Share via

أفضل الممارسات الرئيسية لحماية Azure DDoS

  • مقالة

توفر الأقسام التالية إرشادات توجيهية لإنشاء خدمات مرنة لـ DDoS على Azure.

تصميم للأمان

تأكد من أن الأمن أولوية طوال فترة التطبيق بأكملها، من التصميم والتنفيذ إلى النشر والعمليات. يمكن أن يكون لدى التطبيقات أخطاء تسمح لحجم منخفض نسبيًا من الطلبات باستخدام مجموعة كبيرة من الموارد، ما يؤدي لانقطاع الخدمة.

للمساعدة في حماية خدمة تعمل على Microsoft Azure، يجب أن يكون لديك فهم جيد لبنية التطبيق والتركيز على الركائز الخمس المتعلقة بجودة البرامج. يجب أن تعرف وحدات تخزين حركة المرور النموذجية، ونموذج الاتصال بين التطبيق والتطبيقات الأخرى، ونقاط نهاية الخدمة التي تتعرض للإنترنت العام.

التأكد من أن التطبيق مرن بما فيه الكفاية لمعالجة رفض الخدمة المستهدفة عند التطبيق نفسه هو الأكثر أهمية. يتم تضمين ميزات الأمان والخصوصية في النظام الأساسي Azure، بدءًا من دورة حياة تطوير الأمان من Microsoft (SDL). يعالج SDL الأمان في كل مرحلة تطوير ويضمن تحديث Azure باستمرار لجعله أكثر أماناً. لمعرفة المزيد حول تعظيم فعاليتها باستخدام حماية DDoS، راجع تعظيم الفعالية: أفضل الممارسات لحماية Azure DDoS ومرونة التطبيق.

تصميم قابلية التوسع

قابلية التوسع هي مدى قدرة النظام على التعامل مع الزيادة في الحمل. تصميم التطبيقات الخاصة بك من أجل توسيع النطاق أفقيًا لتلبية متطلبات حمولة مكبرة على وجه التحديد، في حالة هجوم DDoS. إذا كان التطبيق يعتمد على مثيل واحد من الخدمة، فإنه ينشئ نقطة فشل واحدة. إن توفير مثيلات متعددة يجعل النظام أكثر مرونة وقابلية للتوسع.

بالنسبة لخدمة تطبيقات Azure، حدد خطة لخدمة التطبيقات التي تقدم مثيلات متعددة. بالنسبة لخدمات السحابة في Azure، كوّن كل دور من أدوارك بحيث يستخدم مثيلات متعددة. بالنسبة لـ الأجهزة الظاهرية لـ Azure تأكد من أن بنية الجهاز الظاهري تشمل أكثر من جهاز ظاهري واحد وأن كل جهاز ظاهري مضمن فيمجموعة توافر. نوصي باستخدام مجموعات مغير الحجم للجهاز الظاهري لقدرات التحجيم التلقائي.

الدفاع في العمق

الفكرة وراء الدفاع في العمق هي إدارة المخاطر من خلال استخدام إستراتيجيات دفاعية متنوعة. يقلل ترتيب الدفاعات الأمنية في أحد التطبيقات من فرصة نجاح الهجوم. نوصيك بتنفيذ تصميمات محسنة أمنيًا لتطبيقاتك باستخدام القدرات الشاملة للنظام الأساسي لـ Azure.

على سبيل المثال، يزداد خطر الهجوم مع حجم (مساحة السطح) للتطبيق. يمكنك تقليل مساحة السطح باستخدام قوائم السماح لإغلاق مساحة عنوان IP المكشوفة ومنافذ الاستماع غير مطلوبة على موازنات التحميل (موازنة التحميل Azureوبوابة تطبيق Azure). مجموعات الأمان للشبكة (NSGs)هي طريقة أخرى لتقليل سطح الهجوم. يمكنك استخدام علامات الخدمة ومجموعات أمان التطبيقات لتقليل التعقيد لإنشاء قواعد الأمان وتكوين أمان الشبكة، كامتداد طبيعي لبنية التطبيق. بالإضافة إلى ذلك، يمكنك استخدام Azure DDoS Solution ل Microsoft Sentinel لتحديد مصادر DDoS المخالفة ومنعها من بدء هجمات أخرى متطورة، مثل سرقة البيانات.

يجب توزيع خدمات Azure في شبكة ظاهريةكلما أمكن ذلك. تسمح هذه الممارسة للموارد المتعلقة بالخدمة بالاتصال من خلال عناوين IP الخاصة. تستخدم نسبة استخدام الشبكة لخدمة Azure من شبكة ظاهرية عناوين IP العامة كعناوين IP المصدر بشكل افتراضي. باستخدام نقاط نهاية الخدمة، سيتم تبديل نسبة استخدام الشبكة للخدمة لاستخدام العناوين المتعلقة بالشبكة الظاهرية الخاصة على أنها عناوين IP المصدر عند الوصول إلى خدمة Azure من شبكة ظاهرية.

غالبًا ما نرى موارد العملاء المحلية تتعرض للهجوم مع مواردهم في Azure. إذا كنت تقوم بتوصيل البيئة المحلية بـ Azure، فإننا نوصيك بتقليص تعرض الموارد المحلية للإنترنت العام. يمكنك استخدام المقياس وقدرات الحماية DDoS المتقدمة من Azure من خلال توزيع الكيانات العامة المعروفة في Azure. نظرًا لأن هذه الكيانات التي يمكن الوصول إليها بشكل عام غالبًا ما تكون هدفًا لهجمات موزعة لحجب الخدمة، فإن وضعها في Azure يقلل من التأثير على مواردك المحلية.

الخطوات التالية