Samouczek: testowanie symulacji usługi Azure DDoS Protection

Dobrym rozwiązaniem jest przetestowanie założeń dotyczących reagowania usług na atak przez przeprowadzanie okresowych symulacji. Podczas testowania sprawdź, czy usługi lub aplikacje nadal działają zgodnie z oczekiwaniami i nie ma żadnych zakłóceń w środowisku użytkownika. Zidentyfikuj luki zarówno z punktu widzenia technologii, jak i procesu, i uwzględnij je w strategii reagowania DDoS. Zalecamy przeprowadzenie takich testów w środowiskach przejściowych lub w godzinach poza godzinami szczytu, aby zminimalizować wpływ na środowisko produkcyjne.

W tym samouczku utworzysz środowisko testowe obejmujące:

• Plan ochrony przed atakami DDoS
• Sieć wirtualna
• Host usługi Azure Bastion
• Moduł równoważenia obciążenia
• Dwie maszyny wirtualne

Następnie skonfigurujesz dzienniki diagnostyczne i alerty, aby monitorować ataki i wzorce ruchu. Na koniec skonfigurujesz symulację ataku DDoS przy użyciu jednego z naszych zatwierdzonych partnerów testowych.

Symulacje ułatwiają:

• Sprawdzić, jak usługa Azure DDoS Protection pomaga chronić zasoby platformy Azure przed atakami DDoS.
• Zoptymalizować proces reagowania na zdarzenia w trakcie ataku DDoS.
• Dokumentować zgodność z zasadami dotyczącymi ataków DDoS.
• Szkolić zespoły ds. bezpieczeństwa sieci.

Zasady testowania symulacji usługi Azure DDoS

Ataki można symulować tylko przy użyciu naszych zatwierdzonych partnerów testowych:

• BreakingPoint Cloud: generator ruchu samoobsługowego, w którym klienci mogą generować ruch z publicznymi punktami końcowymi obsługującymi ochronę przed atakami DDoS na potrzeby symulacji.
• MazeBolt:Platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.
• Czerwony przycisk: współpracuj z dedykowanym zespołem ekspertów w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.
• RedWolf: samoobsługowy lub z przewodnikiem dostawca testowania DDoS z kontrolą w czasie rzeczywistym.

Środowiska symulacji naszych partnerów testowych są tworzone na platformie Azure. Przed rozpoczęciem testowania można symulować tylko publiczne adresy IP hostowane na platformie Azure należące do własnej subskrypcji platformy Azure, które zostaną zweryfikowane przez naszych partnerów. Ponadto te docelowe publiczne adresy IP muszą być chronione w usłudze Azure DDoS Protection. Testowanie symulacji pozwala ocenić bieżący stan gotowości, zidentyfikować luki w procedurach reagowania na zdarzenia i przeprowadzić cię podczas opracowywania odpowiedniej strategii reagowania DDoS.

Uwaga

Usługa BreakingPoint Cloud i Czerwony przycisk są dostępne tylko dla chmury publicznej.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją.
• Aby można było używać rejestrowania diagnostycznego, należy najpierw utworzyć obszar roboczy usługi Log Analytics z włączonymi ustawieniami diagnostycznymi.
• W tym samouczku należy wdrożyć usługę Load Balancer, publiczny adres IP, usługę Bastion i dwie maszyny wirtualne. Aby uzyskać więcej informacji, zobacz Deploy Load Balancer with DDoS Protection (Wdrażanie usługi Load Balancer za pomocą usługi DDoS Protection). Krok bramy translatora adresów sieciowych można pominąć w samouczku Wdrażanie modułu równoważenia obciążenia przy użyciu usługi DDoS Protection.

Konfigurowanie metryk i alertów usługi DDoS Protection

W tym samouczku skonfigurujemy metryki i alerty usługi DDoS Protection w celu monitorowania ataków i wzorców ruchu.

Konfigurowanie dzienników diagnostycznych

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź ciąg Monitor. Wybierz pozycję Monitoruj w wynikach wyszukiwania.

3. Wybierz pozycję Ustawienia diagnostyczne w obszarze Ustawienia w okienku po lewej stronie, a następnie wybierz następujące informacje na stronie Ustawienia diagnostyczne. Następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

   

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
   Grupa zasobów	Wybierz grupę zasobów zawierającą publiczny adres IP, który chcesz zarejestrować.
   Typ zasobu	Wybierz pozycję Publiczne adresy IP.
   Zasób	Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.

4. Na stronie Ustawienia diagnostyczne w obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wprowadź następujące informacje, a następnie wybierz pozycję Zapisz.

   

   Ustawienie	Wartość
   Nazwa ustawienia diagnostycznego	Wprowadź wartość myDiagnosticSettings.
   Dzienniki	Wybierz wszystkieLogi.
   Metryki	Wybierz pozycję Wszystkie metryki.
   Szczegóły miejsca docelowego	Wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics.
   Subskrypcja	Wybierz subskrypcję platformy Azure.
   Obszar roboczy usługi Log Analytics	Wybierz pozycję myLogAnalyticsWorkspace.

Konfigurowanie alertów metryk

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź alerty. Wybierz pozycję Alerty w wynikach wyszukiwania.

3. Wybierz pozycję + Utwórz na pasku nawigacyjnym, a następnie wybierz pozycję Reguła alertu.

   

4. Na stronie Tworzenie reguły alertu wybierz pozycję + Wybierz zakres, a następnie wybierz następujące informacje na stronie Wybierz zasób.

   

   Ustawienie	Wartość
   Filtruj według subskrypcji	Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
   Filtruj według typu zasobu	Wybierz pozycję Publiczne adresy IP.
   Zasób	Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.

5. Wybierz pozycję Gotowe, a następnie wybierz pozycję Dalej: Warunek.

6. Na stronie Warunek wybierz pozycję + Dodaj warunek, a następnie w polu wyszukiwania Wyszukaj według nazwy sygnału wyszukaj i wybierz pozycję W obszarze Atak DDoS lub nie.

   

7. Na stronie Tworzenie reguły alertu wprowadź lub wybierz następujące informacje.

   Ustawienie	Wartość
   Threshold	Pozostaw wartość domyślną.
   Typ agregacji	Pozostaw wartość domyślną.
   Operator	Wybierz pozycję Większe niż lub równe.
   Jednostka	Pozostaw wartość domyślną.
   Wartość progu	Wprowadź wartość 1. W przypadku ataku DDoS lub nie metryki 0 oznacza, że nie atakujesz, a 1 oznacza, że atakujesz.

8. Wybierz pozycję Dalej: Akcje , a następnie wybierz pozycję + Utwórz grupę akcji.

Tworzenie grupy akcji

1. Na stronie Tworzenie grupy akcji wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Powiadomienia.

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję platformy Azure zawierającą publiczny adres IP, który chcesz zarejestrować.
   Grupa zasobów	Wybierz grupę zasobów.
   Region (Region)	Pozostaw wartość domyślną.
   Grupa akcji	Wprowadź wartość myDDoSAlertsActionGroup.
   Display name	Wprowadź ciąg myDDoSAlerts.

2. Na karcie Powiadomienia w obszarze Typ powiadomienia wybierz pozycję Wiadomość e-mail/wiadomość SMS/Wypychanie/głos. W obszarze Nazwa wprowadź wartość myUnderAttackEmailAlert.

   

3. Na stronie Wiadomość e-mail/wiadomość SMS/Wypychanie/głos zaznacz pole wyboru Poczta e-mail, a następnie wprowadź wymaganą wiadomość e-mail. Wybierz przycisk OK.

   

4. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Kontynuuj konfigurowanie alertów za pośrednictwem portalu

1. Wybierz pozycję Dalej: Szczegóły.

   

2. Na karcie Szczegóły w obszarze Szczegóły reguły alertu wprowadź następujące informacje.

   Ustawienie	Wartość
   Ważność	Wybierz pozycję 2 — Ostrzeżenie.
   Nazwa reguły alertu	Wprowadź wartość myDDoSAlert.

3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji.

Konfigurowanie symulacji ataku DDoS

BreakingPoint Cloud

BreakingPoint Cloud to generator ruchu samoobsługowego, w którym można wygenerować ruch z publicznymi punktami końcowymi obsługującymi ochronę przed atakami DDoS na potrzeby symulacji.

Oferty breakingPoint Cloud:

• Uproszczony interfejs użytkownika i środowisko "gotowe do użycia".
• Model płatności za użycie.
• Wstępnie zdefiniowane profile określania rozmiaru i czasu trwania testu DDoS umożliwiają bezpieczniejsze walidacje, eliminując potencjalne błędy konfiguracji.
• Bezpłatne konto próbne.

Uwaga

W przypadku aplikacji BreakingPoint Cloud należy najpierw utworzyć konto usługi BreakingPoint Cloud.

Przykładowe wartości ataku:

Ustawienie	Wartość
Docelowy adres IP	Wprowadź jeden z publicznych adresów IP, które chcesz przetestować.
Numer portu	Wprowadź wartość 443.
Profil ataków DDoS	Możliwe wartości obejmują DNS Flood, NTPv2 FloodUDP 64B FloodUDP 512B FloodUDP 128B FloodTCP SYN FloodSSDP FloodUDP 1024B FloodUDP 1514B FloodUDP 256B Flood, . UDP MemcachedUDP Fragmentation
Rozmiar testu	Możliwe wartości to 100K pps, 50 Mbps and 4 source IPs, , 400K pps, 200Mbps and 16 source IPs200K pps, 100 Mbps and 8 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Czas trwania testu	Możliwe wartości obejmują 10 Minutes, , 20 Minutes15 Minutes, 25 Minutes, 30 Minutes.

Uwaga

• Aby uzyskać więcej informacji na temat korzystania z usługi BreakingPoint Cloud w środowisku platformy Azure, zobacz ten blog BreakingPoint Cloud.
• Aby zapoznać się z pokazem wideo przedstawiającym wykorzystanie usługi BreakingPoint Cloud, zobacz Symulacja ataków DDoS.

Czerwony przycisk

Pakiet usługi testowania DDoS red Button obejmuje trzy etapy:

1. Sesja planowania: Eksperci z red Button spotykają się z zespołem, aby zrozumieć architekturę sieci, zebrać szczegóły techniczne i zdefiniować jasne cele i harmonogramy testowania. Obejmuje to planowanie zakresu i obiektów docelowych testów DDoS, wektorów ataków i ataków. Wspólne planowanie zostało szczegółowo opisane w dokumencie planu testów.
2. Kontrolowany atak DDoS: na podstawie zdefiniowanych celów zespół Red Button uruchamia kombinację wielowektorowych ataków DDoS. Test zazwyczaj trwa od trzech do sześciu godzin. Ataki są bezpiecznie wykonywane przy użyciu dedykowanych serwerów i są kontrolowane i monitorowane przy użyciu konsoli zarządzania Red Button.
3. Podsumowanie i zalecenia: zespół red button udostępnia napisany raport testowy DDoS przedstawiający skuteczność ograniczania ryzyka ataków DDoS. Raport zawiera podsumowanie wyników testów, pełny dziennik symulacji, listę luk w zabezpieczeniach w infrastrukturze oraz zalecenia dotyczące ich poprawiania.

Ponadto usługa Red Button oferuje dwa inne pakiety usług, DDoS 360 i DDoS Incident Response, które mogą uzupełniać pakiet usług testowania DDoS.

RedWolf

RedWolf oferuje łatwy w użyciu system testowania, który jest samoobsługowy lub prowadzony przez ekspertów RedWolf. System testowania RedWolf umożliwia klientom konfigurowanie wektorów ataków. Klienci mogą określać rozmiary ataków z kontrolą w czasie rzeczywistym na ustawieniach w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.

Pakiet usług testowania DDoS firmy RedWolf obejmuje:

• Wektory ataków: unikatowe ataki w chmurze zaprojektowane przez RedWolf. Aby uzyskać więcej informacji na temat wektorów ataków RedWolf, zobacz Szczegóły techniczne.
• Usługa z przewodnikiem: wykorzystaj zespół RedWolf do uruchamiania testów. Aby uzyskać więcej informacji na temat usługi z przewodnikiem RedWolf, zobacz Usługa z przewodnikiem.
• Samoobsługa: korzystaj z narzędzia RedWolf, aby samodzielnie uruchamiać testy. Aby uzyskać więcej informacji na temat samoobsługi redwolf, zobacz Samoobsługa.

MazeBolt

Platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.

Następne kroki

Aby wyświetlić metryki ataku i alerty po ataku, przejdź do następnych samouczków.

Wyświetlanie alertów w usłudze Defender for CloudView dzienników diagnostycznych w obszarze roboczymanalizy dzienników angażowanie się w szybkie reagowanie na zdarzenia DDoS platformy Azure