Wdrażanie usługi Azure DDoS Protection przy użyciu witryny Azure Portal

15 min

Rozproszona odmowa usługi (DDoS)

Atak typu "odmowa usługi" (DoS) to atak, który ma na celu zapobieganie dostępowi do usług lub systemów. Atak DoS pochodzi z jednej lokalizacji. Atak typu "rozproszona odmowa usługi" (DDoS) pochodzi z wielu sieci i systemów.

Ataki DDoS to niektóre z największych problemów z dostępnością i zabezpieczeniami, przed którymi stoją klienci przenoszący swoje aplikacje do chmury. Atak DDoS próbuje opróżnić interfejsy API lub zasoby aplikacji, co sprawia, że ta aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.

Implementacja ataków DDoS

Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ochronę przed atakami DDoS. W usłudze Azure DDoS Protection dostępne są następujące warstwy usługi:

Ochrona sieci. Zapewnia możliwości ograniczania ryzyka za pośrednictwem ochrony infrastruktury DDoS, które są dostosowane specjalnie do zasobów usługi Azure Virtual Network. Usługa Azure DDoS Protection jest prosta do włączenia i nie wymaga żadnych zmian aplikacji. Zasady są stosowane do publicznych adresów IP skojarzonych z zasobami wdrożonymi w sieciach wirtualnych. Dane telemetryczne w czasie rzeczywistym są dostępne za pośrednictwem widoków usługi Azure Monitor podczas ataku i historii. Zaawansowana analiza ograniczania ryzyka ataków jest dostępna za pośrednictwem ustawień diagnostycznych. Ochronę warstwy aplikacji można dodać za pośrednictwem zapory aplikacji internetowej (WAF) usługi aplikacja systemu Azure Gateway. Ochrona jest dostępna dla publicznych adresów IP IPv4 i IPv6 platformy Azure.
Ochrona adresów IP. Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS. Istnieją jednak usługi dodawane do wartości, takie jak obsługa szybkiego reagowania DDoS, ochrona kosztów i rabaty w zaporze aplikacji internetowej.

Usługa DDoS Protection chroni zasoby w sieci wirtualnej. Ochrona obejmuje publiczne adresy IP maszyny wirtualnej, moduły równoważenia obciążenia i bramy aplikacji. W połączeniu z zaporą aplikacji internetowej usługi Application Gateway usługa DDoS Protection może zapewnić pełne możliwości ograniczania ryzyka warstwy 3 do warstwy 7.

Typy ataków DDoS

Usługa DDoS Protection może ograniczyć następujące typy ataków.

Ataki wolumetryczne. Ataki te zalewają warstwę sieci znaczną ilością pozornie uzasadnionego ruchu. Obejmują powodzie UDP, powodzie wzmacniania i inne powodzie fałszowane-pakiety.
Ataki na protokół. Tego typu ataki powodują brak dostępności celu ataku przez wykorzystanie słabego punktu w stosie protokołu warstwy 3 i 4. Ataki obejmują ataki przeciwpowodziowe SYN, ataki odbicia i inne ataki protokołu.
Ataki warstwowe zasobów (aplikacji). Te ataki dotyczą pakietów aplikacji internetowych w celu zakłócenia transmisji danych między hostami. Ataki obejmują naruszenia protokołu HTTP, wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne ataki warstwy 7.

Funkcje ochrony przed atakami DDoS na platformie Azure

Niektóre funkcje ochrony przed atakami DDoS platformy Azure obejmują:

Natywna integracja platformy. Natywnie zintegrowane z platformą Azure i skonfigurowane za pośrednictwem portalu.
Ochrona pod kluczem. Uproszczona konfiguracja chroniąca wszystkie zasoby natychmiast.
Zawsze włączone monitorowanie ruchu. Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS.
Dostrajanie adaptacyjne. Profilowanie i dostosowywanie ruchu usługi.
Analiza ataków. Uzyskuj szczegółowe raporty co pięć minut w trakcie ataku oraz pełne podsumowanie po jego zakończeniu.
Metryki i alerty ataku. Podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor. Alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku.
Ochrona wielowarstwowa. Po wdrożeniu za pomocą zapory aplikacji internetowej usługa DDoS Protection chroni zarówno warstwę sieciową, jak i warstwę aplikacji.

Przyjrzyjmy się nieco bardziej szczegółowo niektórym kluczowym funkcjom usługi DDoS Protection.

Monitorowanie ruchu zawsze włączone

Usługa DDoS Protection monitoruje rzeczywiste wykorzystanie ruchu i stale porównuje je z progami zdefiniowanymi w zasadach DDoS. Po przekroczeniu progu ruchu środki zaradcze DDoS są inicjowane automatycznie. Gdy ruch powraca poniżej progów, środki zaradcze są zatrzymywane.

Diagram ilustrujący monitorowanie ruchu zawsze włączonego przy użyciu ochrony przed atakami DDoS.

Podczas ograniczania ryzyka ruch wysyłany do chronionego zasobu jest przekierowywany i wykonywane są kilka kontroli.

Upewnij się, że pakiety są zgodne ze specyfikacjami internetowymi i nie są źle sformułowane.
Wchodzenie w interakcję z klientem w celu określenia, czy ruch jest potencjalnie sfałszowany pakiet (np. uwierzytelnianie SYN lub plik cookie SYN, lub upuszczanie pakietu dla źródła w celu jego ponownego transmitowania).
Pakiety limitu szybkości, jeśli nie można wykonać żadnej innej metody wymuszania.

Ochrona przed atakami DDoS usuwa ruch atakowy i przekazuje pozostały ruch do zamierzonego miejsca docelowego. W ciągu kilku minut od wykrycia ataku otrzymasz powiadomienie za pomocą metryk usługi Azure Monitor. Konfigurując rejestrowanie danych telemetrycznych usługi DDoS Protection, można zapisać dzienniki w celu uzyskania dostępnych opcji na potrzeby przyszłej analizy. Dane metryk w usłudze Azure Monitor dla usługi DDoS Protection są przechowywane przez 30 dni.

Adaptacyjne dostrajanie w czasie rzeczywistym

Usługa Azure DDoS Protection pomaga chronić klientów i zapobiegać wpływom na innych klientów. Jeśli na przykład usługa jest aprowizowana dla typowej liczby legalnego ruchu przychodzącego, który jest mniejszy niż szybkość wyzwalacza zasad ochrony przed atakami DDoS dla całej infrastruktury, atak DDoS na zasoby tego klienta może być niezauważony. Ogólnie rzecz biorąc, złożoność ostatnich ataków (na przykład wielowektorowych ataków DDoS) i zachowania specyficzne dla aplikacji dzierżaw wymagają zasad ochrony poszczególnych klientów.

Diagram ilustrujący adaptacyjne dostrajanie w czasie rzeczywistym w ochronie przed atakami DDoS.

Metryki ataku, alerty i dzienniki

Usługa DDoS Protection uwidacznia zaawansowane dane telemetryczne za pośrednictwem narzędzia usługi Azure Monitor. Możesz skonfigurować alerty dla dowolnych metryk usługi Azure Monitor używanych przez usługę DDoS Protection. Rejestrowanie można zintegrować z rozwiązaniem Splunk (Azure Event Hubs), dziennikami usługi Azure Monitor i usługą Azure Storage w celu przeprowadzenia zaawansowanej analizy za pośrednictwem interfejsu diagnostyki usługi Azure Monitor.

W witrynie Azure Portal wybierz pozycję Monitoruj > metryki. W okienku Metryki wybierz grupę zasobów, wybierz typ zasobu Publiczny adres IP i wybierz publiczny adres IP platformy Azure. Metryki DDoS są widoczne w okienku Dostępne metryki .

Usługa DDoS Protection stosuje trzy zasady ograniczania ryzyka automatycznego dostrajania (SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu w sieci wirtualnej z włączoną funkcją DDoS. Progi zasad można wyświetlić, wybierając pakiety przychodzące [SYN/TCP/UDP], aby wyzwolić metryki ograniczania ryzyka ataków DDoS.

Zrzut ekranu przedstawiający wykres przedstawiający metryki zasad ograniczania ryzyka z usługi DDoS Protection.

Progi zasad są konfigurowane automatycznie za pośrednictwem profilowania ruchu sieciowego opartego na uczeniu maszynowym. Ograniczenie ryzyka ataków DDoS występuje dla adresu IP objętego atakiem tylko wtedy, gdy próg zasad zostanie przekroczony.

Jeśli publiczny adres IP jest atakowany, wartość ataku DDoS w obszarze ataków DDoS lub nie zmienia się na metryki 1 , ponieważ usługa DDoS Protection ogranicza ryzyko ataku.

Zrzut ekranu przedstawiający wykres przedstawiający metrykę ataku DDoS lub nie.

Wielowarstwowa ochrona

Specyficzne dla ataków na zasoby w warstwie aplikacji należy skonfigurować zaporę aplikacji internetowej, aby ułatwić zabezpieczanie aplikacji internetowych. Zapora aplikacji internetowej sprawdza przychodzący ruch internetowy w celu blokowania iniekcji SQL, skryptów między witrynami, ataków DDoS i innych ataków warstwy 7. Platforma Azure udostępnia zaporę aplikacji internetowej jako funkcję usługi Application Gateway w celu scentralizowanej ochrony aplikacji internetowych przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Istnieją inne oferty zapory aplikacji internetowej dostępne od partnerów platformy Azure w witrynie Azure Marketplace.

Diagram ilustrujący usługę Application Gateway zapory aplikacji internetowej.

Nawet zapory aplikacji internetowej są podatne na ataki wyczerpania woluminów i stanu. W związku z tym włącz ochronę przed atakami DDoS w sieci wirtualnej zapory aplikacji internetowej, aby chronić przed atakami woluminowymi i protokołami.

Wdrażanie planu ochrony przed atakami DDoS

Kluczowe etapy wdrażania planu usługi DDoS Protection są następujące:

Tworzenie grupy zasobów
Tworzenie planu ochrony przed atakami DDoS
Włączanie ochrony przed atakami DDoS w nowej lub istniejącej sieci wirtualnej lub adresie IP
Konfigurowanie telemetrii DDoS
Konfigurowanie dzienników diagnostycznych DDoS
Konfigurowanie alertów DDoS
Uruchom testowy atak DDoS i monitoruj wyniki.

Sprawdź swoją wiedzę

Który objaw wskazuje atak DDoS?

Niewyjaśniony wzrost liczby żądań.

Aplikacja działa powoli.

Nieprawidłowe żądanie HTTP 400

Jakie działania podejmujemy w przypadku ataku DDoS?

Monitorowanie alertów i przeglądanie profilu ataku.

Skalowanie zasobów platformy Azure w poziomie w celu utrzymania działania systemów.

Wyślij wiadomość e-mail do zespołu IT.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.