Bereitstellen von Azure DDoS Protection mithilfe des Azure-Portals
Verteilte Denial-of-Service-Angriffe (DDos)
Ein Denial-of-Service-Angriff (DoS-Angriff) ist ein Angriff, der den Zugriff auf Dienste oder Systeme verhindern soll. Wenn der Angriff von einem Ort ausgeht, wird er als DoS bezeichnet. Wenn der Angriff von mehreren Netzwerken und Systemen ausgeht, wird er als verteilter Denial-of-Service-Angriff (DDoS-Angriff) bezeichnet.
DDoS-Angriffe (Distributed Denial of Service) stellen eines der größten Verfügbarkeits- und Sicherheitsprobleme für Kunden dar, die ihre Anwendungen in die Cloud verschieben. Ein DDoS-Angriff hat das Ziel, die Ressourcen einer API oder Anwendung zu verbrauchen, damit sie für berechtigte Benutzer nicht mehr verfügbar ist. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.
DDoS-Implementierung
In Kombination mit bewährten Anwendungsentwurfsmethoden schützt Azure DDoS Protection vor DDoS-Angriffen. Für Azure DDoS Protection sind die folgenden Tarife verfügbar:
Netzwerkschutz
Bietet zusätzliche Funktionen zur Angriffsabwehr über DDoS-Infrastrukturschutz, die speziell auf Azure Virtual Network-Ressourcen abgestimmt sind. Azure DDoS Protection kann ganz einfach aktiviert werden und erfordert keine Änderung der Anwendung. Schutzrichtlinien werden über dedizierte Datenverkehrsüberwachung und Machine Learning-Algorithmen optimiert. Richtlinien werden auf öffentliche IP-Adressen angewandt, die in virtuellen Netzwerken bereitgestellten Ressourcen wie Azure Load Balancer, Azure Application Gateway und Azure Service Fabric-Instanzen zugeordnet sind. Dieser Schutz wird jedoch nicht auf die App Service-Umgebungen angewandt. Über Azure Monitor-Ansichten steht Echtzeittelemetrie während eines Angriffs und für den Verlauf zur Verfügung. In den Diagnoseeinstellungen sind umfassende Analysefunktionen zur Entschärfung von Angriffen verfügbar. Der Schutz auf der Anwendungsschicht kann über die Azure Application Gateway Web Application Firewall oder per Installation einer Drittanbieter-Firewall über Azure Marketplace hinzugefügt werden. Schutz wird für öffentliche Azure-IP-Adressen mit IPv4 und IPv6 bereitgestellt.
IP-Schutz
DDoS-IP-Schutz ist ein Modell der Zahlung pro geschützte IP. DDoS-IP-Schutz umfasst dieselben wichtigen Engineeringfeatures wie DDoS-Netzwerkschutz, unterscheidet sich jedoch in den Mehrwertdiensten: z. B. DDoS Rapid Response-Unterstützung, Kostenschutz und Rabatte auf WAF.
Mit DDoS Protection werden Ressourcen in einem virtuellen Netzwerk geschützt, einschließlich öffentlicher IP-Adressen, die virtuellen Computern zugeordnet sind, interner Lastenausgleichsmodule und Anwendungsgateways. In Kombination mit der Web Application Firewall von Application Gateway oder einer Web Application Firewall eines Drittanbieters, die mit einer öffentlichen IP-Adresse in einem virtuellen Netzwerk bereitgestellt wird, stellt DDoS Protection eine vollständige Abwehrfunktion für Schicht 3 bis 7 bereit.
Alle Eigenschaften in Azure sind ohne zusätzliche Kosten durch DDoS-Infrastrukturschutz (Basic) von Azure geschützt. Azure DDoS Protection ist ein kostenpflichtiger Dienst, der für Dienste vorgesehen ist, die in einem virtuellen Netzwerk bereitgestellt werden.
Typen von DDoS-Angriffen
Mit DDoS Protection können die folgenden Arten von Angriffen abgewehrt werden:
Volumetrische Angriffe
Diese Angriffe überfluten die Netzwerkebene mit einer beträchtlichen Menge scheinbar berechtigten Datenverkehrs. Dazu zählen UDP-Überflutungen, Verstärkungsüberflutungen und andere Überflutungen mit gefälschten Paketen. DDoS Protection wehrt diese bis zu mehreren Gigabytes großen Angriffe ab, indem sie mithilfe des weltweiten Netzwerks von Azure automatisch absorbiert und bereinigt werden.
Protokollangriffe
Diese Angriffe machen den Zugriff auf ein Ziel unmöglich, indem sie eine Schwachstelle in den Schichten 3 und 4 des Protokollstapels ausnutzen. Dazu gehören SYN-Flutangriffe, Reflexionsangriffe und andere Protokollangriffe. DDoS Protection wehrt diese Angriffe ab und unterscheidet dabei zwischen schädlichem und berechtigtem Datenverkehr. Nach Interaktion mit dem Client wird der schädliche Datenverkehr gesperrt.
Angriffe auf der Ressourcen-(Anwendungs-)Schicht
Das Ziel dieser Art von Angriffen sind Webanwendungspakete, um die Datenübertragung zwischen Hosts zu unterbrechen. Dazu zählen Verletzungen des HTTP-Protokolls, die Einschleusung von SQL-Befehlen, XSS-Angriffe (Cross-Site Scripting) und andere Angriffe auf Ebene 7. Verwenden Sie eine Web Application Firewall wie die Web Application Firewall von Azure Application Gateway und DDoS Protection zum Schutz vor diesen Angriffen. Im Azure Marketplace finden Sie auch WAF-Angebote von Drittanbietern.
Features von Azure DDoS Protection
Zu den Features von Azure DDoS Protection gehören:
- Native Plattformintegration: Nativ in Azure integriert und über das Portal konfiguriert.
- Sofort einsatzbereiter Schutz: Vereinfachte Konfiguration, die alle Ressourcen sofort schützt.
- Stets verfügbare Überwachung des Datenverkehrs: Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche auf Anzeichen für DDoS-Angriffe überwacht.
- Adaptive Optimierung: Profilerstellung und Anpassung an den Datenverkehr Ihres Diensts.
- Angriffsanalysen: Rufen Sie während eines Angriffs detaillierte Berichte in 5-Minuten-Inkrementen und nach dem Angriff eine vollständige Zusammenfassung ab.
- Angriffsmetriken und Warnungen: Auf zusammengefasste Metriken der einzelnen Angriffe kann über Azure Monitor zugegriffen werden. Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden.
- Mehrschichtiger Schutz: Bei der Bereitstellung mit einer Web Application Firewall (WAF) sorgt DDoS Protection für Schutz sowohl auf der Vermittlungsschicht (Schicht 3 und 4, angeboten von Azure DDoS Protection) als auch auf der Anwendungsschicht (Schicht 7, angeboten von einer WAF).
Sehen wir uns einige dieser wichtigen Features genauer an.
Stets verfügbare Überwachung des Datenverkehrs
DDoS Protection überwacht die tatsächliche Auslastung des Datenverkehrs und vergleicht sie ständig mit den Schwellenwerten der DDoS-Richtlinie. Bei Überschreitung des Schwellenwerts für den Datenverkehr wird die DDoS-Abwehr automatisch eingeleitet. Sinkt der Datenverkehr wieder unter den Schwellenwert, wird die Entschärfung beendet.
Während des Entschärfungsvorgangs wird der an die geschützte Ressource gesendete Datenverkehr vom DDoS Protection-Dienst umgeleitet und mehreren Prüfungen unterzogen, z. B.:
- Stellen Sie sicher, dass Pakete den Internetspezifikationen entsprechen und wohlgeformt sind.
- Interagieren Sie mit dem Client, um zu bestimmen, ob es sich bei dem Datenverkehr möglicherweise um ein gefälschtes Paket handelt (Beispiel: SYN-Authentifizierung oder SYN-Cookie oder durch Verwerfen eines Pakets, damit die Quelle es erneut übermittelt).
- Übertragungsratenlimits für Pakete, wenn keine andere Erzwingungsmethode ausgeführt werden kann.
DDoS Protection trennt den Angriffsdatenverkehr und leitet den verbleibenden Datenverkehr an das vorgesehene Ziel weiter. Innerhalb weniger Minuten nach Angriffserkennung werden Sie mithilfe der Metriken von Azure Monitor benachrichtigt. Indem Sie die Protokollierung der DDoS Protection-Telemetrie konfigurieren, können Sie die Protokolle für eine zukünftige Analyse in die verfügbaren Optionen schreiben. Metrische Daten in Azure Monitor werden für DDoS Protection 30 Tage lang gespeichert.
Adaptive Echtzeitoptimierung
Der Azure DDoS Protection-Dienst hilft dabei, Kunden zu schützen und Auswirkungen auf andere Kunden zu verhindern. Wenn ein Dienst z. B. für ein typisches Volumen legitimen eingehenden Datenverkehrs bereitgestellt wird, das kleiner ist als die Triggerrate der infrastrukturweiten DDoS Protection-Richtlinie, könnte ein DDoS-Angriff auf die Ressourcen dieses Kunden unbemerkt bleiben. Allgemeiner gesagt: Die komplexe Natur aktueller Angriffe (z. B. Multi-Vektor-DDoS), sowie das anwendungsspezifische Verhalten von Mandanten erfordern kundenspezifische, angepasste Schutzrichtlinien.
Der Dienst führt diese Anpassung mithilfe von zwei Erkenntnissen durch:
- Automatische Ermittlung der Datenverkehrsmuster pro Kunde (pro öffentlicher IP-Adresse) für die Schichten 3 und 4
- Minimieren falsch positiver Ergebnisse – davon ausgehend, dass die Skalierung in Azure das Absorbieren signifikanter Datenverkehrsmengen erlaubt
Angriffsmetriken, Warnungen und Protokolle
DDoS Protection stellt über das Tool Azure Monitor umfangreiche Telemetriedaten zur Verfügung. Sie können Warnungen für alle Azure Monitor-Metriken konfigurieren, die DDoS Protection verwendet. Sie können die Protokollierung mit Splunk (Azure Event Hubs), Azure Monitor-Protokolle und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integrieren.
Wählen Sie im Azure-Portal Überwachen > Metriken aus. Wählen Sie im Bereich Metrik die Ressourcengruppe, den Ressourcentyp Öffentliche IP-Adresse und Ihre öffentliche Azure-IP-Adresse aus. DDoS-Metriken werden im Bereich Verfügbare Metriken angezeigt.
DDoS Protection wendet drei automatisch optimierte Abwehrrichtlinien (SYN, TCP und UDP) für jede öffentliche IP-Adresse der geschützten Ressource in dem VNet an, für das DDoS aktiviert ist. Sie können die Richtlinienschwellenwerte anzeigen, indem Sie Metriken für eingehende [SYN/TCP/UDP]-Pakete auswählen, die DDoS-Entschärfung auslösen. Der Beispielscreenshot unten zeigt dies.
Die Schwellenwerte der Richtlinien werden automatisch über unsere Profilerstellung für Netzwerkdatenverkehr konfiguriert, die auf Machine Learning basiert. Die DDoS-Entschärfung wird nur dann für eine IP-Adresse durchgeführt, die einem Angriff ausgesetzt ist, wenn der Richtlinienschwellenwert überschritten wird.
Wenn die öffentliche IP-Adresse angegriffen wird, ändert sich der Wert für die Metrik DDoS-Angriff in 1, da DDoS Protection den Angriffsdatenverkehr entschärft.
Es wird empfohlen, eine Warnung für diese Metrik zu konfigurieren, weil Sie dann benachrichtigt werden, wenn eine aktive DDoS-Entschärfung für Ihre öffentliche IP-Adresse durchgeführt wird.
Mehrschichtiger Schutz
Speziell für Ressourcenangriffe auf die Anwendungsschicht sollten Sie Web Application Firewall (WAF) konfigurieren, um Webanwendungen zu schützen. WAF untersucht eingehenden Webdatenverkehr, um SQL-Einfügungen, Cross-Site Scripting, DDoS und andere Schicht 7-Angriffe zu blockieren. Azure stellt WAF als Feature von Application Gateway bereit, um zentralisierten Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken zu bieten. Über den Azure Marketplace sind andere WAF-Angebote bei Azure-Partnern erhältlich, die möglicherweise für Ihre Anforderungen besser geeignet sind.
Auch Web Application Firewalls sind anfällig für volumetrische und Zustandserschöpfungsangriffe. Daher wird unbedingt empfohlen, DDoS Protection zum Schutz vor volumetrischen Angriffen und Protokollangriffen auf dem virtuellen WAF-Netzwerk zu aktivieren.
Bereitstellen eines DDoS-Schutzplans
Die wichtigsten Phasen der Bereitstellung als DDoS Protection-Plan sind die folgenden:
- Erstellen einer Ressourcengruppe
- Erstellen eines DDoS-Schutzplans
- Aktivieren von DDoS Protection in einem neuen oder vorhandenen virtuellen Netzwerk oder einer IP-Adresse
- Konfigurieren von DDoS-Telemetrie
- Konfigurieren von DDoS-Diagnoseprotokollen
- Konfigurieren von DDoS-Warnungen
- Führen Sie einen DDoS-Testangriff aus, und überwachen Sie die Ergebnisse.