Развертывание Защиты от атак DDoS с помощью портала Azure

15 мин

Распределенная атака типа "отказ в обслуживании" (DDoS)

Атака типа "отказ в обслуживании" (DoS) — это атака с целью не допустить доступ к службам или системам. Атака DoS возникает из одного расположения. Распределенная атака типа "отказ в обслуживании" (DDoS) возникает из нескольких сетей и систем.

Атаки DDoS — это некоторые из крупнейших проблем доступности и безопасности, которые сталкиваются с клиентами, которые перемещают свои приложения в облако. Атака DDoS пытается слить ресурсы API или приложения, что делает это приложение недоступным для законных пользователей. Атаку DDoS можно направить на любую конечную точку, публично доступную через Интернет.

Реализация атак DDoS

Служба защиты от атак DDoS Azure обеспечит защиту от DDoS-атак, если соблюдаются рекомендации по проектированию приложений. Служба "Защита от атак DDoS Azure" предоставляет следующие уровни обслуживания:

Защита сети. Предоставляет возможности устранения рисков по сравнению с защитой инфраструктуры DDoS, которые настраиваются специально для ресурсов Azure виртуальная сеть. Защита от атак DDoS Azure проста для включения и не требует изменений приложений. Они применяются к общедоступным IP-адресам, связанным с ресурсами, развернутыми в виртуальных сетях, Данные телеметрии доступны в представлениях Azure Monitor в режиме реального времени во время атаки и после ее окончания. Широкие возможности для анализа устранения рисков атак доступны с помощью параметров диагностики. Защиту уровня приложений можно добавить с помощью Шлюз приложений Azure Брандмауэр веб-приложений (WAF). Защита обеспечивается для общедоступных IP-адресов Azure IPv4 и IPv6.
Защита IP-адресов. Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS. Однако существуют дополнительные службы, такие как поддержка быстрого реагирования DDoS, защита затрат и скидки на WAF.

Защита от атак DDoS защищает ресурсы в виртуальной сети. Защита включает общедоступные IP-адреса виртуальных машин, подсистемы балансировки нагрузки и шлюзы приложений. При сочетании с Шлюз приложений WAF защита от атак DDoS может предоставлять полный уровень 3 и возможности устранения рисков уровня 7.

Типы атак DDoS

Защита от атак DDoS может снизить следующие типы атак.

Объемные атаки. Эти атаки потопили сетевой слой с существенным объемом, казалось бы, законным трафиком. К ним относятся UDP-флуд, заполнение с усилением и другие типы заполнения с использованием поддельных пакетов.
Атаки протокола. Они пытаются ухудшить доступность целевого объекта, используя уязвимости в стеке протоколов уровней 3 и 4. К атакам относятся атаки на наводнения SYN, атаки отражения и другие атаки протокола.
Атаки уровня ресурсов (приложения). Эти атаки предназначены для пакетов веб-приложений, чтобы нарушить передачу данных между узлами. Атаки включают нарушения протокола HTTP, внедрение SQL, межсайтовые скрипты и другие атаки уровня 7.

Функции Защиты от атак DDoS Azure

Ниже описаны некоторые функции Защиты от атак DDoS Azure.

Интеграция собственной платформы. Встроенная интеграция в Azure и настройка с помощью портала.
Защита от ключа. Упрощенная конфигурация, обеспечивающая немедленное защиту всех ресурсов.
Мониторинг трафика always-on. Трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак.
Адаптивная настройка. Профилирование и настройка трафика службы.
Аналитика атак. Во время атаки вам будут отправляться подробные отчеты с пятиминутными интервалами, а по ее завершении вы получите полную сводку.
Метрики атак и оповещения. В Azure Monitor доступны обобщенные метрики для каждой атаки. Вы можете настроить оповещения в начале, конце и на протяжении атаки, используя встроенные метрики атаки.
Многоуровневая защита. При развертывании с помощью WAF защита от атак DDoS защищает как на сетевом уровне, так и на уровне приложения.

Давайте рассмотрим более подробные сведения о некоторых ключевых функциях защиты от атак DDoS.

Постоянный мониторинг трафика

Защита от атак DDoS отслеживает фактическое использование трафика и постоянно сравнивает его с порогами, определенными в политике DDoS. При превышении порогового значения трафика атака DDoS автоматически устраняется. Когда объем трафика уменьшается ниже порогового значения, устранение атаки отключается.

Схема: постоянный мониторинг трафика с помощью Защиты от атак DDoS.

Во время устранения рисков трафик, отправленный в защищенный ресурс, перенаправляется и выполняется несколько проверок.

Убедитесь, что пакеты соответствуют спецификациям Интернета и не являются неправильными.
Взаимодействие с клиентом для определения того, является ли трафик поддельным пакетом (например, с помощью SYN Auth или SYN Cookie или путем отбрасывания пакета, чтобы источник направил его повторно).
Ограничение частоты пакетов, если никакой другой метод применить нельзя.

Служба "Защита от атак DDoS" блокирует трафик атаки и направляет оставшийся трафик на целевую систему. В течение нескольких минут после обнаружения атаки вы будете уведомлены с помощью метрик Azure Monitor. Настроив ведение журнала в телеметрии защиты от атак DDoS, вы можете записать журналы в доступные параметры для дальнейшего анализа. Данные метрик в Azure Monitor для защиты от атак DDoS хранятся в течение 30 дней.

Адаптивная настройка в режиме реального времени

Служба "Защита от атак DDoS" Azure помогает защищать клиентов и предотвращать влияние на других клиентов. Например, если служба предоставляется для типичного объема допустимого входящего трафика, который меньше значений срабатывания триггеров общей политики службы "Защита от атак DDoS", атака DDoS на ресурсы этого клиента может остаться незамеченной. В более широком смысле сложность недавних атак (например, многовекторные атаки DDoS) и поведение арендаторов, связанное с конкретными приложениями, требуют настраиваемых политик для каждого клиента.

Схема: адаптивная настройка в реальном времени в службе

Метрики, оповещения и журналы атак

Защита от атак DDoS предоставляет широкие возможности телеметрии с помощью средства Azure Monitor. Вы можете настроить получение оповещений для любой метрики Azure Monitor, которую использует защита от атак DDoS. Вы можете интегрировать ведение журналов со Splunk (Центрами событий Azure), журналами Azure Monitor и службой хранилища Azure для расширенного анализа через интерфейс диагностики Azure Monitor.

На портале Azure выберите Монитор > Метрики. На панели Метрики выберите группу ресурсов, выберите тип ресурса Общедоступный IP-адрес и свой общедоступный IP-адрес Azure. Метрики DDoS видны на панели Доступные метрики.

Защита от атак DDoS применяет три политики автоматического устранения рисков (SYN, TCP и UDP) для каждого общедоступного IP-адреса защищенного ресурса в виртуальной сети с включенным DDoS. Пороговые значения политики можно просмотреть, выбрав пакеты для входящего трафика [SYN/TCP/UDP], чтобы активировать метрики устранения рисков DDoS.

Снимок экрана: диаграмма, отображающая метрики политики устранения рисков из защиты от атак DDoS.

Пороговые значения политики настраиваются автоматически через профилирование сетевого трафика на основе машинного обучения. Устранение атак DDoS выполняется для атакованного IP-адреса, только если превышены пороговые значения политики.

Если общедоступный IP-адрес находится под атакой, значение метрики Under DDoS attack or not (Ведется атака DDoS или нет) меняется на 1, так как служба "Защита от атак DDoS" обеспечивает защиту от трафика атаки.

Снимок экрана: диаграмма, отображающая метрику для атаки DDoS или нет.

Многоуровневая защита

Для атак ресурсов на уровне приложений необходимо настроить WAF для защиты веб-приложений. WAF проверяет входящий веб-трафик, чтобы блокировать внедрения кода SQL, межсайтовые сценарии, атаки DDoS и другие атаки уровня 7. Azure предоставляет WAF как компонент Шлюза приложений для централизованной защиты веб-приложений от распространенных эксплойтов и уязвимостей. Существуют другие предложения WAF, доступные партнерам Azure в Azure Marketplace.

Схема, иллюстрирующая Брандмауэр веб-приложений Шлюз приложений.

Даже брандмауэры веб-приложений подвержены объемным атакам. Таким образом, включите защиту от атак DDoS в виртуальной сети WAF, чтобы защититься от атак томов и протоколов.

Развертывание плана защиты от атак DDoS

Основные этапы развертывания плана защиты от атак DDoS приведены следующим образом:

Создание или изменение группы ресурсов
Создайте план защиты от атак DDoS.
Включение защиты от атак DDoS в новой или существующей виртуальной сети или IP-адресе
Настройте телеметрию атак DDoS.
Настройка журналов диагностики DDoS
Настройте оповещения об атаках DDoS.
Выполните тестовую атаку DDoS и отслеживайте результаты.

Проверьте свои знания

Какой симптом указывает на атаку DDoS?

Необъяснимое увеличение количества запросов.

Приложение работает медленно.

HTTP 400 Недопустимый запрос

Какое действие следует предпринять при атаке DDoS?

Отслеживать оповещения и рассмотреть профиль атаки.

Горизонтально увеличить масштаб ресурсов Azure для поддержания работы систем.

Отправить ИТ-отделу электронное письмо.

Вы должны ответить на все вопросы перед проверкой.