⁧⁩أفضل الممارسات الأساسية⁧⁩

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توفر الأقسام التالية إرشادات إرشادية لإنشاء خدمات مرنة ل DDoS على Azure.

تصميم للأمان

تأكد من أن الأمن أولوية طوال فترة التطبيق بأكملها، من التصميم والتنفيذ إلى النشر والعمليات. يمكن أن تحتوي التطبيقات على أخطاء تسمح لحجم منخفض نسبيا من الطلبات باستخدام كمية هائلة من الموارد ، مما يؤدي إلى انقطاع الخدمة.

للمساعدة في حماية خدمة تعمل على Microsoft Azure، يجب أن يكون لديك فهم جيد لبنية التطبيق والتركيز على الركائز الخمس لجودة البرنامج. يجب أن تعرف وحدات تخزين حركة المرور النموذجية، ونموذج الاتصال بين التطبيق والتطبيقات الأخرى، ونقاط نهاية الخدمة التي تتعرض للإنترنت العام.

يعد التأكد من أن التطبيق مرنا بما يكفي للتعامل مع رفض الخدمة الذي يستهدف التطبيق نفسه أمرا بالغ الأهمية. يتم تضمين الأمان والخصوصية في النظام الأساسي Azure، بدءا من دورة حياة تطوير الأمان (SDL). يعالج SDL الأمان في كل مرحلة تطوير ويضمن تحديث Azure باستمرار لجعله أكثر أماناً.

تصميم لقابلية التوسع

قابلية التوسع هي مدى قدرة النظام على التعامل مع الحمل المتزايد. صمم تطبيقاتك للتوسع أفقيا لتلبية الطلب على الحمل المضخم، وتحديدا في حالة حدوث هجوم DDoS. إذا كان التطبيق يعتمد على مثيل واحد من الخدمة، فإنه ينشئ نقطة فشل واحدة. إن توفير مثيلات متعددة يجعل النظام أكثر مرونة وقابلية للتوسع.

بالنسبة لخدمة تطبيقات Azure، حدد خطة لخدمة التطبيقات التي تقدم مثيلات متعددة. بالنسبة إلى خدمات Azure السحابية، قم بتكوين كل دور من أدوارك لاستخدام مثيلات متعددة. بالنسبة إلى أجهزة Azure الظاهرية، تأكد من أن بنية الجهاز الظاهري (VM) تتضمن أكثر من جهاز ظاهري واحد وأن كل جهاز ظاهري مضمن في مجموعة توفر. نوصي باستخدام مجموعات مقاييس الجهاز الظاهري لإمكانات القياس التلقائي.

الدفاع في العمق

الفكرة وراء الدفاع في العمق هي إدارة المخاطر باستخدام استراتيجيات دفاعية متنوعة. يقلل وضع طبقات من الدفاعات الأمنية في أحد التطبيقات من فرصة نجاح الهجوم. نوصي بتنفيذ تصميمات آمنة لتطبيقاتك باستخدام الإمكانات المضمنة للنظام الأساسي Azure.

على سبيل المثال ، يزداد خطر الهجوم مع حجم (مساحة السطح) للتطبيق. يمكنك تقليل مساحة السطح باستخدام قائمة موافقة لإغلاق مساحة عنوان IP المكشوفة ومنافذ الاستماع غير المطلوبة في موازنات التحميل (Azure Load BalancerوAzure Application Gateway). مجموعات أمن الشبكة (NSGs) هي طريقة أخرى لتقليل سطح الهجوم. يمكنك استخدام علامات الخدمةومجموعات أمان التطبيقات لتقليل التعقيد لإنشاء قواعد الأمان وتكوين أمان الشبكة، كامتداد طبيعي لبنية التطبيق.

يجب عليك نشر خدمات Azure في شبكة ظاهرية كلما أمكن ذلك. تسمح هذه الممارسة لموارد الخدمة بالتواصل من خلال عناوين IP الخاصة. تستخدم حركة مرور خدمة Azure من شبكة ظاهرية عناوين IP العامة كعناوين IP للمصدر بشكل افتراضي. سيؤدي استخدام نقاط نهاية الخدمة إلى تبديل حركة مرور الخدمة لاستخدام عناوين الشبكة الافتراضية الخاصة كعناوين IP المصدر عند الوصول إلى خدمة Azure من شبكة افتراضية.

غالبا ما نرى موارد العملاء المحلية تتعرض للهجوم إلى جانب مواردهم في Azure. إذا كنت تقوم بتوصيل بيئة محلية ب Azure، فإننا نوصي بتقليل تعرض الموارد المحلية للإنترنت العام. يمكنك استخدام إمكانات حماية DDoS المتطورة والواسعة النطاق الخاصة ب Azure من خلال نشر الكيانات العامة المعروفة في Azure. نظرا لأن هذه الكيانات التي يمكن الوصول إليها بشكل عام غالبا ما تكون هدفا لهجمات DDoS، فإن وضعها في Azure يقلل من التأثير على مواردك المحلية.

الخطوات التالية

• تعرف على كيفية إنشاء خطة حماية DDoS.