Azure DDoS Protection – Návrh odolných řešení

Tento článek je pro pracovníky s rozhodovací pravomocí v oblasti IT a pracovníky zabezpečení. Očekává, že znáte Azure, sítě a zabezpečení. DDoS je typ útoku, který se pokouší vyčerpat prostředky aplikace. Cílem je ovlivnit dostupnost aplikace a její schopnost zpracovávat oprávněné požadavky. Útoky jsou stále důmyslnější a zvětšuje velikost a dopad. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet. Návrh pro odolnost proti distribuovanému odepření služeb (DDoS) vyžaduje plánování a návrh pro různé režimy selhání. Azure poskytuje nepřetržitou ochranu před útoky DDoS. Tato ochrana je ve výchozím nastavení integrovaná do platformy Azure bez dalších nákladů.

Kromě základní ochrany před útoky DDoS na platformě poskytuje Azure DDoS Protection Standard pokročilé možnosti omezení rizik útoků DDoS proti síťovým útokům. Je automaticky vyladěný tak, aby chránil konkrétní prostředky Azure. Ochranu je možné snadno povolit při vytváření nových virtuálních sítí. Můžete to provést také po vytvoření a nevyžaduje žádné změny aplikace ani prostředků.

Základní osvědčené postupy

Následující části poskytují preskriptivní pokyny k vytváření služeb odolných proti DDoS v Azure.

Navrhování s důrazem na zabezpečení

Zajistěte, aby zabezpečení bylo prioritou v průběhu celého životního cyklu aplikace, od návrhu a implementace až po nasazení a provoz. Aplikace mohou mít chyby, které umožňují relativně nízkému objemu požadavků používat příliš velké množství prostředků, což vede k výpadku služby.

Pokud chcete chránit službu běžící na Microsoft Azure, měli byste dobře rozumět architektuře vaší aplikace a zaměřit se na pět pilířů kvality softwaru. Měli byste znát typické objemy provozu, model připojení mezi aplikací a jinými aplikacemi a koncové body služby, které jsou vystavené veřejnému internetu.

Nejdůležitější je zajistit, aby aplikace byla dostatečně odolná na to, aby zvládla odepření služby, které je cílem samotné aplikace. Zabezpečení a ochrana osobních údajů jsou součástí platformy Azure, počínaje SDL (Security Development Lifecycle). SDL řeší zabezpečení ve všech fázích vývoje a zajišťuje průběžnou aktualizaci Azure, aby byla ještě bezpečnější.

Návrh pro škálovatelnost

Škálovatelnost je, jak dobře může systém zvládnout zvýšené zatížení. Navrhovat aplikace tak, aby se škálovali horizontálně, aby splňovaly poptávku po zásluhách se zdůvěrně vytížením, konkrétně v případě útoku DDoS Pokud vaše aplikace závisí na jedné instanci služby, vytvoří jediný bod selhání. Díky zřizování více instancí je váš systém odolnější a škálovanější.

Jako Azure App Servicevyberte plán App Service, který nabízí více instancí. Pokud Azure Cloud Services, nakonfigurujte každou z vašich rolí tak, aby používejte více instancí. V případě služby Azure Virtual Machineszajistěte, aby architektura vašeho virtuálního počítače obsahovala více než jeden virtuální počítač a aby byl každý virtuální počítač součástí skupiny dostupnosti. Pro možnosti automatického škálování doporučujeme použít škálovací sady virtuálních počítačů.

Hloubková ochrana

Myšlenkou hloubkové ochrany je řízení rizik pomocí různých obranných strategií. Vrstvení ochrany zabezpečení v aplikaci snižuje pravděpodobnost úspěšného útoku. Doporučujeme implementovat zabezpečené návrhy pro vaše aplikace s využitím integrovaných možností platformy Azure.

Například riziko útoku se zvyšuje s velikostí (povrchová oblast) aplikace. Plochu můžete omezit tím, že pomocí seznamu schválení zavřete vystavený adresní prostor IP adres a nasloucháte portům, které nejsou potřeba v nástroji pro vyrovnávání zatížení (Azure Load Balancer a Azure Application Gateway). Skupiny zabezpečení sítě (NSG) jsou dalším způsobem, jak omezit možnost útoku. Značky služeb a skupiny zabezpečení aplikací můžete použít k minimalizaci složitosti vytváření pravidel zabezpečení a konfigurace zabezpečení sítě jako přirozeného rozšíření struktury aplikace.

Pokud je to možné, měli byste služby Azure nasadit ve virtuální síti. Tento postup umožňuje prostředkům služby komunikovat prostřednictvím privátních IP adres. Provoz služeb Azure z virtuální sítě ve výchozím nastavení používá jako zdrojové IP adresy veřejné IP adresy. Použitím koncových bodů služby přepnete provoz služby tak, aby při přístupu ke službě Azure z virtuální sítě jako zdrojové IP adresy byly používat privátní adresy virtuální sítě.

Často vidíme, že u místních prostředků zákazníků dochází k napadení společně s jejich prostředky v Azure. Pokud připojujete místní prostředí k Azure, doporučujeme minimalizovat vystavení místních prostředků veřejnému internetu. Nasazením dobře známých veřejných entit v Azure můžete využít škálovací a pokročilé možnosti ochrany před DDoS v Azure. Vzhledem k tomu, že tyto veřejně přístupné entity jsou často cílem útoků DDoS, jejich umístění do Azure snižuje dopad na vaše místní prostředky.

Nabídky Azure pro ochranu před DDoS

Azure nabízí dvě nabídky služeb DDoS, které poskytují ochranu před síťovými útoky (vrstvy 3 a 4): DDoS Protection Basic a DDoS Protection Standard.

DDoS Protection Basic

Základní ochrana je ve výchozím nastavení integrovaná do Azure bez dalších nákladů. Škálování a kapacita globálně nasazené sítě Azure poskytují ochranu před běžnými útoky na síťové vrstvě prostřednictvím neustále dostupného monitorování provozu a omezení rizik v reálném čase. DDoS Protection Basic nevyžaduje žádnou konfiguraci uživatele ani změny aplikace. DDoS Protection Basic pomáhá chránit všechny služby Azure, včetně služeb PaaS, jako Azure DNS.

Základní ochrana před DDoS v Azure se skládá ze softwarových i hardwarových komponent. Rovina řízení softwaru rozhoduje, kdy, kde a jaký typ provozu se má řídit hardwarovými zařízeními, která analyzují a odebírat provoz útoku. Řídicí rovina toto rozhodnutí provádí na základě zásad zabezpečení pro celou DDoS Protection infrastruktury. Tato zásada je staticky nastavená a univerzálně aplikována na všechny zákazníky Azure.

Například zásada DDoS Protection určuje, na jaký objem provozu se má ochrana aktivovat. (To znamená, že provoz tenanta by se měl směrovat přes zařízení pro čištění dat.) Zásada pak určuje, jak by měla zařízení pro scrubbing útok zmírnit.

Cílem Azure DDoS Protection Basic je ochrana infrastruktury a ochrany platformy Azure. Zmírňuje provoz, když překročí tak významnou míru, že může ovlivnit více zákazníků ve vícetenantém prostředí. Neposkytuje výstrahy ani zásady přizpůsobené zákazníkům.

DDoS Protection úrovně Standard

Standardní ochrana poskytuje vylepšené funkce pro omezení rizik DDoS. Je automaticky vyladěný tak, aby pomáhal chránit vaše konkrétní prostředky Azure ve virtuální síti. Ochranu lze jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžaduje žádné změny aplikace ani prostředků. Oproti základní službě má několik výhod, včetně protokolování, upozornění a telemetrie. Následující části popisují klíčové funkce služby Azure DDoS Protection Standard.

Adaptivní ladění v reálném čase

Služba Azure DDoS Protection Basic pomáhá chránit zákazníky a zabránit dopadu na ostatní zákazníky. Pokud je například služba zřízená pro typický objem legitimního příchozího provozu, který je menší než rychlost aktivace zásad DDoS Protection v celé infrastruktuře, útok DDoS na prostředky zákazníka nemusí být všudychtný. Obecněji řečeno složitost nedávných útoků (například více vektorových útoků DDoS) a chování tenantů specifická pro aplikace volají vlastní zásady ochrany pro jednotlivé zákazníky. Služba provádí toto přizpůsobení pomocí dvou přehledů:

• Automatické učení vzorů provozu podle zákazníka (podle IP adresy) pro vrstvy 3 a 4.

• Minimalizace falešně pozitivních výsledků s ohledem na to, že škála Azure umožňuje absorbovat značné množství provozu.

DDoS Protection telemetrie, monitorování a upozornění

DDoS Protection Standard po dobu trvání útoku DDoS zpřístupňuje prostřednictvím Azure Monitor celou telemetrii. Upozornění můžete nakonfigurovat pro libovolnou z metrik Azure Monitor, které DDoS Protection používají. Protokolování můžete integrovat s splunkem (Azure Event Hubs), Azure Monitor protokoly a Azure Storage pro pokročilou analýzu prostřednictvím rozhraní Azure Monitor Diagnostics.

Zásady omezení rizik DDoS

V Azure Portal vyberte > Monitorovat metriky. V podokně Metriky vyberte skupinu prostředků, vyberte typ prostředku Veřejná IP adresa a vyberte svou veřejnou IP adresu Azure. Metriky DDoS se zobrazí v podokně Dostupné metriky.

DDoS Protection Standard aplikuje tři automaticky vyladění zásady omezení rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti s povoleným DDoS. Prahové hodnoty zásad zobrazíte tak, že vyberete metriku Příchozí pakety, která aktivuje omezení rizik DDoS.

Prahové hodnoty zásad se automaticky nakonfigurují prostřednictvím profilace síťového provozu na základě strojového učení. K omezení rizik útoků DDoS dochází u ip adresy, na kterou útok zaútočí, pouze pokud dojde k překročení prahové hodnoty zásad.

Metrika pro IP adresu v rámci útoku DDoS

Pokud je veřejná IP adresa v útoku, hodnota metriky V rámci útoku DDoS se změní na 1, protože DDoS Protection provoz útoku zmírní.

Pro tuto metriku doporučujeme nakonfigurovat upozornění. Pak se zobrazí oznámení o aktivním omezení rizik DDoS provedeném pro vaši veřejnou IP adresu.

Další informace najdete v tématu Správa Azure DDoS Protection Standard pomocí Azure Portal.

Firewall webových aplikací pro útoky na prostředky

Pro útoky na prostředky v aplikační vrstvě byste měli nakonfigurovat Firewall webových aplikací (WAF) pro lepší zabezpečení webových aplikací. WAF prověřuje příchozí webový provoz a blokuje SQL, skriptování mezi weby, útoky DDoS a další útoky vrstvy 7. Azure poskytuje WAF jako funkci Application Gateway centralizované ochrany webových aplikací před běžným zneužitím a ohrožením zabezpečení. Od partnerů Azure jsou k dispozici další nabídky WAF, které můžou být vhodnější pro vaše potřeby prostřednictvím Azure Marketplace.

Dokonce i firewally webových aplikací jsou náchylné k útokům na volumetrické a vyčerpávající stavy. Důrazně doporučujeme povolit ve virtuální DDoS Protection WAF možnost Standard, která vám pomůže chránit před volumetrické útoky a útoky na protokoly. Další informace najdete v části DDoS Protection architektury.

Plánování ochrany

Plánování a příprava jsou zásadní pro pochopení toho, jak bude systém během útoku DDoS provádět. Součástí tohoto úsilí je návrh plánu reakcí na řízení incidentů.

Pokud máte DDoS Protection Standard, ujistěte se, že je povolená ve virtuální síti internetových koncových bodů. Konfigurace upozornění DDoS vám pomůže neustále sledovat potenciální útoky na vaši infrastrukturu.

Monitorujte své aplikace nezávisle. Porozuměli jste normálnímu chování aplikace. Připravte se na chování, pokud se aplikace během útoku DDoS nechová podle očekávání.

Testování prostřednictvím simulací

Je dobrým postupem otestovat vaše předpoklady o tom, jak vaše služby budou reagovat na útok prováděním pravidelných simulací. Během testování ověřte, že vaše služby nebo aplikace nadále fungují podle očekávání a nerušují uživatelské prostředí. Identifikujte mezery z hlediska technologií i procesů a začleňuje je do strategie reakce na DDoS. Doporučujeme takové testy provádět v pracovních prostředích nebo mimo špičku, abyste minimalizovali dopad na produkční prostředí.

Ve spojení s breakingpointovým cloudem jsme sestavil rozhraní, ve kterém mohou zákazníci Azure generovat provoz DDoS Protection s povolenými veřejnými koncovými body pro simulace. Pomocí simulace BreakingPoint Cloudu můžete:

• Ověření, jak Azure DDoS Protection pomáhá chránit vaše prostředky Azure před útoky DDoS

• Optimalizaci procesu reakce na incidenty v případě probíhajícího útoku DDoS

• Dokumentaci dodržování předpisů v rámci ochrany před útoky DDoS

• Trénování týmů starajících se o zabezpečení sítě

Kyberbezpečnost vyžaduje neustálé inovace v oblasti obrany. Ochrana Azure DDoS Standard je moderní nabídka s efektivním řešením pro zmírnění stále složitějších útoků DDoS.

Komponenty strategie reakce na útoky DDoS

Útok DDoS, který cílí na prostředky Azure, obvykle vyžaduje minimální zásah z pohledu uživatele. Začlenění omezení rizik DDoS do strategie reakce na incidenty ale pomáhá minimalizovat dopad na kontinuitu podnikových prostředí.

Microsoft Threat Intelligence

Microsoft má rozsáhlou síť pro detekci hrozeb. Tato síť využívá společné znalosti rozšířené komunity zabezpečení, která podporuje microsoft online služby, partnery Microsoftu a vztahy v rámci komunity internetového zabezpečení.

Jako důležitý poskytovatel infrastruktury dostává Microsoft časná upozornění na hrozby. Microsoft shromažďuje informace o hrozbách ze své online služby a ze své globální zákaznické základny. Microsoft zahrnuje všechny tyto informace o hrozbách zpět do Azure DDoS Protection produktů.

Také jednotka DCU (Microsoft Digital Crimes Unit) provádí proti botnetům urážlivé strategie. Botnety jsou běžným zdrojem příkazů a řízení útoků DDoS.

Vyhodnocení rizika prostředků Azure

Je nezbytné porozumět rozsahu vašeho rizika probíhajícího útoku DDoS. Pravidelně se ptejte sami sebe:

• Jaké nové veřejně dostupné prostředky Azure potřebují ochranu?

• Je ve službě jediný bod selhání?

• Jak je možné služby izolovat, aby se omezil dopad útoku při zachování zpřístupnění služeb platným zákazníkům?

• Existují virtuální sítě, ve kterých DDoS Protection povolené standardy, ale ne?

• Jsou moje služby aktivní/aktivní s převzetím služeb při selhání napříč několika oblastmi?

Tým reakce na DDoS zákazníka

Vytvoření týmu reakce na útoky DDoS je klíčovým krokem při rychlé a efektivní reakci na útok. Identifikujte kontakty ve vaší organizaci, kteří budou dohlížet na plánování i provádění. Tento tým reakce na DDoS by měl důkladně porozumět Azure DDoS Protection standardu. Zajistěte, aby tým mohl identifikovat a zmírnit útok koordinací s interními a externími zákazníky, včetně týmu podpory Microsoftu.

Pro tým reakce na DDoS doporučujeme používat simulační cvičení jako běžnou součást plánování dostupnosti a kontinuity služeb. Tato cvičení by měla zahrnovat testování škálování.

Výstrahy během útoku

Azure DDoS Protection Standard identifikuje a zmírňuje útoky DDoS bez jakéhokoli zásahu uživatele. Pokud chcete dostat upozornění, když dojde k aktivnímu omezení rizik pro chráněnou veřejnou IP adresu, můžete nakonfigurovat upozornění na metriku v rámci útoku DDoS, nebo ne. Můžete se rozhodnout vytvořit upozornění pro ostatní metriky DDoS, abyste pochopili rozsah útoku, zahozený provoz a další podrobnosti.

Kdy kontaktovat podporu Microsoftu

• Během útoku DDoS zjistíte, že výkon chráněného prostředku má závažný snížený výkon nebo že prostředek není dostupný.

• Myslíte si, DDoS Protection se služba nechová podle očekávání.

  Služba DDoS Protection zahájí omezení rizik pouze v případě, že je hodnota metriky Zásada pro aktivaci omezení rizik DDoS (TCP/TCP SYN/UDP) nižší než provoz přijatý v chráněném prostředku veřejné IP adresy.

• Plánujete virální událost, která výrazně zvýší váš síťový provoz.

• Aktér si vyžádá spuštění útoku DDoS na vaše prostředky.

• Pokud potřebujete povolit seznam IP adres nebo rozsah IP adres z Azure DDoS Protection Standard. Běžným scénářem je povolit IP adresu seznamu, pokud se provoz směruje z externího cloudu WAF do Azure.

V případě útoků, které mají kritický dopad na firmu, vytvořte lístek podpory závažnosti A.

Kroky po útoku

Vždy je vhodné provést po útoku postmortem a podle potřeby upravit strategii reakce na útoky DDoS. Co je třeba vzít v úvahu:

• Došlo k nějakému přerušení služby nebo uživatelského prostředí kvůli nedostatku škálovatelné architektury?

• Které aplikace nebo služby nejvíce zažádá?

• Jak efektivní byla strategie reakce na DDoS a jak ji lze zlepšit?

Pokud máte podezření, že jste pod útokem DDoS, předáte ho normálním Podpora Azure kanálům.

DDoS Protection referenční architektury

DDoS Protection Standard je určený pro služby nasazené ve virtuální síti. Pro ostatní služby platí výchozí DDoS Protection Basic. Následující referenční architektury jsou uspořádané podle scénářů a vzory architektur jsou seskupené dohromady.

Úlohy virtuálních počítačů (Windows/Linux)

Aplikace spuštěná na virtuálních počítači s vyrovnáváním zatížení

Tato referenční architektura ukazuje sadu osvědčených postupů pro spouštění více Windows virtuálních Windows ve škálovací sadě za službou pro vyrovnávání zatížení za účelem zlepšení dostupnosti a škálovatelnosti. Tuto architekturu je možné použít pro libovolnou bezvýcovou úlohu, jako je webový server.

V této architektuře jsou úlohy distribuované napříč několika instancemi virtuálního počítače. Existuje jedna veřejná IP adresa a internetový provoz se distribuuje do virtuálních počítače prostřednictvím nástroje pro vyrovnávání zatížení. DDoS Protection je ve virtuální síti nástroje pro vyrovnávání zatížení Azure (internet), ke které je přidružená veřejná IP adresa, povolená služba Standard.

Nástroj pro vyrovnávání zatížení distribuuje příchozí internetové požadavky do instancí virtuálních počítače. Škálovací sady virtuálních počítačů umožňují ručně nebo automaticky škálovat počet virtuálních počítačů na základě předdefinovaných pravidel. To je důležité, pokud je prostředek pod útokem DDoS. Další informace o této referenční architektuře najdete v tomto článku.

Aplikace spuštěná Windows n-vrstvých

N-vrstvou architekturu je možné implementovat mnoha způsoby. Následující diagram znázorňuje typickou třívrstvou webovou aplikaci. Tato architektura vychází z článku Spuštění virtuálních počítače s vyrovnáváním zatížení pro škálovatelnosta dostupnost. Webové a obchodní vrstvy používají virtuální počítače s vyrovnáváním zatížení.

V této architektuře DDoS Protection virtuální síti povolená možnost Standard. Všechny veřejné IP adresy ve virtuální síti díky ochraně před DDoS pro vrstvy 3 a 4. Pro ochranu vrstvy 7 nasaďte Application Gateway do SKU WAF. Další informace o této referenční architektuře najdete v tomto článku.

Webová aplikace PaaS

Tato referenční architektura ukazuje spuštění Azure App Service aplikace v jedné oblasti. Tato architektura ukazuje sadu osvědčených postupů pro webovou aplikaci, která používá Azure App Service a Azure SQL Database. Pohotovostní oblast je nastavená pro scénáře převzetí služeb při selhání.

Azure Traffic Manager směruje příchozí požadavky do Application Gateway v jedné z oblastí. Během normálního provozu směruje požadavky do Application Gateway v aktivní oblasti. Pokud se tato oblast stane nedostupnou, Traffic Manager služby při selhání Application Gateway v pohotovostní oblasti.

Veškerý provoz z internetu směřujícího do webové aplikace se přes Application Gateway přes Traffic Manager. V tomto scénáři není samotná služba App Service (webová aplikace) přímo přístupná a je chráněná Application Gateway.

Doporučujeme nakonfigurovat skladovou Application Gateway WAF (režim prevence) tak, aby pomáhala chránit před útoky vrstvy 7 (HTTP/HTTPS/WebSocket). Kromě toho jsou webové aplikace nakonfigurované tak, aby přijímaly jenom provoz z Application Gateway IP adresy.

Další informace o této referenční architektuře najdete v tomto článku.

Omezení rizik pro ne webovou službu PaaS

HDInsight v Azure

Tato referenční architektura ukazuje konfiguraci DDoS Protection Standard pro Azure HDInsight cluster. Ujistěte se, že je cluster HDInsight propojený s virtuální sítí a DDoS Protection je ve virtuální síti povolený.

V této architektuře se provoz směřující do clusteru HDInsight z internetu směruje na veřejnou IP adresu přidruženou k nástroji pro vyrovnávání zatížení brány HDInsight. Nástroj pro vyrovnávání zatížení brány pak odešle provoz přímo do hlavní nebo pracovních uzlů. Vzhledem DDoS Protection ve virtuální síti HDInsight je povolený standard, 1. vrstva 3 a 4 poskytuje ochranu proti DDoS všem veřejným IP adresám ve virtuální síti. Tuto referenční architekturu je možné kombinovat s referenčními architekturami n-úrovňových a více oblastí.

Další informace o této referenční architektuře najdete v dokumentaci rozšíření Azure HDInsight pomocí Virtual Network Azure.

Další kroky

• Sdílená odpovědnost v cloudu
• Azure DDoS Protection produktové stránky
• Azure DDoS Protection dokumentace