Uygulama Dayanıklılığı için Azure DDoS Koruma Standardını Uygulama

Uygulama Dayanıklılığı için Azure DDoS Koruma Standardını Uygulama

09/14/2024

Bu teknik ve eğitici makale, Azure'da barındırılan uygulamaların dayanıklılığını sağlamak için güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Azure DDoS Koruma Standardını uygulama ve yapılandırma konusunda rehberlik etmeyi amaçlamaktadır. Dağıtılmış Hizmet Reddi (DDoS) saldırıları, çevrimiçi hizmetlerin kullanılabilirliğine yönelik en büyük tehditlerden biridir. Azure DDoS Koruma Standardı, gelişmiş DDoS saldırılarını azaltma yetenekleri sunarak Azure kaynaklarını hacimsel, protokol ve uygulama katmanı saldırılarına karşı koruyarak iş sürekliliği ve kullanıcı deneyimi sağlar [1].

Giriş

Mevcut dijital ortamda, uygulamaların ve hizmetlerin kullanılabilirliği, bunların güvenliği ve bütünlüğü kadar kritik öneme sahiptir. DDoS saldırıları, bir hizmetin kaynaklarını aşırı yüklemeyi ve hizmetin yasal kullanıcılar tarafından kullanılamaz hale getirilmesini amaçlamaktadır. Bu tür saldırılar önemli mali kayıplara, itibar kaybına ve kritik operasyonların aksamasına neden olabilir. Azure DDoS Koruma Standardı, kötü amaçlı trafiği kaynaklarınıza ulaşmadan önce tespit edip saptırmak için küresel bir azaltma ağı ve makine öğrenimi tabanlı algılama algoritmaları kullanarak bu saldırılara karşı kapsamlı koruma sağlayan Azure'da yerel bir çözümdür [2].

Bu pratik kılavuz, bir DDoS koruma planı oluşturmayı, sanal ağlar ve genel IP adresleri için korumayı etkinleştirmeyi, Azure Web Uygulaması Güvenlik Duvarı (WAF) ve Azure Güvenlik Duvarı gibi diğer Azure hizmetleriyle entegrasyonu ve saldırı simülasyonları yoluyla korumayı doğrulamayı kapsayacaktır. Okuyucunun DDoS saldırılarına karşı sağlam bir savunma uygulayabilmesi ve test edebilmesi için Azure CLI komutlarına ilişkin adım adım talimatlar ve örnekler sağlanacak ve böylece bulut uygulamalarının ve altyapılarının dayanıklılığı güçlendirilecektir.

Azure DDoS Koruma Standardı neden önemlidir?

  • Kapsamlı Azaltma: Hacimsel saldırılara (ör. UDP taşkınları, SYN), protokol saldırılarına (ör. SYN-ACK taşkınları, IP parçalanması) ve uygulama katmanı saldırılarına (ör. HTTP taşkınları) karşı koruma sağlar [3].
  • Otomatik Tespit ve Uyarlama: Saldırıları gerçek zamanlı olarak tespit etmek ve manuel müdahale olmadan zarar azaltma politikalarını ayarlamak için makine öğrenimi algoritmalarını kullanır.
  • Küresel Ölçek: Büyük hacimli saldırı trafiğini absorbe etmek ve yönlendirmek için Azure ağının küresel ölçeğinden yararlanır.
  • Ayrıntılı Telemetri: Analiz ve inceleme için Azure İzleyici'de zengin telemetri, azaltma günlükleri ve saldırı ölçümleri sağlar.
  • Yerel Entegrasyon: Derinlemesine savunma için Azure Güvenlik Duvarı ve Azure WAF gibi diğer Azure güvenlik hizmetleriyle sorunsuz bir şekilde bütünleşir.
  • Maliyet Garantisi: Bir DDoS saldırısı sırasında ölçeklendirilmiş kaynaklar için maliyet koruması sağlar ve saldırıyı absorbe edecek şekilde ölçeklendirilecek kaynaklara yönelik kredileri kapsar.

Önkoşullar

Azure DDoS Koruma Standardını uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Etkin Azure Aboneliği: Kaynakları oluşturmaya ve yönetmeye yönelik bir Azure aboneliği.
  2. Yönetim Erişimi: Azure aboneliğinde veya VNet'lerin ve genel IP'lerin bulunduğu kaynak grubunda "Sahip" veya "Katkıda Bulunan" rolüne sahip bir hesap.
  3. Sanal Ağlar (VNet'ler): Korumak istediğiniz kaynakları (ör. VM'ler, Yük Dengeleyiciler, Uygulama Ağ Geçitleri) barındıran VNet'ler.
  4. Genel IP Adresleri: DDoS saldırılarının potansiyel hedefi olacak genel IP adreslerine sahip kaynaklar (ör. genel IP'ye sahip VM'ler, genel Yük Dengeleyiciler, Uygulama Ağ Geçitleri).
  5. Azure CLI veya Azure PowerShell: Azure ile etkileşim kurmak için yüklenmiş ve yapılandırılmış komut satırı araçları.

Adım Adım: Azure DDoS Koruma Standardını Uygulama

Kaynaklarınızı korumak için Azure DDoS Koruma Standardını yapılandıralım.

1. DDoS Koruma Planı Oluşturma

İlk adım bir DDoS koruma planı oluşturmaktır. Bu plan, farklı bölgeler ve abonelikler genelinde birden fazla VNet'e bağlayabileceğiniz küresel bir kaynaktır.

  1. Tarayıcınızı açın ve Azure portalına gidin: https://portal.azure.com.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Üstteki arama alanına 'DDoS koruma planları' yazın ve sonuçlardan seçin.
  4. '+ Oluştur'u tıklayın.
  5. Plan ayrıntılarını girin:
    • İmza: EğerAzure aboneliğinizi seçin.
    • Kaynak grubu: Yeni bir kaynak grubu oluşturun (ör. "RG-DDoS-Protection") veya mevcut bir kaynak grubunu seçin.
    • Ad: Planınıza bir ad verin (ör. DDoS-Plan-Artigos).
    • Bölge: Planın yönetilmesini istediğiniz bölgeyi seçin (küresel korumayı etkilemez).
  6. 'İncele + oluştur'u ve ardından 'Oluştur'u tıklayın.

2. Sanal Ağ için DDoS Korumasını Etkinleştirme

DDoS koruma planını oluşturduktan sonra korumak istediğiniz kaynakların bulunduğu sanal ağlara bağlamanız gerekir.

  1. Azure portalında, korumak istediğiniz VNet'e gidin (örneğin: Azure Güvenlik Duvarı makalesinde oluşturulan 'VNet-Hub').
  2. VNet'in sol gezinme bölmesinde DDoS Koruması'nı seçin.
  3. "DDoS Koruma Planı" altında oluşturduğunuz planı seçin (ör. "DDoS-Plan-Artigos").

  4. 'Kaydet'i tıklayın.

    • VNet'te DDoS Korumasını etkinleştirmek için Azure CLI komutu: ``` bash # DDoS planı kimliğini alın DDP_PLAN_ID=$(az ağ ddos koruma planı gösterisi --name DDoS-Plan-Artigos --kaynak grubu RG-DDoS-Koruma --sorgu kimliği -o tsv)

      DDoS planını kullanmak için VNet'i güncelleyin

      az ağ vnet güncellemesi --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ''''

3. Genel IP Adreslerinin Güvenliğini Sağlama

DDoS Koruma Standardı için bir VNet etkinleştirildiğinde, bu VNet içindeki genel IP adreslerine sahip tüm kaynaklar (ör. genel IP VM'ler, genel Yük Dengeleyiciler, Uygulama Ağ Geçitleri) otomatik olarak korunur. Her genel IP için korumayı ayrı ayrı yapılandırmanıza gerek yoktur.

  • Doğrulama: Genel bir IP'nin korunduğunu onaylamak için Azure portalındaki genel IP kaynağına gidebilirsiniz. 'Genel Bakış' bölümünde ilgili 'DDoS Koruma Planını' göreceksiniz.

4. Azure Web Uygulaması Güvenlik Duvarı (WAF) ve Azure Güvenlik Duvarı ile entegrasyon

Derinlemesine savunma için Azure DDoS Koruma Standardının diğer ağ güvenliği çözümleriyle birleştirilmesi önerilir.

  • Azure Web Uygulaması Güvenlik Duvarı (WAF): WAF, web uygulamalarını DDoS Korumasının kapsamadığı yaygın web saldırılarına (örn. SQL enjeksiyonu, siteler arası komut dosyası oluşturma) karşı korur. WAF'ı web uygulamalarınızın önüne dağıtın (örneğin, Azure Application Gateway veya Azure Front Door ile). DDoS Koruma Standardı WAF'ın ağ katmanını korurken, WAF uygulama katmanını korur [4].

  • Azure Güvenlik Duvarı: Azure Güvenlik Duvarı, ağ ve uygulama trafiği filtreleme, tehdit istihbaratı ve IDPS sağlar. Firewall, DDoS Koruma Standardı ile birlikte kullanıldığında, DDoS azaltımından sonra meşru trafiği denetleyerek başka bir güvenlik katmanı ekleyebilir.

Doğrulama ve Test Etme

Azure DDoS Koruma Standardının etkililiğinin doğrulanması çok önemlidir. Ancak Microsoft'un açık izni olmadan asla kendi kaynaklarınıza karşı gerçek bir DDoS saldırısı gerçekleştirmeyin. Microsoft, müşteriler için bir DDoS simülasyon test programı sunmaktadır.

1. DDoS Koruma Telemetrisini Kontrol Etme

Bir saldırı (veya simülasyon) sırasında Azure DDoS Koruma Standardı, Azure İzleyici'de ayrıntılı ölçümler sağlar.

  1. Azure portalında DDoS koruma planınıza gidin (ör. "DDoS-Plan-Artigos").
  2. Sol gezinme bölmesinde Metrikler'i seçin.
  3. Aşağıdaki gibi metrikleri görüntüleyebilirsiniz:
    • `DDoS saldırı trafiği (gelen): Gelen saldırı trafiği.
    • `DDoS saldırı paketleri (gelen): Gelen saldırı paketleri.
    • DDoS saldırısı baytları (gelen): Gelen saldırı baytları.
    • `DDoS saldırısı paketleri düşürdü (gelen): Saldırı paketleri düştü.

2. DDoS Saldırıları için Uyarıları Yapılandırma

Bir DDoS saldırısı gerçekleştiğinde bilgilendirilecek uyarıların ayarlanması önemlidir.

  1. Azure portalında DDoS koruma planınıza gidin.
  2. Sol gezinme bölmesinde Uyarılar'ı seçin.
  3. '+ Uyarı kuralı oluştur'u tıklayın.
  4. "DDoS saldırısı altında olup olmadığı" (1 değeri saldırıyı, 0 normali belirtir) veya "DDoS saldırısı trafiği (gelen)" gibi ölçümleri kullanarak uyarının koşulunu yapılandırın.
  5. Uyarı eylemlerini yapılandırın (ör. e-posta, SMS gönderme, web kancası gönderme, bir Azure İşlevini veya Mantıksal Uygulamayı tetikleme).

3. Bir DDoS Saldırı Simülasyonunun Yürütülmesi (onaylı ortaklarla)

Microsoft iş ortağıyla işbirliği yapıyorMüşterilerin, Azure DDoS Koruma Standardı tarafından korunan kaynaklarına yönelik saldırıları kontrollü ve güvenli bir şekilde simüle etmelerine olanak tanıyan DDoS testi özellikleri. Microsoft ve onaylı bir iş ortağının onayı ve koordinasyonu olmadan hiçbir zaman kendi başınıza bir DDoS saldırısı simülasyonu yapmaya çalışmayın.

  1. Microsoft onaylı bir DDoS test ortağıyla iletişime geçin: BreakingPoint (Keysight) veya Radware gibi şirketler DDoS simülasyon hizmetleri sunmaktadır.
  2. Microsoft ile Koordinasyon: Azure otomatik azaltma özelliğinin testi gerçek bir saldırı olarak yorumlayıp beklenmeyen eylemler gerçekleştirmesini önlemek için Microsoft'u planlanan test hakkında bilgilendirin.
  3. Test Sırasında İzleme: Simülasyon sırasında, azaltımı çalışırken gözlemlemek ve uygulamanızın dayanıklılığını doğrulamak için Azure İzleyici'deki DDoS Koruması ölçümlerini izleyin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Güçlü Uygulama Tasarımı: Azure DDoS Koruma Standardı, sağlam ve dayanıklı bir uygulama tasarımıyla birleştirildiğinde en etkili sonucu verir. Buna ölçeklenebilir mimariler, yük dengeleme, önbelleğe alma ve hata toleransı dahildir.
  • Derinlemesine Savunma: Yalnızca DDoS Korumasına güvenmeyin. Kapsamlı bir savunma stratejisi oluşturmak için bunu Azure Güvenlik Duvarı, Azure WAF ve NSG'ler gibi diğer güvenlik çözümleriyle birleştirin.
  • Maliyet Optimizasyonu: Standart plan, bağlantılı VNet'lerdeki tüm genel IP kaynaklarını korur. Maliyetleri optimize etmek için kaynakları korumalı sanal ağlar halinde gruplandırmayı düşünün.
  • Aktif İzleme: Azure İzleyici'de DDoS saldırıları için uyarıları yapılandırın ve saldırı davranışını ve saldırı azaltma etkinliğini anlamak için telemetriyi aktif olarak izleyin.
  • Düzenli Test: Korumanızın etkinliğini doğrulamak ve boşlukları belirlemek için onaylı iş ortaklarıyla düzenli olarak DDoS saldırı simülasyonları gerçekleştirin.
  • DNS Koruması: DNS sunucularınızı saldırılara karşı korumak için yerleşik DDoS korumasıyla Azure DNS'yi kullanmayı düşünün.
  • Uygulama Katmanı Koruması: Web uygulamaları için, DDoS Koruma Standardının doğrudan ele almadığı katman 7 saldırılarına karşı koruma sağlamak için Azure WAF'ı kullanın.
  • Hız Sınırlama: Düşük hacimli uygulama katmanı saldırılarını azaltmak için uygulama ağ geçitlerinize veya ters proxy'lerinize hız sınırlaması uygulayın.

Genel Sorun Giderme

  • DDoS Koruması etkin değil: DDoS koruma planının oluşturulduğunu ve VNet'in buna bağlı olduğunu doğrulayın. Korumayı umduğunuz kaynakların genel IP adreslerine sahip olduğunu doğrulayın.
  • DDoS saldırısı algılanmadı: Saldırı trafiğinin gerçekten korunan genel IP'lere yönlendirildiğini doğrulayın. Azure İzleyici'de telemetri ölçümlerinin toplandığından emin olun. Düşük hacimli saldırıların tespitinde hafif bir gecikme olabilir.
  • Saldırı sırasında uygulama hala etkileniyor: Bu, saldırının yalnızca DDoS olmadığını (örneğin, WAF gerektiren uygulama katmanı saldırısı) veya uygulamanın yeterince dayanıklı olmadığını gösterebilir. Uygulama tasarımını ve WAF entegrasyonunu gözden geçirin.
  • DDoS uyarıları alınmadı: Azure İzleyici'de yapılandırılan uyarı kurallarını kontrol edin. Bildirim eylemlerinin doğru şekilde yapılandırıldığından ve alıcıların bildirim aldığından emin olun.
  • Etkinleştirme sonrasındaki performans sorunları: DDoS Koruma Standardı bir ağ hizmetidir ve genellikle performans sorunlarına neden olmaz. Yavaşlık varsa mimarinizin diğer bileşenlerini (örneğin VM'ler, Yük Dengeleyiciler, Güvenlik Duvarları, WAF) araştırın.

Sonuç

Azure DDoS Koruma Standardı, uygulamalarını ve hizmetlerini giderek artan DDoS saldırıları tehdidine karşı korumak isteyen tüm kuruluşlar için kritik bir hizmettir. Otomatik, ölçeklenebilir ve kapsamlı bir azaltma sağlayarak Azure kaynaklarının kullanılabilirliğini ve dayanıklılığını sağlar. Güçlü uygulama tasarımı, diğer güvenlik çözümleriyle derinlemesine savunma ve sürekli izleme ile birlikte DDoS Koruma Standardının etkili bir şekilde uygulanması, kuruluşların iş sürekliliğini sürdürmesine ve kullanıcı deneyimini korumasına olanak tanır. Bu pratik kılavuzla güvenlik uzmanları, Azure DDoS Koruma Standardını yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak ve bulut uygulamalarının güvenlik duruşunu ve dayanıklılığını güçlendirecek.

Referanslar:

[1] Microsoft Learn. Profesyonele Genel BakışAzure DDoS koruması. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft Learn. DDoS saldırılarının türleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft Learn. Azure DDoS Koruma katmanı karşılaştırması. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft Learn. DDoS koruma referans mimarileri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures