Azure DDoS Protection – navrhování odolných řešeníAzure DDoS Protection - Designing resilient solutions

Tento článek je určen pro tvůrce rozhodnutí IT a bezpečnostní pracovníky.This article is for IT decision makers and security personnel. Očekává se, že máte zkušenosti s Azure, sítí a zabezpečením.It expects that you're familiar with Azure, networking, and security. DDoS je typ útoku, který se pokouší vyčerpat prostředky aplikace.DDoS is a type of attack that tries to exhaust application resources. Cílem je ovlivnit dostupnost aplikace a její schopnost zpracovávat legitimní požadavky.The goal is to affect the application’s availability and its ability to handle legitimate requests. Útoky se stávají propracovanější a mají větší dopad na velikost a dopad.Attacks are becoming more sophisticated and larger in size and impact. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. Návrh pro distribuovanou odolnost s cílem odepření služby (DDoS) vyžaduje plánování a navrhování pro nejrůznější režimy selhání.Designing for distributed denial of service (DDoS) resiliency requires planning and designing for a variety of failure modes. Azure poskytuje nepřetržitou ochranu před DDoS útoky.Azure provides continuous protection against DDoS attacks. Tato ochrana je ve výchozím nastavení integrovaná do platformy Azure a nemá žádné dodatečné náklady.This protection is integrated into the Azure platform by default and at no extra cost.

Kromě základní ochrany DDoS na platformě nabízí Azure DDoS Protection Standard rozšířené možnosti zmírnění DDoS proti útokům na síť.In addition to the core DDoS protection in the platform, Azure DDoS Protection Standard provides advanced DDoS mitigation capabilities against network attacks. Automaticky se vyladěna tak, aby chránila vaše konkrétní prostředky Azure.It's automatically tuned to protect your specific Azure resources. Při vytváření nových virtuálních sítí se ochrana snadno povoluje.Protection is simple to enable during the creation of new virtual networks. Lze ji také provést po vytvoření a nevyžaduje žádné změny aplikace nebo prostředků.It can also be done after creation and requires no application or resource changes.

Role Azure DDoS Protection v ochraně zákazníků a virtuální sítě od útočníka

Základní osvědčené postupyFundamental best practices

V následujících částech najdete doporučené pokyny k sestavování DDoS odolných služeb v Azure.The following sections give prescriptive guidance to build DDoS-resilient services on Azure.

Navrhování s důrazem na zabezpečeníDesign for security

Zajistěte, aby zabezpečení bylo prioritní v celém životním cyklu aplikace, od návrhu a implementace po nasazení a provoz.Ensure that security is a priority throughout the entire lifecycle of an application, from design and implementation to deployment and operations. Aplikace mohou mít chyby, které umožňují relativně nízké množství požadavků na použití nadměrné množství prostředků, což vede k výpadku služby.Applications can have bugs that allow a relatively low volume of requests to use an inordinate amount of resources, resulting in a service outage.

Aby byla zajištěna ochrana služby spuštěné v Microsoft Azure, měli byste mít dobrou představu o architektuře vaší aplikace a soustředit se na pět pilířů kvality softwaru.To help protect a service running on Microsoft Azure, you should have a good understanding of your application architecture and focus on the five pillars of software quality. Měli byste znát typické objemy přenosů dat, model připojení mezi aplikací a dalšími aplikacemi a koncové body služby, které jsou zpřístupněny veřejnému Internetu.You should know typical traffic volumes, the connectivity model between the application and other applications, and the service endpoints that are exposed to the public internet.

Důležité je zajistit, aby byla aplikace dostatečně odolná pro zpracování odepření služby, která je zaměřená na samotnou aplikaci, je nejdůležitější.Ensuring that an application is resilient enough to handle a denial of service that's targeted at the application itself is most important. Zabezpečení a ochrana osobních údajů jsou integrované v platformě Azure, počínaje nástrojem SDL (Security Development Lifecycle).Security and privacy are built into the Azure platform, beginning with the Security Development Lifecycle (SDL). SDL řeší zabezpečení v každé vývojové fázi a zajišťuje průběžnou aktualizaci Azure, aby bylo ještě bezpečnější.The SDL addresses security at every development phase and ensures that Azure is continually updated to make it even more secure.

Návrh pro škálovatelnostDesign for scalability

Škálovatelnost je to, jak dobře dokáže systém zvládnout zvýšené zatížení.Scalability is how well a system can handle increased load. Navrhněte své aplikace pro horizontální škálování tak, aby splňovaly požadavky na zesilovací zatížení, konkrétně v případě útoku DDoS.Design your applications to scale horizontally to meet the demand of an amplified load, specifically in the event of a DDoS attack. Pokud vaše aplikace závisí na jedné instanci služby, vytvoří se v jednom bodě selhání.If your application depends on a single instance of a service, it creates a single point of failure. Zřizování více instancí zajistí, že bude váš systém pružnější a lépe škálovatelný.Provisioning multiple instances makes your system more resilient and more scalable.

V případě Azure App Servicevyberte plán App Service , který nabízí více instancí.For Azure App Service, select an App Service plan that offers multiple instances. Pro Azure Cloud Services nakonfigurujte jednotlivé role tak, aby používaly víc instancí.For Azure Cloud Services, configure each of your roles to use multiple instances. V případě Azure Virtual Machineszajistěte, aby architektura virtuálních počítačů (VM) zahrnovala více než jeden virtuální počítač a aby každý virtuální počítač byl součástí skupiny dostupnosti.For Azure Virtual Machines, ensure that your virtual machine (VM) architecture includes more than one VM and that each VM is included in an availability set. Pro možnosti automatického škálování doporučujeme používat Virtual Machine Scale Sets .We recommend using virtual machine scale sets for autoscaling capabilities.

Hloubková ochranaDefense in depth

Cílem důkladné obrany je spravovat rizika pomocí různých obrannou linií strategií.The idea behind defense in depth is to manage risk by using diverse defensive strategies. Vrstvení zabezpečení v aplikaci omezuje možnost úspěšného útoku.Layering security defenses in an application reduces the chance of a successful attack. Doporučujeme, abyste pro své aplikace implementovali zabezpečené návrhy pomocí integrovaných možností platformy Azure.We recommend that you implement secure designs for your applications by using the built-in capabilities of the Azure platform.

Například riziko útoku se zvyšuje s velikostí (oblastí Surface) aplikace.For example, the risk of attack increases with the size (surface area) of the application. Oblast povrchu můžete zmenšit pomocí seznamu schválení a uzavřít tak vystavený adresní prostor IP adres a naslouchající porty, které nejsou potřebné v nástrojích pro vyrovnávání zatížení (Azure Load Balancer a Azure Application Gateway).You can reduce the surface area by using an approval list to close down the exposed IP address space and listening ports that are not needed on the load balancers (Azure Load Balancer and Azure Application Gateway). Skupiny zabezpečení sítě (skupin zabezpečení sítě) představují jiný způsob, jak omezit plochu pro útok.Network security groups (NSGs) are another way to reduce the attack surface. Značky služeb a skupiny zabezpečení aplikací můžete použít k minimalizaci složitosti při vytváření pravidel zabezpečení a konfiguraci zabezpečení sítě, jako přirozené rozšíření struktury aplikace.You can use service tags and application security groups to minimize complexity for creating security rules and configuring network security, as a natural extension of an application’s structure.

Služby Azure ve virtuální síti byste měli nasazovat, kdykoli to bude možné.You should deploy Azure services in a virtual network whenever possible. Tento postup umožňuje prostředkům služby komunikovat prostřednictvím privátních IP adres.This practice allows service resources to communicate through private IP addresses. Provoz služeb Azure z virtuální sítě ve výchozím nastavení používá veřejné IP adresy jako zdrojové IP adresy.Azure service traffic from a virtual network uses public IP addresses as source IP addresses by default. Použití koncových bodů služby přepne provoz služby na používání privátních adres virtuální sítě jako zdrojových IP adres při přístupu ke službě Azure z virtuální sítě.Using service endpoints will switch service traffic to use virtual network private addresses as the source IP addresses when they're accessing the Azure service from a virtual network.

Často se v Azure zobrazují místní prostředky zákazníků, které získávají útok na jejich prostředky.We often see customers' on-premises resources getting attacked along with their resources in Azure. Pokud připojujete místní prostředí k Azure, doporučujeme, abyste minimalizovali expozici místních prostředků veřejnému Internetu.If you're connecting an on-premises environment to Azure, we recommend that you minimize exposure of on-premises resources to the public internet. V Azure můžete využít možnosti škálování a rozšířené ochrany DDoS, a to nasazením známých veřejných entit v Azure.You can use the scale and advanced DDoS protection capabilities of Azure by deploying your well-known public entities in Azure. Vzhledem k tomu, že tyto veřejně přístupné entity jsou často cílem útoků DDoS, jejich vložení do Azure snižuje dopad na vaše místní prostředky.Because these publicly accessible entities are often a target for DDoS attacks, putting them in Azure reduces the impact on your on-premises resources.

Nabídky Azure pro DDoS ProtectionAzure offerings for DDoS protection

Azure má dvě nabídky služeb DDoS, které poskytují ochranu před útoky ze sítě (vrstva 3 a 4): DDoS Protection Basic a DDoS Protection Standard.Azure has two DDoS service offerings that provide protection from network attacks (Layer 3 and 4): DDoS Protection Basic and DDoS Protection Standard.

DDoS Protection BasicDDoS Protection Basic

Základní ochrana je ve výchozím nastavení integrovaná do Azure, a to bez dalších nákladů.Basic protection is integrated into the Azure by default at no additional cost. Škálování a kapacita globálně nasazené sítě Azure zajišťuje obranu proti běžným útokům na síťové vrstvy prostřednictvím nepřetržitého monitorování provozu a zmírnění rizik v reálném čase.The scale and capacity of the globally deployed Azure network provides defense against common network-layer attacks through always-on traffic monitoring and real-time mitigation. DDoS Protection Basic nevyžaduje žádné změny konfigurace nebo aplikace uživatele.DDoS Protection Basic requires no user configuration or application changes. DDoS Protection Basic pomáhá chránit všechny služby Azure, včetně služeb PaaS, jako je Azure DNS.DDoS Protection Basic helps protect all Azure services, including PaaS services like Azure DNS.

Mapování reprezentace sítě Azure s textem "globální DDoS zmírnění rizika" a "špičková kapacita DDoS"

Základní ochrana DDoS v Azure se skládá z hardwarových i hardwarových součástí.Basic DDoS protection in Azure consists of both software and hardware components. Rovina softwarového řízení se rozhodne, kde a jaké typy přenosů by měly být řízeny hardwarovými zařízeními, která analyzují a odebírá útok na útok.A software control plane decides when, where, and what type of traffic should be steered through hardware appliances that analyze and remove attack traffic. Rovina ovládacího prvku zajišťuje toto rozhodnutí na základě zásadDDoS Protection pro celé infrastruktury.The control plane makes this decision based on an infrastructure-wide DDoS Protection policy. Tato zásada se staticky nastavuje a univerzálně používá pro všechny zákazníky Azure.This policy is statically set and universally applied to all Azure customers.

Například zásada DDoS Protection určuje, v jakém objemu provozu má být ochrana aktivována.For example, the DDoS Protection policy specifies at what traffic volume the protection should be triggered. (To znamená, že provoz klienta by měl být směrován přes zařízení s čištěním dat.) Zásada pak určuje, jak by měly zařízení pro čištění zmírnit útok.(That is, the tenant’s traffic should be routed through scrubbing appliances.) The policy then specifies how the scrubbing appliances should mitigate the attack.

Služba Azure DDoS Protection Basic je zaměřená na ochranu infrastruktury a ochrany platformy Azure.The Azure DDoS Protection Basic service is targeted at protection of the infrastructure and protection of the Azure platform. Snižuje přenos dat, když překročí sazbu, která je tak významná, že by mohla ovlivnit více zákazníků ve víceklientském prostředí.It mitigates traffic when it exceeds a rate that is so significant that it might affect multiple customers in a multitenant environment. Neposkytuje výstrahy nebo přizpůsobené zásady pro zákazníka.It doesn’t provide alerting or per-customer customized policies.

DDoS Protection StandardDDoS Protection Standard

Standardní ochrana poskytuje rozšířené funkce pro zmírnění DDoS.Standard protection provides enhanced DDoS mitigation features. Automaticky se vyladěna tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti.It's automatically tuned to help protect your specific Azure resources in a virtual network. Ochranu je snadné povolit v jakékoli nové nebo existující virtuální síti a nevyžaduje žádné změny aplikací nebo prostředků.Protection is simple to enable on any new or existing virtual network, and it requires no application or resource changes. Má několik výhod oproti základní službě, včetně protokolování, upozorňování a telemetrie.It has several advantages over the basic service, including logging, alerting, and telemetry. Následující části popisují klíčové funkce služby Azure DDoS Protection Standard.The following sections outline the key features of the Azure DDoS Protection Standard service.

Adaptivní optimalizace v reálném časeAdaptive real time tuning

Služba Azure DDoS Protection Basic pomáhá chránit zákazníky a zabránit dopadům na jiné zákazníky.The Azure DDoS Protection Basic service helps protect customers and prevent impacts to other customers. Pokud je například služba zřízena pro typický objem legitimního příchozího provozu, který je menší než míra triggeru zásady DDoS Protection v rámci infrastruktury, může se DDoS útok na prostředky tohoto zákazníka nevšimnout.For example, if a service is provisioned for a typical volume of legitimate incoming traffic that's smaller than the trigger rate of the infrastructure-wide DDoS Protection policy, a DDoS attack on that customer’s resources might go unnoticed. Obecně platí, že složitost nedávných útoků (například DDoS s více vektory) a chování klientů, které jsou specifické pro jednotlivé zákazníky, přizpůsobené zásady ochrany.More generally, the complexity of recent attacks (for example, multi-vector DDoS) and the application-specific behaviors of tenants call for per-customer, customized protection policies. Služba provádí tyto úpravy pomocí dvou přehledů:The service accomplishes this customization by using two insights:

  • Automatické učení vzorů přenosu podle zákazníka (podle IP adresy) pro vrstvy 3 a 4.Automatic learning of per-customer (per-IP) traffic patterns for Layer 3 and 4.

  • Minimalizace falešně pozitivních hodnot, vzhledem k tomu, že škálování Azure umožňuje, aby mohla absorbovat významné množství provozu.Minimizing false positives, considering that the scale of Azure allows it to absorb a significant amount of traffic.

Diagram způsobu, jakým funguje DDoS Protection Standard, s kruhovým generováním zásad

DDoS Protection telemetrie, monitorování a upozorňováníDDoS Protection telemetry, monitoring, and alerting

DDoS Protection Standard zpřístupňuje bohatou telemetrii prostřednictvím Azure monitor po dobu trvání útoku DDoS.DDoS Protection Standard exposes rich telemetry via Azure Monitor for the duration of a DDoS attack. Výstrahy pro libovolnou Azure Monitor metriky, které DDoS Protection používá, můžete nakonfigurovat.You can configure alerts for any of the Azure Monitor metrics that DDoS Protection uses. Protokolování můžete integrovat s Splunk (Azure Event Hubs), protokoly Azure Monitor a Azure Storage pro pokročilou analýzu prostřednictvím rozhraní diagnostiky Azure Monitor.You can integrate logging with Splunk (Azure Event Hubs), Azure Monitor logs, and Azure Storage for advanced analysis via the Azure Monitor Diagnostics interface.

Zásady zmírnění DDoSDDoS mitigation policies

V Azure Portal vyberte monitorovat > metriky.In the Azure portal, select Monitor > Metrics. V podokně metriky vyberte skupinu prostředků, vyberte typ prostředku Veřejná IP adresaa vyberte veřejnou IP adresu Azure.In the Metrics pane, select the resource group, select a resource type of Public IP Address, and select your Azure public IP address. Metriky DDoS jsou viditelné v podokně dostupné metriky .DDoS metrics are visible in the Available metrics pane.

DDoS Protection Standard aplikuje tři zásady zmírnění rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti, ve které je povolený DDoS.DDoS Protection Standard applies three autotuned mitigation policies (TCP SYN, TCP, and UDP) for each public IP of the protected resource, in the virtual network that has DDoS enabled. Prahové hodnoty zásad můžete zobrazit tak, že vyberete příchozí pakety metriky, které budou aktivovat zmírnění DDoS.You can view the policy thresholds by selecting the metric Inbound packets to trigger DDoS mitigation.

Graf dostupných metrik a metrik

Prahové hodnoty zásad se konfigurují prostřednictvím profilace síťového provozu založeného na strojovém učení.The policy thresholds are autoconfigured via machine learning-based network traffic profiling. K zmírňování DDoS dochází u IP adresy s útokem jenom v případě, že se překročení prahové hodnoty zásad.DDoS mitigation occurs for an IP address under attack only when the policy threshold is exceeded.

Metrika pro IP adresu v rámci útoku DDoSMetric for an IP address under DDoS attack

Pokud je veřejná IP adresa v rámci útoku, hodnota pro metriku v rámci útoku DDoS nebo se nemění na 1, protože DDoS Protection provádí zmírnění přenosů útoku.If the public IP address is under attack, the value for the metric Under DDoS attack or not changes to 1 as DDoS Protection performs mitigation on the attack traffic.

"V části útok DDoS nebo není" metrika a graf

Pro tuto metriku doporučujeme nakonfigurovat výstrahu.We recommend configuring an alert on this metric. Pak budete upozorněni, když dojde k aktivnímu zmírnění DDoS na vaší veřejné IP adrese.You'll then be notified when there’s an active DDoS mitigation performed on your public IP address.

Další informace najdete v tématu správa Azure DDoS Protection Standard pomocí Azure Portal.For more information, see Manage Azure DDoS Protection Standard using the Azure portal.

Firewall webových aplikací pro útoky na prostředkyWeb application firewall for resource attacks

Pro usnadnění zabezpečení webových aplikací byste měli nakonfigurovat bránu firewall webových aplikací (WAF), která je specifická pro útoky na prostředky v aplikační vrstvě.Specific to resource attacks at the application layer, you should configure a web application firewall (WAF) to help secure web applications. WAF kontroluje příchozí webový provoz, aby blokoval vkládání SQL, skriptování mezi weby, DDoS a další útoky vrstvy 7.A WAF inspects inbound web traffic to block SQL injections, cross-site scripting, DDoS, and other Layer 7 attacks. Azure poskytuje WAF jako funkci Application Gateway pro centralizovanou ochranu webových aplikací před běžnými zneužitími a chybami zabezpečení.Azure provides WAF as a feature of Application Gateway for centralized protection of your web applications from common exploits and vulnerabilities. Od partnerů Azure jsou k dispozici další nabídky WAF, které mohou být vhodnější pro vaše potřeby prostřednictvím Azure Marketplace.There are other WAF offerings available from Azure partners that might be more suitable for your needs via the Azure Marketplace.

Dokonce i brány firewall webových aplikací jsou náchylné k navýšení a útokům na vyčerpání stavu.Even web application firewalls are susceptible to volumetric and state exhaustion attacks. Důrazně doporučujeme povolit DDoS Protection Standard ve virtuální síti WAF, aby bylo možné lépe chránit před útoky z objemu a protokolu.We strongly recommend enabling DDoS Protection Standard on the WAF virtual network to help protect from volumetric and protocol attacks. Další informace najdete v části referenční architektury DDoS Protection .For more information, see the DDoS Protection reference architectures section.

Plánování ochranyProtection planning

Plánování a příprava jsou zásadní pro pochopení, jak systém provede během DDoS útoku.Planning and preparation are crucial to understand how a system will perform during a DDoS attack. Návrh plánu odezvy správy incidentů je součástí tohoto úsilí.Designing an incident management response plan is part of this effort.

Pokud máte DDoS Protection Standard, ujistěte se, že je povolená ve virtuální síti koncových bodů směřujících k Internetu.If you have DDoS Protection Standard, make sure that it's enabled on the virtual network of internet-facing endpoints. Konfigurace výstrah DDoS vám pomůže trvale sledovat případné útoky v infrastruktuře.Configuring DDoS alerts helps you constantly watch for any potential attacks on your infrastructure.

Monitorujte své aplikace nezávisle.Monitor your applications independently. Pochopení normálního chování aplikaceUnderstand the normal behavior of an application. Připravte se na jednání, pokud se aplikace během útoku DDoS nechová podle očekávání.Prepare to act if the application is not behaving as expected during a DDoS attack.

Testování prostřednictvím simulacíTesting through simulations

Je dobrým zvykem otestovat vaše předpoklady, jak budou vaše služby reagovat na útok díky provádění pravidelných simulací.It’s a good practice to test your assumptions about how your services will respond to an attack by conducting periodic simulations. Během testování ověřte, že vaše služby nebo aplikace nadále fungují podle očekávání a že nedochází k přerušení činnosti koncového uživatele.During testing, validate that your services or applications continue to function as expected and there’s no disruption to the user experience. Identifikujte mezery z hlediska technologie a procesu a zahrňte je do strategie DDoS Response.Identify gaps from both a technology and process standpoint and incorporate them in the DDoS response strategy. Tyto testy doporučujeme provádět v přípravném prostředí nebo během období mimo špičku, abyste minimalizovali dopad na produkční prostředí.We recommend that you perform such tests in staging environments or during non-peak hours to minimize the impact to the production environment.

Spolupracujeme s cloudem BreakingPoint a vytvoříte rozhraní, ve kterém můžou zákazníci Azure vygenerovat provoz z veřejných koncových bodů s povoleným DDoS Protection pro simulace.We have partnered with BreakingPoint Cloud to build an interface where Azure customers can generate traffic against DDoS Protection-enabled public endpoints for simulations. Simulaci cloudu BreakingPoint můžete použít k těmto akcím:You can use the BreakingPoint Cloud simulation to:

  • Ověřte, jak Azure DDoS Protection pomáhá chránit vaše prostředky Azure před útoky DDoS.Validate how Azure DDoS Protection helps protect your Azure resources from DDoS attacks.

  • Optimalizujte proces reakce na incidenty při útoku DDoS.Optimize your incident response process while under DDoS attack.

  • DDoS dodržování předpisů v dokumentu.Document DDoS compliance.

  • Vyškolte své týmy zabezpečení sítě.Train your network security teams.

Kyberbezpečnosti vyžaduje stálé inovace v případě obrany.Cybersecurity requires constant innovation in defense. Azure DDoS Standard Protection je špičková nabídka s efektivním řešením pro zmírnění stále se složitých útoků DDoS.Azure DDoS Standard protection is a state-of-the-art offering with an effective solution to mitigate increasingly complex DDoS attacks.

Komponenty strategie DDoS ResponseComponents of a DDoS response strategy

Útok DDoS, který cílí na prostředky Azure, obvykle vyžaduje minimální zásah z pohledu uživatele.A DDoS attack that targets Azure resources usually requires minimal intervention from a user standpoint. I když v rámci strategie reakce na incidenty, která zahrnuje zmírnění DDoS, pomáhá minimalizovat dopad na kontinuitu podnikových aplikací.Still, incorporating DDoS mitigation as part of an incident response strategy helps minimize the impact to business continuity.

Microsoft Threat IntelligenceMicrosoft threat intelligence

Microsoft má rozsáhlou síť s přehledem hrozeb.Microsoft has an extensive threat intelligence network. Tato síť využívá kolektivní znalosti rozšířené komunity zabezpečení, která podporuje Microsoft online služby, partnery Microsoftu a vztahy v rámci komunity Internet Security.This network uses the collective knowledge of an extended security community that supports Microsoft online services, Microsoft partners, and relationships within the internet security community.

Microsoft jako důležitý poskytovatel infrastruktury obdrží včasné upozornění na hrozby.As a critical infrastructure provider, Microsoft receives early warnings about threats. Společnost Microsoft shromažďuje analýzy hrozeb ze svých online služby a ze své globální zákaznické základny.Microsoft gathers threat intelligence from its online services and from its global customer base. Microsoft zahrnuje veškerou tuto analýzu hrozeb zpátky do Azure DDoS Protection produktů.Microsoft incorporates all of this threat intelligence back into the Azure DDoS Protection products.

Také jednotka digitálních zločinů společnosti Microsoft (DCU) provádí urážlivé strategie proti botnety.Also, the Microsoft Digital Crimes Unit (DCU) performs offensive strategies against botnets. Botnety jsou společný zdroj příkazů a řízení pro útoky DDoS.Botnets are a common source of command and control for DDoS attacks.

Hodnocení rizik vašich prostředků AzureRisk evaluation of your Azure resources

Je naprosto důležité porozumět vašemu riziku, co je DDoS útok, nepřetržitě.It’s imperative to understand the scope of your risk from a DDoS attack on an ongoing basis. Pravidelně se zeptat:Periodically ask yourself:

  • Jaké nové veřejně dostupné prostředky Azure potřebují chránit?What new publicly available Azure resources need protection?

  • Je ve službě jediný bod selhání?Is there a single point of failure in the service?

  • Jak se dají izolovat služby, aby se omezil dopad útoku, zatímco stále jsou dostupné služby pro platné zákazníky?How can services be isolated to limit the impact of an attack while still making services available to valid customers?

  • Existují virtuální sítě, ve kterých by měl být povolený DDoS Protection Standard, ale ne?Are there virtual networks where DDoS Protection Standard should be enabled but isn't?

  • Jsou moje služby aktivní/aktivní s převzetím služeb při selhání napříč více oblastmi?Are my services active/active with failover across multiple regions?

Tým zákaznických odpovědí na DDoSCustomer DDoS response team

Vytvoření týmu DDoS Response je klíčový krok v reakci na útok rychle a efektivně.Creating a DDoS response team is a key step in responding to an attack quickly and effectively. Identifikujte kontakty ve vaší organizaci, kteří budou dohlížet na plánování i provádění.Identify contacts in your organization who will oversee both planning and execution. Tento tým DDoS Response by měl důkladně pochopit službu Azure DDoS Protection Standard.This DDoS response team should thoroughly understand the Azure DDoS Protection Standard service. Ujistěte se, že tým může identifikovat a zmírnit útok pomocí koordinace s interními a externími zákazníky, včetně týmu podpory společnosti Microsoft.Make sure that the team can identify and mitigate an attack by coordinating with internal and external customers, including the Microsoft support team.

Pro váš tým DDoS Response doporučujeme používat pro simulaci cvičení jako běžnou součást plánování dostupnosti a kontinuity služeb.For your DDoS response team, we recommend that you use simulation exercises as a normal part of your service availability and continuity planning. Tato cvičení by měla zahrnovat testování škálování.These exercises should include scale testing.

Výstrahy během útokuAlerts during an attack

Azure DDoS Protection Standard identifikuje a zmírnit útoky DDoS bez zásahu uživatele.Azure DDoS Protection Standard identifies and mitigates DDoS attacks without any user intervention. Chcete-li dostávat oznámení, když dojde k aktivnímu zmírnění chráněné veřejné IP adresy, můžete nakonfigurovat výstrahu u metriky v části útok DDoS nebo ne.To get notified when there’s an active mitigation for a protected public IP, you can configure an alert on the metric Under DDoS attack or not. Můžete se rozhodnout, že vytvoříte výstrahy pro ostatní metriky DDoS, abyste porozuměli rozsahu útoku, zahození provozu a dalším podrobnostem.You can choose to create alerts for the other DDoS metrics to understand the scale of the attack, traffic being dropped, and other details.

Kdy kontaktovat podporu MicrosoftuWhen to contact Microsoft support

  • Během útoku DDoS zjistíte, že výkon chráněného prostředku je vážně snížený, nebo že prostředek není k dispozici.During a DDoS attack, you find that the performance of the protected resource is severely degraded, or the resource is not available.

  • Myslíte si, že se služba DDoS Protection nechová podle očekávání.You think the DDoS Protection service is not behaving as expected.

    Služba DDoS Protection zahájí zmírnění rizik pouze v případě, že zásada hodnoty metriky , která má aktivovat zmírnění rizik DDoS (TCP/TCP syn/UDP) , je nižší než přenos přijatý na chráněném prostředku veřejné IP adresy.The DDoS Protection service starts mitigation only if the metric value Policy to trigger DDoS mitigation (TCP/TCP SYN/UDP) is lower than the traffic received on the protected public IP resource.

  • Plánujete virovou událost, která významně zvýší síťový provoz.You're planning a viral event that will significantly increase your network traffic.

  • Objekt actor způsobil útok na spuštění DDoS útoku na vaše prostředky.An actor has threatened to launch a DDoS attack against your resources.

  • Pokud potřebujete, aby se v seznamu Azure DDoS Protection Standard povolil rozsah IP adres nebo IP adres.If you need to allow list an IP or IP range from Azure DDoS Protection Standard. Běžným scénářem je povolení seznamu IP adres v případě, že je přenos směrován z externího cloudového WAF do Azure.A common scenario is to allow list IP if the traffic is routed from an external cloud WAF to Azure.

U útoků, které mají zásadní dopad na chod firmy, vytvořte lístek podporyse závažností.For attacks that have a critical business impact, create a severity-A support ticket.

Kroky po útokuPost-attack steps

Je vždycky dobré strategii Postmortem po útoku a podle potřeby upravit strategii DDoS Response.It’s always a good strategy to do a postmortem after an attack and adjust the DDoS response strategy as needed. Co je potřeba vzít v úvahu:Things to consider:

  • Mohlo dojít k narušení provozu služby nebo uživatele z důvodu nedostatku škálovatelné architektury?Was there any disruption to the service or user experience due to lack of scalable architecture?

  • Které aplikace nebo služby utrpěly nejvíc?Which applications or services suffered the most?

  • Jak efektivní je strategie DDoS Response a jak se dá zlepšit?How effective was the DDoS response strategy, and how can it be improved?

Pokud máte podezření, že jste s útokem na DDoS, Projděte si normální kanály podpory Azure.If you suspect you're under a DDoS attack, escalate through your normal Azure Support channels.

DDoS Protection referenční architekturyDDoS Protection reference architectures

DDoS Protection Standard je určený pro služby, které jsou nasazené ve virtuální síti.DDoS Protection Standard is designed for services that are deployed in a virtual network. Pro ostatní služby platí výchozí služba DDoS Protection Basic.For other services, the default DDoS Protection Basic service applies. Následující referenční architektury jsou uspořádané podle scénářů a jsou seskupeny pomocí schémat architektury.The following reference architectures are arranged by scenarios, with architecture patterns grouped together.

Úlohy virtuálních počítačů (Windows/Linux)Virtual machine (Windows/Linux) workloads

Aplikace spuštěná na virtuálních počítačích s vyrovnáváním zatíženíApplication running on load-balanced VMs

Tato referenční architektura ukazuje sadu osvědčených postupů pro spuštění několika virtuálních počítačů s Windows ve škálované sadě za nástrojem pro vyrovnávání zatížení, aby se zlepšila dostupnost a škálovatelnost.This reference architecture shows a set of proven practices for running multiple Windows VMs in a scale set behind a load balancer, to improve availability and scalability. Tuto architekturu je možné použít pro jakékoli bezstavové úlohy, jako je například webový server.This architecture can be used for any stateless workload, such as a web server.

Diagram referenční architektury pro aplikaci spuštěnou na virtuálních počítačích s vyrovnáváním zatížení

V této architektuře jsou úlohy distribuované napříč několika instancemi virtuálního počítače.In this architecture, a workload is distributed across multiple VM instances. V nástroji pro vyrovnávání zatížení je k virtuálním počítačům distribuována jedna veřejná IP adresa a Internetová data.There is a single public IP address, and internet traffic is distributed to the VMs through a load balancer. Ve virtuální síti nástroje pro vyrovnávání zatížení Azure (Internet) je povolený DDoS Protection Standard, ke kterému je přidružená veřejná IP adresa.DDoS Protection Standard is enabled on the virtual network of the Azure (internet) load balancer that has the public IP associated with it.

Nástroj pro vyrovnávání zatížení distribuuje příchozí internetové požadavky do instancí virtuálních počítačů.The load balancer distributes incoming internet requests to the VM instances. Virtual Machine Scale Sets umožňuje, aby byl počet virtuálních počítačů v ručním nebo na základě předdefinovaných pravidel škálované nebo automaticky rozložen.Virtual machine scale sets allow the number of VMs to be scaled in or out manually, or automatically based on predefined rules. To je důležité, pokud je prostředek pod útokem DDoS.This is important if the resource is under DDoS attack. Další informace o této referenční architektuře najdete v tomto článku.For more information on this reference architecture, see this article.

Aplikace běžící na N-vrstvách WindowsApplication running on Windows N-tier

N-vrstvou architekturu je možné implementovat mnoha způsoby.There are many ways to implement an N-tier architecture. Následující diagram znázorňuje typickou webovou aplikaci na třech úrovních.The following diagram shows a typical three-tier web application. Tato architektura je založena na článku spuštění virtuálních počítačů s vyrovnáváním zatížení pro zajištění škálovatelnosti a dostupnosti.This architecture builds on the article Run load-balanced VMs for scalability and availability. Webové a obchodní vrstvy používají virtuální počítače s vyrovnáváním zatížení.The web and business tiers use load-balanced VMs.

Diagram referenční architektury pro aplikaci běžící na N-vrstvách Windows

V této architektuře je ve virtuální síti povolená DDoS Protection Standard.In this architecture, DDoS Protection Standard is enabled on the virtual network. Všechny veřejné IP adresy ve virtuální síti získají DDoS ochranu pro vrstvu 3 a 4.All public IPs in the virtual network get DDoS protection for Layer 3 and 4. V případě ochrany vrstvy 7 nasaďte Application Gateway v SKU WAF.For Layer 7 protection, deploy Application Gateway in the WAF SKU. Další informace o této referenční architektuře najdete v tomto článku.For more information on this reference architecture, see this article.

Webová aplikace PaaSPaaS web application

Tato referenční architektura ukazuje spuštění aplikace Azure App Service v jedné oblasti.This reference architecture shows running an Azure App Service application in a single region. Tato architektura ukazuje sadu osvědčených postupů pro webovou aplikaci, která používá Azure App Service   a Azure SQL Database.This architecture shows a set of proven practices for a web application that uses Azure App Service and Azure SQL Database. Pohotovostní oblast je nastavená pro scénáře převzetí služeb při selhání.A standby region is set up for failover scenarios.

Diagram referenční architektury pro webovou aplikaci v PaaS

Azure Traffic Manager směruje příchozí žádosti do Application Gateway v jedné z oblastí.Azure Traffic Manager routes incoming requests to Application Gateway in one of the regions. Během normálních operací směruje požadavky na Application Gateway v aktivní oblasti.During normal operations, it routes requests to Application Gateway in the active region. Pokud tato oblast nebude k dispozici, Traffic Manager převezme Application Gateway v pohotovostní oblasti.If that region becomes unavailable, Traffic Manager fails over to Application Gateway in the standby region.

Veškerý provoz z Internetu určeného do webové aplikace je směrován do Application Gateway veřejné IP adresy prostřednictvím Traffic Manager.All traffic from the internet destined to the web application is routed to the Application Gateway public IP address via Traffic Manager. V tomto scénáři se služba App Service (samotná webová aplikace) přímo netýká a chrání ji Application Gateway.In this scenario, the app service (web app) itself is not directly externally facing and is protected by Application Gateway.

Doporučujeme, abyste nakonfigurovali Application Gateway WAF SKU (režim prevence), která vám umožní chránit proti útokům vrstvy 7 (HTTP/HTTPS/WebSocket).We recommend that you configure the Application Gateway WAF SKU (prevent mode) to help protect against Layer 7 (HTTP/HTTPS/WebSocket) attacks. Kromě toho jsou webové aplikace nakonfigurované tak, aby přijímaly jenom přenosy z Application Gateway IP adresy.Additionally, web apps are configured to accept only traffic from the Application Gateway IP address.

Další informace o této referenční architektuře najdete v tomto článku.For more information about this reference architecture, see this article.

Zmírnění rizik pro jiné než webové služby PaaS ServicesMitigation for non-web PaaS services

HDInsight v AzureHDInsight on Azure

Tato referenční architektura ukazuje konfiguraci DDoS Protection standard pro cluster Azure HDInsight.This reference architecture shows configuring DDoS Protection Standard for an Azure HDInsight cluster. Ujistěte se, že je cluster HDInsight propojený s virtuální sítí a že DDoS Protection je ve virtuální síti povolený.Make sure that the HDInsight cluster is linked to a virtual network and that DDoS Protection is enabled on the virtual network.

Podokna HDInsight a rozšířená nastavení s nastavením virtuální sítě

Výběr pro povolení DDoS Protection

V této architektuře je provoz určený pro cluster HDInsight z Internetu směrován do veřejné IP adresy přidružené k nástroji pro vyrovnávání zatížení brány HDInsight.In this architecture, traffic destined to the HDInsight cluster from the internet is routed to the public IP associated with the HDInsight gateway load balancer. Nástroj pro vyrovnávání zatížení brány pak pošle provoz na hlavní uzly nebo pracovní uzly přímo.The gateway load balancer then sends the traffic to the head nodes or the worker nodes directly. Vzhledem k tomu, že je ve virtuální síti HDInsight povolený DDoS Protection Standard, všechny veřejné IP adresy ve virtuální síti získají DDoS ochranu pro vrstvu 3 a 4.Because DDoS Protection Standard is enabled on the HDInsight virtual network, all public IPs in the virtual network get DDoS protection for Layer 3 and 4. Tuto referenční architekturu je možné kombinovat s referenčními architekturami N-vrstvých a více oblastí.This reference architecture can be combined with the N-Tier and multi-region reference architectures.

Další informace o této referenční architektuře najdete v tématu věnovaném rozšiřování Azure HDInsight pomocí dokumentace k azure Virtual Network .For more information on this reference architecture, see the Extend Azure HDInsight using an Azure Virtual Network documentation.

Poznámka

Azure App Service Environment pro PowerApps nebo API Management ve virtuální síti s veřejnou IP adresou není nativně podporovaná.Azure App Service Environment for PowerApps or API management in a virtual network with a public IP are both not natively supported.

Další krokyNext steps