Componenti di una strategia di risposta DDoS
Un attacco DDoS che prende di mira le risorse di Azure richiede solitamente un intervento minimo dal punto di vista dell'utente. L'integrazione della mitigazione DDoS nella strategia di risposta agli eventi imprevisti contribuisce comunque a ridurre al minimo l'impatto sulla continuità aziendale.
Intelligence per le minacce di Microsoft
Microsoft ha a disposizione un'ampia rete di intelligence per le minacce. Questa rete usa le conoscenze collettive di una comunità di sicurezza estesa che supporta Microsoft Online Services, i partner Microsoft e le relazioni all'interno della comunità della sicurezza Internet.
In qualità di fornitore di infrastrutture critiche, Microsoft riceve avvisi tempestivi sulle minacce e raccoglie informazioni sulle minacce dai propri servizi online e dalla base clienti globale. Microsoft incorpora tutte queste informazioni sulle minacce nei prodotti Protezione DDoS di Azure.
La Microsoft Digital Crimes Unit (DCU) mette inoltre in atto strategie offensive contro le botnet, che sono una fonte comune di comando e controllo per gli attacchi DDoS.
Valutazione del rischio delle risorse di Azure.
È imperativo comprendere la portata del rischio di un attacco DDoS su base continuativa. Porsi periodicamente le domande seguenti:
Quali nuove risorse di Azure pubblicamente disponibili hanno bisogno di protezione?
È presente un singolo punto di guasto nel servizio?
Come possono essere isolati i servizi per limitare l'impatto di un attacco mantenendo comunque i servizi disponibili per i clienti validi?
Esistono reti virtuali in cui Protezione DDoS dovrebbe essere abilitata, ma non lo è?
I miei servizi sono attivi/non attivi con il failover in più regioni?
È essenziale comprendere il comportamento normale di un'applicazione e prepararsi ad agire se l'applicazione non si comporta come previsto durante un attacco DDoS. Sono stati configurati monitoraggi per le applicazioni critiche per l'azienda che simulano il comportamento del client e segnalano quando vengono rilevate anomalie rilevanti. Fare riferimento a procedure consigliate per il monitoraggio e la diagnostica per ottenere informazioni dettagliate sull'integrità dell'applicazione.
Azure Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme. È possibile usare Application Insights per monitorare l'applicazione Web mentre è in esecuzione. Il servizio rileva automaticamente le anomalie nelle prestazioni Include strumenti di analisi che consentono di diagnosticare i problemi e di conoscere come viene usata l'app dagli utenti. È progettato per favorire un costante miglioramento delle prestazioni e dell'usabilità.
Team di risposta del cliente DDoS
La creazione di un team di risposta DDoS è un passo fondamentale per rispondere a un attacco in modo rapido ed efficace. Identificare i contatti nell'organizzazione che sovrintenderanno sia alla pianificazione che all'esecuzione. Questo team di risposta DDoS deve comprendere a fondo il servizio Protezione DDoS di Azure. Assicurarsi che il team possa identificare e mitigare un attacco coordinandosi con i clienti interni ed esterni, incluso il team di supporto Microsoft.
È consigliabile usare gli esercizi di simulazione come parte normale della pianificazione della disponibilità e della continuità del servizio e questi esercizi devono includere test di scalabilità. Vedere Testare tramite simulazioni per informazioni su come simulare il traffico di test DDoS sugli endpoint pubblici di Azure.
Avvisi durante un attacco
Protezione DDoS di Azure identifica e mitiga gli attacchi DDoS senza alcun intervento dell'utente. Per ricevere una notifica quando è presente una mitigazione attiva per un indirizzo IP pubblico protetto, è possibile configurare gli avvisi.
Quando contattare il supporto Microsoft
I clienti di Protezione di rete DDoS di Azure hanno accesso al team DDoS Rapid Response (DRR), che può aiutare con l'analisi degli attacchi durante un attacco e un'analisi post-attacco. Per altre informazioni, tra cui quando è necessario coinvolgere il team DRR, vedere DDoS Rapid Response. I clienti di Protezione IP DDoS di Azure devono creare una richiesta di connessione con il supporto Tecnico Microsoft. Per altre informazioni, vedere Creare una richiesta di supporto.
Procedura successiva all'attacco.
È sempre una buona strategia eseguire una valutazione a posteriori dopo un attacco e modificare la strategia di risposta DDoS in base alle esigenze. Ecco alcuni aspetti da considerare:
C'è stata un'interruzione del servizio o dell'esperienza dell'utente a causa della mancanza di un'architettura scalabile?
Quali applicazioni o servizi hanno sofferto maggiormente?
Quanto è stata efficace la strategia di risposta DDoS e come potrebbe essere migliorata?
Se si sospetta di essere sotto attacco DDoS, eseguire l'escalation attraverso i normali canali di supporto di Azure.
Passaggi successivi
- Informazioni su come configurare gli avvisi delle metriche tramite il portale.
- Informazioni su come coinvolgere DDoS Rapid Response.