Ochrana před útoky DDoS (vrstva 7)

  • Článek

Azure WAF má několik mechanismů ochrany, které můžou pomoct zabránit útokům DDoS (Distributed Denial of Service). Útoky DDoS můžou cílit na vrstvu sítě (L3/L4) nebo aplikační vrstvu (L7). Azure DDoS chrání zákazníka před rozsáhlými útoky na svazky vrstvy sítě. Azure WAF provozující na vrstvě 7 chrání webové aplikace před útoky typu L7 DDoS, jako jsou například http Floods. Tato obrana může útočníkům zabránit v dosažení vaší aplikace a ovlivnit dostupnost a výkon vaší aplikace.

Jak můžete chránit své služby?

Tyto útoky je možné zmírnit přidáním firewallu webových aplikací (WAF) nebo umístěním služby DDoS před službu, aby se vyfiltrovaly chybné požadavky. Azure nabízí WAF běžící na hraniční síti se službou Azure Front Door a v datových centrech se službou Application Gateway. Tento postup je zobecněný seznam a je potřeba ho upravit tak, aby vyhovoval službě požadavků vaší aplikace.

  • Nasaďte azure Web Application Firewall (WAF) se skladovou položku WAF v2 nebo Azure Front Door Premium nebo APPLICATION Gateway, která chrání před útoky na aplikační vrstvu L7.
  • Vertikálně navyšte kapacitu počtu instancí původu, aby byla dostatek volné kapacity.
  • Povolte službu Azure DDoS Protection na veřejných IP adresách původu, abyste ochránili vaše veřejné IP adresy před útoky DDoS vrstvy 3 (L3) a vrstvy 4 (L4). Nabídky DDoS Azure můžou automaticky chránit většinu webů před útoky L3 a L4 volumetric, které posílají velký počet paketů na web. Azure také ve výchozím nastavení nabízí ochranu na úrovni infrastruktury pro všechny weby hostované v Azure.

Azure WAF se službou Azure Front Door

Azure WAF má mnoho funkcí, které je možné použít ke zmírnění mnoha různých typů útoků, jako jsou povodeň HTTP, obejití mezipaměti, útoky spuštěné botnety.

  • Použijte sadu spravovaných pravidel ochrany robota k ochraně před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

  • Použijte omezení četnosti, abyste zabránili příliš častému volání IP adres vaší služby. Další informace naleznete v tématu Omezování rychlosti.

  • Zablokujte IP adresy a rozsahy, které identifikujete jako škodlivé. Další informace najdete v tématu Omezení IP adres.

  • Zablokujte nebo přesměrujte na statickou webovou stránku jakýkoli provoz mimo definovanou geografickou oblast nebo v rámci definované oblasti, která neodpovídá vzoru provozu aplikace. Další informace najdete v tématu Geografické filtrování.

  • Vytvořte vlastní pravidla WAF pro automatické blokování a omezování rychlosti útoků HTTP nebo HTTPS, které mají známé podpisy. Podpis, jako je konkrétní uživatelský agent nebo určitý vzor provozu, včetně hlaviček, souborů cookie, parametrů řetězce dotazu nebo kombinace více podpisů.

Kromě WAF nabízí Služba Azure Front Door také výchozí ochranu před útoky DDoS infrastruktury Azure, která chrání před útoky DDoS typu L3/4. Povolení ukládání do mezipaměti ve službě Azure Front Door může pomoct absorbovat náhlý objem provozu na hraničních zařízeních a chránit back-endové zdroje před útokem.

Další informace o funkcích a ochraně před útoky DDoS ve službě Azure Front Door najdete v tématu Ochrana před útoky DDoS ve službě Azure Front Door.

Azure WAF se službou Aplikace Azure Gateway

Doporučujeme použít skladovou položku WAF v2 služby Application Gateway, která je součástí nejnovějších funkcí, včetně funkcí zmírnění rizik L7 DDoS, k ochraně před útoky typu L7 DDoS.

Skladové položky WAF služby Application Gateway je možné použít ke zmírnění mnoha útoků DDoS L7:

  • Nastavte službu Application Gateway na automatické vertikální navýšení kapacity a nevynucujte maximální počet instancí.

  • Použití sady spravovaných pravidel ochrany robota poskytuje ochranu před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

  • Použijte omezení četnosti, abyste zabránili příliš častému volání IP adres vaší služby. Další informace najdete v tématu Konfigurace vlastních pravidel omezení rychlosti.

  • Zablokujte IP adresy a rozsahy, které identifikujete jako škodlivé. Další informace najdete v příkladech v tématu Vytvoření a použití vlastních pravidel v2.

  • Zablokujte nebo přesměrujte na statickou webovou stránku jakýkoli provoz mimo definovanou geografickou oblast nebo v rámci definované oblasti, která neodpovídá vzoru provozu aplikace. Další informace najdete v příkladech v tématu Vytvoření a použití vlastních pravidel v2.

  • Vytvořte vlastní pravidla WAF pro automatické blokování a omezování rychlosti útoků HTTP nebo HTTPS, které mají známé podpisy. Podpisy, jako je konkrétní uživatelský agent nebo určitý vzor provozu, včetně hlaviček, souborů cookie, parametrů řetězce dotazu nebo kombinace více podpisů.

Další aspekty

  • Uzamkněte přístup k veřejným IP adresám ve zdroji a omezte příchozí provoz tak, aby povolovaly provoz jenom ze služby Azure Front Door nebo Služby Application Gateway. Projděte si pokyny ke službě Azure Front Door. Služba Application Gateway se nasazuje ve virtuální síti a ujistěte se, že neexistují žádné veřejně vystavené IP adresy.

  • Přepněte zásady WAF do režimu prevence. Nasazení zásad v režimu detekce funguje jenom v protokolu a neblokuje provoz. Po ověření a otestování zásad WAF s produkčním provozem a vyladění, abyste snížili falešně pozitivní výsledky, měli byste zásadu změnit na režim prevence (režim blokování/ochrany).

  • Monitorujte provoz pomocí protokolů Azure WAF pro všechny anomálie. Můžete vytvořit vlastní pravidla, která zablokují jakýkoliv odchozí provoz – podezření, že IP adresy odesílají neobvykle vysoký počet požadavků, neobvyklý řetězec uživatelského agenta, neobvyklé vzory řetězců dotazů atd.

  • WaF můžete obejít kvůli známému legitimnímu provozu vytvořením vlastních pravidel shody pomocí akce Povolit omezit falešně pozitivní výsledky. Tato pravidla by měla být nakonfigurovaná s vysokou prioritou (nižší číselnou hodnotou) než jiná pravidla pro blokování a omezení rychlosti.

  • Minimálně byste měli mít pravidlo omezení rychlosti, které blokuje vysokou míru požadavků z jakékoli jedné IP adresy. Můžete například nakonfigurovat pravidlo omezení rychlosti tak, aby neumožňovalo odesílání více než XXX přenosů na jednu IP adresu klienta na vaši lokalitu. Azure WAF podporuje dvě okna pro sledování požadavků, 1 a 5 minut. Doporučuje se použít 5minutové okno pro lepší zmírnění útoků HTTP Flood. Toto pravidlo by mělo být pravidlo s nejnižší prioritou (priorita je seřazena s nejvyšší prioritou), aby bylo možné vytvořit konkrétnější pravidla omezení rychlosti nebo pravidla shody, která se mají shodovat před tímto pravidlem. Pokud používáte WAF služby Application Gateway v2, můžete využít další konfigurace omezování rychlosti ke sledování a blokování klientů jinými metodami než IP adresou klienta. Další informace o omezení četnosti waf ve službě Application Gateway najdete v přehledu omezování rychlosti.

    Následující dotaz Log Analytics může být užitečný při určování prahové hodnoty, kterou byste měli použít pro výše uvedené pravidlo. U podobného dotazu, ale se službou Application Gateway nahraďte "FrontdoorAccessLog" za ApplicationGatewayAccessLog.

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • Spravovaná pravidla, která nejsou přímo cílená na ochranu před útoky DDoS, poskytují ochranu před jinými běžnými útoky. Další informace najdete v tématu Spravovaná pravidla (Azure Front Door) nebo Spravovaná pravidla (Application Gateway), kde najdete další informace o různých typech útoků, které tato pravidla můžou pomoct chránit proti.

Analýza protokolů WAF

Protokoly WAF můžete analyzovat v Log Analytics pomocí následujícího dotazu.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Další informace najdete v tématu Azure WAF se službou Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Další informace najdete v tématu Azure WAF s Aplikace Azure Gateway.

Další kroky