Nasazení služby Azure DDoS Protection pomocí webu Azure Portal
Distribuovaný odepření služby (DDoS)
Útok dos (DoS) je útok, který má za cíl zabránit přístupu ke službám nebo systémům. Útok DoS pochází z jednoho místa. Distribuovaný útok na dostupnost služby (DDoS) pochází z několika sítí a systémů.
Útoky DDoS jsou některé z největších problémů s dostupností a zabezpečením, kterým čelí zákazníci, kteří přesouvají své aplikace do cloudu. Útok DDoS se pokusí vyprázdnit rozhraní API nebo prostředky aplikace, aby byla tato aplikace pro legitimní uživatele nedostupná. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.
Implementace DDoS
Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytují ochranu před útoky DDoS. Azure DDoS Protection poskytuje následující úrovně služeb:
Ochrana sítě. Poskytuje možnosti zmírnění rizik oproti ochraně infrastruktury DDoS, které jsou vyladěné speciálně pro prostředky služby Azure Virtual Network. Azure DDoS Protection je snadné povolit a nevyžaduje žádné změny aplikace. Zásady se aplikují na veřejné IP adresy přidružené k prostředkům nasazeným ve virtuálních sítích. Telemetrie v reálném čase je dostupná prostřednictvím zobrazení služby Azure Monitor během útoku a historie. Prostřednictvím nastavení diagnostiky jsou k dispozici bohaté analýzy zmírnění útoků. Ochranu aplikační vrstvy je možné přidat prostřednictvím brány firewall webových aplikací brány Aplikace Azure lication Gateway (WAF). Ochrana je poskytována pro veřejné IP adresy IPv4 a IPv6 Azure.
Ochrana IP. DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection. Existují však služby s přidanou hodnotou, jako je podpora rychlé reakce DDoS, ochrana nákladů a slevy na WAF.
DDoS Protection chrání prostředky ve virtuální síti. Ochrana zahrnuje veřejné IP adresy virtuálních počítačů, nástroje pro vyrovnávání zatížení a aplikační brány. Při spojení s WAF služby Application Gateway může DDoS Protection poskytovat úplné možnosti omezení rizik vrstvy 3 až vrstvy 7.
Typy útoků DDoS
DDoS Protection může zmírnit následující typy útoků.
Multilicenční útoky. Tyto útoky pohltují síťovou vrstvu značným množstvím zdánlivě legitimního provozu. Zahrnují povodní UDP, zesílení povodní a další falšované zahlcení paketů.
Útoky na protokoly. Tyto útoky vykreslí nepřístupný cíl tak, že využijí slabé místo ve 3. a 4. vrstvě zásobníku protokolu. Mezi útoky patří povodňové útoky SYN, útoky reflexe a další protokolové útoky.
Útoky na vrstvu prostředků (aplikace) Tyto útoky cílí na pakety webových aplikací, aby narušovaly přenos dat mezi hostiteli. Mezi útoky patří porušení protokolu HTTP, injektáž SQL, skriptování mezi weby a další útoky vrstvy 7.
Funkce ochrany před útoky Azure DDoS
Mezi funkce ochrany Před útoky DDoS v Azure patří:
Integrace nativní platformy Nativní integrace do Azure a konfigurace prostřednictvím portálu
Zámek na klíč. Zjednodušená konfigurace chrání všechny prostředky okamžitě.
Monitorování provozu always-on. Vzorce provozu vaší aplikace se monitorují 24 hodin denně, 7 dní v týdnu a hledají indikátory útoků DDoS.
Adaptivní ladění. Profilace a úprava provozu vaší služby
Analýza útoku. V pětiminutových intervalech můžete během útoku získávat podrobné sestavy. Po skončení útoku obdržíte úplný souhrn.
Metriky a výstrahy útoku Souhrnné metriky z každého útoku jsou přístupné prostřednictvím služby Azure Monitor. Výstrahy je možné nakonfigurovat na začátku a zastavení útoku a po dobu trvání útoku pomocí předdefinovaných metrik útoku.
Vícevrstvý zámek. Když je služba DDoS Protection nasazená pomocí WAF, chrání jak v síťové vrstvě, tak v aplikační vrstvě.
Pojďme se podrobněji podívat na některé klíčové funkce DDoS Protection.
Monitorování provozu always-on
DDoS Protection monitoruje skutečné využití provozu a neustále ho porovnává s prahovými hodnotami definovanými v zásadách DDoS. Při překročení prahové hodnoty provozu se omezení rizik útoků DDoS spustí automaticky. Když se provoz vrátí pod prahové hodnoty, omezení rizik se zastaví.
Během omezení rizik se provoz odesílaný do chráněného prostředku přesměruje a provede se několik kontrol.
- Ujistěte se, že pakety odpovídají specifikacím internetu a nejsou poškozené.
- Komunikujte s klientem a zjistěte, jestli je provoz potenciálně falšovaným paketem (např. SYN Auth nebo SYN Cookie nebo vyřazením paketu pro zdroj, který se má znovu převést).
- Pakety limitu rychlosti, pokud nelze provést žádnou jinou metodu vynucení.
Ochrana před útoky DDoS zahodí provoz útoku a přesměruje zbývající provoz do zamýšleného cíle. Během několika minut od detekce útoku budete upozorněni pomocí metrik služby Azure Monitor. Konfigurací protokolování telemetrie DDoS Protection můžete protokoly zapisovat do dostupných možností pro budoucí analýzu. Data metrik ve službě Azure Monitor pro DDoS Protection se uchovávají po dobu 30 dnů.
Adaptivní ladění v reálném čase
Služba Azure DDoS Protection pomáhá chránit zákazníky a bránit dopadům na ostatní zákazníky. Pokud je například služba zřízena pro typický objem legitimních příchozích přenosů, který je menší než rychlost aktivace zásad ochrany před útoky DDoS na celou infrastrukturu, může dojít k útoku DDoS na prostředky zákazníka bez upozornění. Obecněji platí, že složitost nedávných útoků (například vícefaktorové útoky DDoS) a chování tenantů specifická pro jednotlivé zákazníky vyžadují přizpůsobené zásady ochrany pro jednotlivé zákazníky.
Metriky, upozornění a protokoly útoku
DDoS Protection zveřejňuje bohatou telemetrii prostřednictvím nástroje Azure Monitor. Můžete nakonfigurovat výstrahy pro libovolnou metriku služby Azure Monitor, kterou služba DDoS Protection používá. Protokolování můžete integrovat se službou Splunk (Azure Event Hubs), protokoly služby Azure Monitor a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.
Na webu Azure Portal vyberte Monitorovat > metriky. V podokně Metriky vyberte skupinu prostředků, vyberte typ prostředku veřejné IP adresy a vyberte veřejnou IP adresu Azure. Metriky DDoS jsou viditelné v podokně Dostupné metriky .
DDoS Protection používá pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti s povolenou službou DDoS tři zásady automatického ladění (SYN, TCP a UDP). Prahové hodnoty zásad můžete zobrazit tak , že vyberete příchozí pakety [SYN/TCP/UDP] pro aktivaci metrik omezení rizik DDoS.
Prahové hodnoty zásad se automaticky konfigurují prostřednictvím profilace síťového provozu založeného na strojovém učení. Omezení rizik útoku DDoS se provádí u IP adresy, která je napadena, pouze když dojde k překročení prahové hodnoty zásad.
Pokud je veřejná IP adresa napadená, hodnota útoku DDoS nebo ne metrika se změní na 1 , protože DDoS Protection provádí zmírnění rizik provozu útoku.
Ochrana s více vrstvami
Pro konkrétní útoky na prostředky na aplikační vrstvě byste měli nakonfigurovat WAF, který pomáhá zabezpečit webové aplikace. WAF kontroluje příchozí webový provoz a blokuje injektáže SQL, skriptování mezi weby, útoky DDoS a další útoky vrstvy 7. Azure poskytuje WAF jako funkci služby Application Gateway pro centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Na Azure Marketplace jsou k dispozici další nabídky WAF od partnerů Azure.
Dokonce i brány firewall webových aplikací jsou náchylné k útokům na vyčerpání svazků a stavu. Proto povolte službu DDoS Protection ve virtuální síti WAF, která pomáhá chránit před multilicenčními útoky a útoky na protokoly.
Nasazení plánu ochrany před útoky DDoS
Klíčové fáze nasazení plánu DDoS Protection jsou následující:
- Vytvoření skupiny zdrojů
- Vytvoření plánu ochrany před útoky DDoS
- Povolení ochrany před útoky DDoS na nové nebo existující virtuální síti nebo IP adrese
- Konfigurace telemetrie DDoS
- Konfigurace diagnostických protokolů DDoS
- Konfigurace upozornění DDoS
- Spusťte testovací útok DDoS a sledujte výsledky.