS.

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Защита общедоступных IP-адресов

Если для виртуальной сети включен стандарт защиты от DDoS, все ресурсы с общедоступными IP-адресами в этой виртуальной сети (например, виртуальные машины с общедоступным IP-адресом, общедоступные балансировщики нагрузки, шлюзы приложений) автоматически защищаются. Нет необходимости настраивать защиту индивидуально для каждого публичного IP.

  • Проверка. Чтобы убедиться, что общедоступный IP-адрес защищен, вы можете перейти к ресурсу общедоступного IP-адреса на портале Azure. В разделе «Обзор» вы увидите соответствующий «План защиты от DDoS».

4. Интеграция с брандмауэром веб-приложений Azure (WAF) и брандмауэром Azure.

Для более глубокой защиты рекомендуется объединить стандарт защиты от DDoS-атак Azure с другими решениями сетевой безопасности.

  • Брандмауэр веб-приложений Azure (WAF): WAF защищает веб-приложения от распространенных веб-атак (например, SQL-инъекций, межсайтовых сценариев), на которые не распространяется защита от DDoS. Разверните WAF перед своими веб-приложениями (например, с помощью шлюза приложений Azure или Azure Front Door). Стандарт защиты от DDoS защищает сетевой уровень WAF, а WAF — уровень приложений [4].

  • Брандмауэр Azure. Брандмауэр Azure обеспечивает фильтрацию сетевого трафика и трафика приложений, анализ угроз и IDPS. При использовании в сочетании со стандартом защиты от DDoS брандмауэр может проверять законный трафик после смягчения последствий DDoS, добавляя еще один уровень безопасности.

Проверка и тестирование

Проверка эффективности стандарта защиты от DDoS-атак Azure имеет решающее значение. Однако никогда не проводите настоящую DDoS-атаку на свои собственные ресурсы без явного разрешения Microsoft. Microsoft предлагает клиентам программу моделирования DDoS-атак.

1. Проверка телеметрии защиты от DDoS

Во время атаки (или моделирования) стандарт защиты от DDoS-атак Azure предоставляет подробные метрики в Azure Monitor.

  1. На портале Azure перейдите к своему плану защиты от DDoS (например: «DDoS-Plan-Artigos»).
  2. На левой панели навигации выберите Метрики.
  3. Вы можете просмотреть такие показатели, как:
    • «Трафик DDoS-атаки (входящий)»: входящий трафик атаки.
    • Пакеты DDoS-атак (входящие): пакеты входящих атак.
    • Байты DDoS-атаки (входящие): байты входящей атаки.
    • DDoS-атака сбросила пакеты (входящие): пакеты атаки упали.

2. Настройка оповещений о DDoS-атаках

Очень важно настроить оповещения, которые будут уведомлять вас о ходе DDoS-атаки.

  1. На портале Azure перейдите к своему плану защиты от DDoS.
  2. На левой панели навигации выберите Оповещения.
  3. Нажмите «+ Создать правило оповещения».
  4. Настройте условие для оповещения, используя такие метрики, как «Подверглась DDoS-атаке или нет» (значение 1 указывает на атаку, 0 — на норму) или «Трафик DDoS-атаки (входящий)».
  5. Настройте действия оповещений (например, отправьте электронное письмо, SMS, веб-перехватчик, активируйте функцию Azure или приложение логики).

3. Проведение моделирования DDoS-атаки (с одобренными партнерами)

Microsoft сотрудничает с партнеромВозможности тестирования DDoS, позволяющие клиентам моделировать атаки контролируемым и безопасным образом на их ресурсы, защищенные стандартом защиты от DDoS Azure. Никогда не пытайтесь имитировать DDoS-атаку самостоятельно без одобрения и координации со стороны Microsoft и утвержденного партнера.

  1. Обратитесь к одобренному Microsoft партнеру по тестированию DDoS. Такие компании, как BreakingPoint (Keysight) или Radware, предлагают услуги моделирования DDoS.
  2. Координация действий с Microsoft. Сообщите Microsoft о запланированном тесте, чтобы система автоматического устранения угроз Azure не интерпретировала тест как реальную атаку и не предпринимала неожиданных действий.
  3. Отслеживание во время тестирования. Во время моделирования отслеживайте показатели защиты от DDoS-атак в Azure Monitor, чтобы наблюдать за действиями по снижению риска и проверять устойчивость вашего приложения.

Советы и рекомендации по безопасности

  • Надежная конструкция приложения. Стандарт защиты от DDoS-атак Azure наиболее эффективен в сочетании с надежной и отказоустойчивой конструкцией приложения. Сюда входят масштабируемая архитектура, балансировка нагрузки, кэширование и отказоустойчивость.
  • Глубокая защита: не полагайтесь только на защиту от DDoS. Объедините его с другими решениями безопасности, такими как брандмауэр Azure, Azure WAF и NSG, чтобы создать стратегию глубокой защиты.
  • Оптимизация затрат. План «Стандартный» защищает все общедоступные IP-ресурсы в связанных виртуальных сетях. Рассмотрите возможность группировки ресурсов в защищенные виртуальные сети для оптимизации затрат.
  • Активный мониторинг: настройте оповещения в Azure Monitor о DDoS-атаках и активно отслеживайте телеметрию, чтобы понять поведение атак и эффективность их устранения.
  • Регулярное тестирование: регулярно проводите моделирование DDoS-атак с утвержденными партнерами, чтобы проверить эффективность вашей защиты и выявить любые пробелы.
  • Защита DNS. Рассмотрите возможность использования Azure DNS со встроенной защитой от DDoS-атак для защиты ваших DNS-серверов от атак.
  • Защита уровня приложений. Для веб-приложений используйте Azure WAF для защиты от атак уровня 7, которые стандарт защиты от DDoS напрямую не устраняет.
  • Ограничение скорости. Внедрите ограничение скорости на шлюзах приложений или обратных прокси-серверах для предотвращения атак на уровне приложений небольшого объема.

Распространенное устранение неполадок

  • Защита от DDoS не включена. Убедитесь, что план защиты от DDoS создан и виртуальная сеть связана с ним. Убедитесь, что ресурсы, которые вы надеетесь защитить, имеют общедоступные IP-адреса.
  • DDoS-атака не обнаружена: убедитесь, что трафик атаки действительно направлен на защищенные общедоступные IP-адреса. Убедитесь, что метрики телеметрии собираются в Azure Monitor. Возможна небольшая задержка при обнаружении атак небольшого объема.
  • Приложение все еще пострадало во время атаки: это может указывать на то, что атака не является чисто DDoS-атакой (например, атака уровня приложения, для которой требуется WAF) или что само приложение недостаточно устойчиво. Просмотрите дизайн приложения и интеграцию WAF.
  • Оповещения о DDoS-атаках не получены. Проверьте правила оповещений, настроенные в Azure Monitor. Убедитесь, что действия по уведомлениям настроены правильно и что получатели получают уведомления.
  • Проблемы с производительностью после активации: Стандарт защиты от DDoS является сетевой службой и обычно не вызывает проблем с производительностью. Если наблюдается медлительность, исследуйте другие компоненты вашей архитектуры (например, виртуальные машины, балансировщики нагрузки, межсетевые экраны, WAF).

Заключение

Стандарт защиты от DDoS-атак Azure — это критически важная служба для любой организации, стремящейся защитить свои приложения и службы от растущей угрозы DDoS-атак. Обеспечивая автоматическое, масштабируемое и комплексное устранение последствий, он обеспечивает доступность и отказоустойчивость ресурсов Azure. Эффективное внедрение стандарта защиты от DDoS в сочетании с надежной конструкцией приложений, глубокой защитой с помощью других решений безопасности и непрерывным мониторингом позволяет организациям поддерживать непрерывность бизнеса и защищать работу пользователей. Благодаря этому практическому руководству специалисты по безопасности будут хорошо подготовлены к настройке, проверке и управлению стандартом защиты от DDoS-атак Azure, что позволит повысить уровень безопасности и отказоустойчивость своих облачных приложений.

Ссылки:

[1] Microsoft Learn. Обзор ProЗащита Azure от DDoS. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview. [2] Microsoft Learn. Виды DDoS-атак. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Learn. Сравнение уровней защиты от DDoS-атак в Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn. Эталонные архитектуры защиты от DDoS. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures