Azure DDoS Protection - Concevoir des solutions résilientesAzure DDoS Protection - Designing resilient solutions

Cet article est destiné aux décideurs informatiques et aux équipes de sécurité.This article is for IT decision makers and security personnel. Il sous-tend que vous connaissez Azure, la mise en réseau et la sécurité.It expects that you're familiar with Azure, networking, and security. DDoS est un type d’attaque qui tente d’épuiser les ressources d’une application.DDoS is a type of attack that tries to exhaust application resources. Son objectif est d’affecter la disponibilité de l’application et sa capacité à gérer des demandes légitimes.The goal is to affect the application’s availability and its ability to handle legitimate requests. Ces attaques de plus en plus sophistiquées gagnent en importance et en impact.Attacks are becoming more sophisticated and larger in size and impact. Les attaques DDoS peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. La conception d’applications capables de résister à des attaques par déni de service distribué (DDoS) nécessite un travail de planification et la prise en compte de divers modes d’échec.Designing for distributed denial of service (DDoS) resiliency requires planning and designing for a variety of failure modes. Azure fournit une protection contre les attaques DDoS.Azure provides continuous protection against DDoS attacks. Cette protection est intégrée à la plateforme Azure par défaut sans frais additionnels.This protection is integrated into the Azure platform by default and at no extra cost.

Outre la protection DDoS de base sur la plateforme, Azure DDoS Protection Standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau.In addition to the core DDoS protection in the platform, Azure DDoS Protection Standard provides advanced DDoS mitigation capabilities against network attacks. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques.It's automatically tuned to protect your specific Azure resources. Vous pouvez facilement activer cette protection durant la création de réseaux virtuels.Protection is simple to enable during the creation of new virtual networks. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose.It can also be done after creation and requires no application or resource changes.

Rôle d’Azure DDoS Protection dans la protection des clients et d’un réseau virtuel face à un attaquant

Bonnes pratiques de baseFundamental best practices

La section suivante fournit des conseils normatifs pour générer des services résistants aux attaques DDoS sur Azure.The following sections give prescriptive guidance to build DDoS-resilient services on Azure.

Conception dans l’optique de la sécuritéDesign for security

Assurez-vous que la sécurité est une priorité tout au long du cycle de vie d’une application, de la conception et de l’implémentation au déploiement et aux opérations.Ensure that security is a priority throughout the entire lifecycle of an application, from design and implementation to deployment and operations. Les applications peuvent contenir des bogues qui laissent passer un volume relativement faible de requêtes conçues pour utiliser une quantité anormale de ressources, provoquant une panne de service.Applications can have bugs that allow a relatively low volume of requests to use an inordinate amount of resources, resulting in a service outage.

Pour permettre de protéger un service fonctionnant sur Microsoft Azure, vous devez bien comprendre l’architecture de votre application et respecter les cinq piliers de la qualité logicielle.To help protect a service running on Microsoft Azure, you should have a good understanding of your application architecture and focus on the five pillars of software quality. Vous devez avoir connaissance des volumes de trafic habituels, du modèle de connectivité entre l’application et d’autres applications, et des points de terminaison de service exposés à l’Internet public.You should know typical traffic volumes, the connectivity model between the application and other applications, and the service endpoints that are exposed to the public internet.

Il est extrêmement important que vous conceviez une application suffisamment résiliente pour surmonter une attaque ciblée par déni de service.Ensuring that an application is resilient enough to handle a denial of service that's targeted at the application itself is most important. La plateforme Azure intègre des fonctionnalités de sécurité et de confidentialité, à commencer par  SDL (Security Development Lifecycle).Security and privacy are built into the Azure platform, beginning with the Security Development Lifecycle (SDL). SDL tient compte de la sécurité à chaque phase de développement et vérifie qu’Azure est continuellement mis à jour pour le rendre encore plus sécurisé.The SDL addresses security at every development phase and ensures that Azure is continually updated to make it even more secure.

Conception dans l’optique de la scalabilitéDesign for scalability

L’extensibilité correspond à la capacité d’un système à traiter une charge accrue.Scalability is how well a system can handle increased load. Concevez vos applications de sorte qu’elles puissent être mises à l’échelle horizontalement pour répondre à la demande d’une charge amplifiée, en particulier dans le cadre d’une attaque DDoS.Design your applications to scale horizontally to meet the demand of an amplified load, specifically in the event of a DDoS attack. Si votre application repose sur une seule instance unique d’un service, cela crée un point de défaillance unique.If your application depends on a single instance of a service, it creates a single point of failure. L’approvisionnement de plusieurs instances rend votre système plus résilient et plus évolutif.Provisioning multiple instances makes your system more resilient and more scalable.

Pour Azure App Service, sélectionnez un plan App Service qui offre plusieurs instances.For Azure App Service, select an App Service plan that offers multiple instances. Pour les Azure Cloud Services, configurez chacun de vos rôles de manière à utiliser plusieurs instances.For Azure Cloud Services, configure each of your roles to use multiple instances. Pour Machines virtuelles Azure, vérifiez que votre architecture de machines virtuelles inclut plusieurs machines virtuelles et que chacune d’elles figure dans un groupe à haute disponibilité.For Azure Virtual Machines, ensure that your virtual machine (VM) architecture includes more than one VM and that each VM is included in an availability set. Nous vous recommandons d’utiliser des groupes de machines virtuelles identiques pour les fonctionnalités de mise à l’échelle automatique.We recommend using virtual machine scale sets for autoscaling capabilities.

Défense en profondeurDefense in depth

L’idée derrière la défense en profondeur est de gérer les risques en utilisant des stratégies de protection variées.The idea behind defense in depth is to manage risk by using diverse defensive strategies. Le fait de superposer des défenses dans une application réduit les chances de réussite d’une attaque.Layering security defenses in an application reduces the chance of a successful attack. Nous vous recommandons d’implémenter des conceptions sécurisées pour vos applications par le biais des fonctionnalités intégrées à la plateforme Azure.We recommend that you implement secure designs for your applications by using the built-in capabilities of the Azure platform.

Par exemple, plus la taille (surface d’exposition) de l’application est importante, plus le risque d’attaque est élevé.For example, the risk of attack increases with the size (surface area) of the application. Vous pouvez réduire la surface d’exposition en créant des listes vertes permettant de limiter l’espace d’adressage IP exposé et les ports d’écoute qui ne sont pas nécessaires sur les équilibreurs de charge (Azure Load Balancer et Azure Application Gateway).You can reduce the surface area by using whitelisting to close down the exposed IP address space and listening ports that are not needed on the load balancers (Azure Load Balancer and Azure Application Gateway). Les groupes de sécurité réseau permettent également de réduire la surface d’attaque.Network security groups (NSGs) are another way to reduce the attack surface. Vous pouvez utiliser des balises de service et des groupes de sécurité d’application pour simplifier la création de règles de sécurité et configurer la sécurité réseau comme prolongement naturel de la structure d’une application.You can use service tags and application security groups to minimize complexity for creating security rules and configuring network security, as a natural extension of an application’s structure.

Vous devez déployer les services Azure dans un réseau virtuel dans la mesure du possible.You should deploy Azure services in a virtual network whenever possible. Les ressources de service peuvent ainsi communiquer par le biais d’adresses IP privées.This practice allows service resources to communicate through private IP addresses. Le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques comme adresses IP source par défaut.Azure service traffic from a virtual network uses public IP addresses as source IP addresses by default. Le fait d’utiliser des points de terminaison de service force le trafic de service à utiliser des adresses privées de réseau virtuel comme adresses IP source lors de l’accès au service Azure à partir d’un réseau virtuel.Using service endpoints will switch service traffic to use virtual network private addresses as the source IP addresses when they're accessing the Azure service from a virtual network.

Il arrive fréquemment que les ressources locales d’un client soient attaquées en même temps que ses ressources dans Azure.We often see customers' on-premises resources getting attacked along with their resources in Azure. Si vous connectez un environnement local à Azure, nous vous recommandons de réduire l’exposition des ressources locales à l’Internet public.If you're connecting an on-premises environment to Azure, we recommend that you minimize exposure of on-premises resources to the public internet. Pour bénéficier des fonctionnalités de mise à l’échelle et de protection DDoS avancée d’Azure, déployez vos entités publiques connues dans Azure.You can use the scale and advanced DDoS protection capabilities of Azure by deploying your well-known public entities in Azure. Ces entités accessibles publiquement étant souvent la cible d’attaques DDoS, le fait de les placer dans Azure réduit l’impact sur vos ressources locales.Because these publicly accessible entities are often a target for DDoS attacks, putting them in Azure reduces the impact on your on-premises resources.

Offres Azure pour la protection DDoSAzure offerings for DDoS protection

Azure a deux offres de service DDoS qui fournissent une protection contre les attaques réseau (couche 3 et 4) : DDoS Protection Basic et DDoS Protection Standard.Azure has two DDoS service offerings that provide protection from network attacks (Layer 3 and 4): DDoS Protection Basic and DDoS Protection Standard.

DDoS Protection BasicDDoS Protection Basic

La protection de base est intégrée à Azure par défaut sans frais additionnels.Basic protection is integrated into the Azure by default at no additional cost. De par son échelle et sa capacité, le réseau Azure déployé à l’échelle mondiale assure une défense contre les attaques courantes de la couche réseau. Cette défense est par ailleurs renforcée par le monitoring continu du trafic et l’atténuation en temps réel.The scale and capacity of the globally deployed Azure network provides defense against common network-layer attacks through always-on traffic monitoring and real-time mitigation. DDoS Protection Basic ne nécessite aucun changement de la part de l’utilisateur au niveau de la configuration ou de l’application.DDoS Protection Basic requires no user configuration or application changes. DDoS Protection Basic permet de protéger tous les services Azure, notamment les services PaaS comme Azure DNS.DDoS Protection Basic helps protect all Azure services, including PaaS services like Azure DNS.

Mappage de la représentation du réseau Azure, avec le texte « Global DDoS mitigation presence » (Présence d’atténuation DDoS globale) et « Leading DDoS mitigation capacity » (Principale capacité d’atténuation DDoS)

Dans Azure, la protection DDoS de base comprend des composants logiciels et matériels.Basic DDoS protection in Azure consists of both software and hardware components. Un plan de contrôle logiciel détermine le type de trafic acheminé vers des appliances matérielles qui analysent et suppriment le trafic d’attaque, le moment où l’acheminent a lieu ainsi que l’emplacement.A software control plane decides when, where, and what type of traffic should be steered through hardware appliances that analyze and remove attack traffic. Le plan de contrôle prend cette décision en fonction d’une stratégie de protection DDoS à l’échelle de l’infrastructure.The control plane makes this decision based on an infrastructure-wide DDoS Protection policy. Cette stratégie est définie de manière statique et appliquée universellement à tous les clients Azure.This policy is statically set and universally applied to all Azure customers.

Par exemple, la stratégie de protection DDoS indique le volume de trafic auquel la protection doit être déclenchée.For example, the DDoS Protection policy specifies at what traffic volume the protection should be triggered. (Autrement dit, le trafic du locataire doit être acheminé via des appliances de lecture à vitesse variable.) La stratégie spécifie ensuite comment les appliances de lecture à vitesse variable doivent atténuer l’attaque.(That is, the tenant’s traffic should be routed through scrubbing appliances.) The policy then specifies how the scrubbing appliances should mitigate the attack.

Le service Azure DDoS Protection Basic a pour but de protéger l’infrastructure et la plateforme Azure.The Azure DDoS Protection Basic service is targeted at protection of the infrastructure and protection of the Azure platform. Il atténue le trafic quand celui-ci dépasse un débit important susceptible d’impacter plusieurs clients dans un environnement multi-locataire.It mitigates traffic when it exceeds a rate that is so significant that it might affect multiple customers in a multitenant environment. Il ne prend en charge ni les alertes ni les stratégies personnalisées par client.It doesn’t provide alerting or per-customer customized policies.

DDoS Protection StandardDDoS Protection Standard

La protection standard fournit des fonctionnalités d’atténuation DDoS améliorées.Standard protection provides enhanced DDoS mitigation features. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel.It's automatically tuned to help protect your specific Azure resources in a virtual network. La protection est simple à activer sur n’importe quel réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources.Protection is simple to enable on any new or existing virtual network, and it requires no application or resource changes. Elle offre plusieurs avantages par rapport au service de base, notamment la journalisation, la création d’alertes et la télémétrie.It has several advantages over the basic service, including logging, alerting, and telemetry. Les sections suivantes décrivent les principales fonctionnalités du service Azure DDoS Protection Standard.The following sections outline the key features of the Azure DDoS Protection Standard service.

Réglage adaptatif en temps réelAdaptive real time tuning

Le service Azure DDoS Protection Basic contribue à protéger les clients et évite d’impacter d’autres clients.The Azure DDoS Protection Basic service helps protect customers and prevent impacts to other customers. Par exemple, si un service est provisionné pour un volume de trafic entrant légitime inférieur au taux de déclenchement de la stratégie de protection DDoS à l’échelle de l’infrastructure, une attaque DDoS sur les ressources du client peut passer inaperçue.For example, if a service is provisioned for a typical volume of legitimate incoming traffic that's smaller than the trigger rate of the infrastructure-wide DDoS Protection policy, a DDoS attack on that customer’s resources might go unnoticed. De manière plus générale, la complexité des récentes attaques (comme les attaques DDoS multivectorielles) et les comportements spécifiques aux applications des locataires demandent des stratégies de protection personnalisées par client.More generally, the complexity of recent attacks (for example, multi-vector DDoS) and the application-specific behaviors of tenants call for per-customer, customized protection policies. Le service effectue cette personnalisation en s’appuyant sur deux éléments :The service accomplishes this customization by using two insights:

  • L’apprentissage automatique des modèles de trafic par client (par adresse IP) pour les couches 3 et 4.Automatic learning of per-customer (per-IP) traffic patterns for Layer 3 and 4.

  • La réduction des faux positifs dans la mesure où l’échelle d’Azure permet d’absorber une quantité importante de trafic.Minimizing false positives, considering that the scale of Azure allows it to absorb a significant amount of traffic.

Schéma du fonctionnement de DDoS Protection Standard, avec la génération de stratégie entourée

Protection DDoS : télémétrie, monitoring et génération d’alertesDDoS Protection telemetry, monitoring, and alerting

DDoS Protection Standard expose des données de télémétrie riches par le biais d’Azure Monitor pendant la durée d’une attaque DDoS.DDoS Protection Standard exposes rich telemetry via Azure Monitor for the duration of a DDoS attack. Vous pouvez configurer des alertes pour une des mesures d’Azure Monitor utilisée par DDoS Protection.You can configure alerts for any of the Azure Monitor metrics that DDoS Protection uses. Vous pouvez intégrer la journalisation à Splunk (Azure Event Hubs), Journaux Azure Monitor et Stockage Azure pour l’analyse avancée via l’interface des diagnostics d’Azure Monitor.You can integrate logging with Splunk (Azure Event Hubs), Azure Monitor logs, and Azure Storage for advanced analysis via the Azure Monitor Diagnostics interface.

Stratégies d’atténuation des risques liés à DDoSDDoS mitigation policies

Dans le portail Azure, cliquez sur Surveiller > Métriques.In the Azure portal, select Monitor > Metrics. Dans le volet Métriques, sélectionnez le groupe de ressources, le type de ressource Adresse IP publique et votre adresse IP publique Azure.In the Metrics pane, select the resource group, select a resource type of Public IP Address, and select your Azure public IP address. Les métriques DDoS sont visibles dans le volet Métriques disponibles.DDoS metrics are visible in the Available metrics pane.

DDoS Protection Standard applique trois stratégies de prévention réglées automatiquement (TCP SYN, TCP et UDP) pour chaque adresse IP publique de la ressource protégée, dans le réseau virtuel sur lequel la protection DDoS est activée.DDoS Protection Standard applies three autotuned mitigation policies (TCP SYN, TCP, and UDP) for each public IP of the protected resource, in the virtual network that has DDoS enabled. Vous pouvez afficher les seuils de stratégie en sélectionnant la métrique Paquets entrants pour déclencher l’atténuation DDoS.You can view the policy thresholds by selecting the metric Inbound packets to trigger DDoS mitigation.

Métriques disponibles et graphique des métriques

Les seuils de stratégie sont configurés automatiquement par le biais du système de profilage du trafic réseau basé sur l’apprentissage automatique.The policy thresholds are autoconfigured via machine learning-based network traffic profiling. L’atténuation des risques liés à DDoS pour une adresse IP n’a lieu que si le seuil de stratégie est dépassé.DDoS mitigation occurs for an IP address under attack only when the policy threshold is exceeded.

Métrique d’une adresse IP faisant l’objet d’une attaque DDoSMetric for an IP address under DDoS attack

Si l’adresse IP publique est attaquée, la valeur de la métrique Sous attaque DDoS ou non passe à 1 à mesure que DDoS Protection effectue les opérations d’atténuation sur le trafic de l’attaque.If the public IP address is under attack, the value for the metric Under DDoS attack or not changes to 1 as DDoS Protection performs mitigation on the attack traffic.

Métrique « Sous attaque DDoS ou non » et graphique

Nous vous recommandons de configurer une alerte sur cette métrique.We recommend configuring an alert on this metric. Vous serez alors averti en cas d’atténuation DDoS active sur votre adresse IP publique.You'll then be notified when there’s an active DDoS mitigation performed on your public IP address.

Pour plus d’informations, consultez Gérer Azure DDoS Protection Standard à l’aide du portail Azure.For more information, see Manage Azure DDoS Protection Standard using the Azure portal.

Pare-feu d’applications web pour les attaques sur les ressourcesWeb application firewall for resource attacks

Pour lutter spécifiquement contre les attaques sur les ressources au niveau de la couche application et renforcer la sécurité des applications web, vous devez configurer le pare-feu d’applications web (WAF).Specific to resource attacks at the application layer, you should configure a web application firewall (WAF) to help secure web applications. WAF inspecte le trafic web entrant pour bloquer les injections SQL, les scripts intersites, les attaques DDoS et autres attaques au niveau de la couche 7.A WAF inspects inbound web traffic to block SQL injections, cross-site scripting, DDoS, and other Layer 7 attacks. WAF est une fonctionnalité d’Application Gateway fournie par Azure pour protéger de manière centralisée vos applications web contre les vulnérabilités et exploits courants.Azure provides WAF as a feature of Application Gateway for centralized protection of your web applications from common exploits and vulnerabilities. Les partenaires Azure proposent d’autres offres WAF. Pour trouver celle la mieux adaptée à vos besoins, visitez la Place de marché Azure.There are other WAF offerings available from Azure partners that might be more suitable for your needs via the Azure Marketplace.

Même les pare-feu d’application web sont vulnérables aux attaques volumétriques et d’épuisement d’état.Even web application firewalls are susceptible to volumetric and state exhaustion attacks. Nous vous recommandons fortement d’activer DDoS Protection Standard sur le réseau virtuel WAF pour contribuer à vous protéger contre les attaques volumétriques et de protocole.We strongly recommend enabling DDoS Protection Standard on the WAF virtual network to help protect from volumetric and protocol attacks. Pour plus d’informations, consultez la section sur les architectures de référence DDoS Protection.For more information, see the DDoS Protection reference architectures section.

Planification de la protectionProtection planning

La planification et la préparation sont des étapes cruciales pour comprendre comment un système se comporte en cas d’attaque DDoS.Planning and preparation are crucial to understand how a system will perform during a DDoS attack. La conception d’un plan de réponse de gestion des incidents fait partie de cet effort.Designing an incident management response plan is part of this effort.

Si vous disposez de DDoS Protection Standard, assurez-vous qu’il est activé sur le réseau virtuel des points de terminaison accessibles sur Internet.If you have DDoS Protection Standard, make sure that it's enabled on the virtual network of internet-facing endpoints. La configuration d’alertes DDoS vous permet d’être en permanence attentif aux attaques potentielles sur votre infrastructure.Configuring DDoS alerts helps you constantly watch for any potential attacks on your infrastructure.

Surveillez vos applications de manière indépendante.Monitor your applications independently. Vous devez comprendre le comportement normal d’une application.Understand the normal behavior of an application. Préparez-vous à intervenir si l’application ne se comporte pas comme prévu durant une attaque DDoS.Prepare to act if the application is not behaving as expected during a DDoS attack.

Test à l’aide de simulationsTesting through simulations

Nous vous conseillons de tester vos hypothèses sur la façon dont vos services répondront à une attaque au moyen de simulations périodiques.It’s a good practice to test your assumptions about how your services will respond to an attack by conducting periodic simulations. Ces tests permettent de vérifier que vos services ou applications continuent à fonctionner comme prévu et que l’expérience des utilisateurs n’est pas interrompue.During testing, validate that your services or applications continue to function as expected and there’s no disruption to the user experience. Identifiez les lacunes du point de vue de la technologie et du processus, et incorporez-les dans la stratégie de réponse DDoS.Identify gaps from both a technology and process standpoint and incorporate them in the DDoS response strategy. Nous vous recommandons d’effectuer ces tests dans des environnements intermédiaires ou durant les heures creuses afin de minimiser l’impact sur l’environnement de production.We recommend that you perform such tests in staging environments or during non-peak hours to minimize the impact to the production environment.

Nous travaillons en collaboration avec BreakingPoint Cloud pour créer une interface à l’aide de laquelle les clients Azure peuvent générer du trafic sur les points de terminaison publics dotés de DDoS Protection à des fins de simulation.We have partnered with BreakingPoint Cloud to build an interface where Azure customers can generate traffic against DDoS Protection-enabled public endpoints for simulations. Vous pouvez utiliser la simulation BreakingPoint Cloud pour :You can use the BreakingPoint Cloud simulation to:

  • Valider la façon dont Azure DDoS Protection contribue à protéger vos ressources Azure contre les attaques DDoS.Validate how Azure DDoS Protection helps protect your Azure resources from DDoS attacks.

  • Optimiser votre processus de réponse aux incidents en cas d’attaque DDoS.Optimize your incident response process while under DDoS attack.

  • Documenter la conformité DDoS.Document DDoS compliance.

  • Former des équipes de sécurité réseau.Train your network security teams.

La cybersécurité nécessite une innovation constante en matière de défense.Cybersecurity requires constant innovation in defense. Azure DDoS Protection Standard est une solution de pointe qui permet aux clients d’atténuer de manière efficace les attaques DDoS de plus en plus complexes.Azure DDoS Standard protection is a state-of-the-art offering with an effective solution to mitigate increasingly complex DDoS attacks.

Composants d’une stratégie de réponse DDoSComponents of a DDoS response strategy

Une attaque DDoS ciblant des ressources Azure nécessite généralement une intervention minimale de l’utilisateur.A DDoS attack that targets Azure resources usually requires minimal intervention from a user standpoint. Néanmoins, le fait d’incorporer l’atténuation des risques liés à DDoS à la stratégie de réponse aux incidents aide à limiter l’impact sur l’activité.Still, incorporating DDoS mitigation as part of an incident response strategy helps minimize the impact to business continuity.

Microsoft Threat IntelligenceMicrosoft threat intelligence

Microsoft dispose d’un réseau complet d’informations sur les menaces.Microsoft has an extensive threat intelligence network. Celui-ci s’appuie sur les connaissances d’une communauté de spécialistes de la sécurité prenant en charge les services en ligne de Microsoft, sur les partenaires Microsoft et sur les relations au sein de la communauté dédiée à la sécurité d’Internet.This network uses the collective knowledge of an extended security community that supports Microsoft online services, Microsoft partners, and relationships within the internet security community.

En tant que fournisseur d’infrastructures critiques, Microsoft reçoit à l’avance des avertissements sur les menaces.As a critical infrastructure provider, Microsoft receives early warnings about threats. Microsoft collecte des informations sur les menaces à partir de ses services en ligne et de sa base client globale.Microsoft gathers threat intelligence from its online services and from its global customer base. Microsoft incorpore tous ces renseignements sur les menaces dans les produits Azure DDoS Protection.Microsoft incorporates all of this threat intelligence back into the Azure DDoS Protection products.

En outre, Microsoft Digital Crimes Unit (DCU) met en place des stratégies offensives contre les botnets.Also, the Microsoft Digital Crimes Unit (DCU) performs offensive strategies against botnets. Les botnets constituent une source courante de commande et de contrôle pour les attaques DDoS.Botnets are a common source of command and control for DDoS attacks.

Évaluation des risques de vos ressources AzureRisk evaluation of your Azure resources

Il est impératif de comprendre en permanence la portée des risques liés à une attaque DDoS.It’s imperative to understand the scope of your risk from a DDoS attack on an ongoing basis. Demandez-vous régulièrement :Periodically ask yourself:

  • Quelles nouvelles ressources Azure disponibles publiquement doivent être protégées ?What new publicly available Azure resources need protection?

  • Existe-t-il un point de défaillance unique dans le service ?Is there a single point of failure in the service?

  • Comment faire pour isoler les services de manière à limiter l’impact d’une attaque tout en les rendant accessibles aux clients valides ?How can services be isolated to limit the impact of an attack while still making services available to valid customers?

  • Y a-t-il des réseaux virtuels dans lesquels le service DDoS Protection Standard n’est pas activé alors qu’il devrait l’être ?Are there virtual networks where DDoS Protection Standard should be enabled but isn't?

  • Mes services sont-ils actifs/actifs avec basculement dans plusieurs régions ?Are my services active/active with failover across multiple regions?

Équipe de réponse aux attaques DDoS du clientCustomer DDoS response team

La création d’une équipe de réponse DDoS est essentielle pour garantir une réponse rapide et efficace en cas d’attaque.Creating a DDoS response team is a key step in responding to an attack quickly and effectively. Dans votre organisation, identifiez plusieurs contacts qui seront en charge de la planification et de l’exécution.Identify contacts in your organization who will oversee both planning and execution. Cette équipe de réponse DDoS doit comprendre en détail le service Azure DDoS Protection Standard.This DDoS response team should thoroughly understand the Azure DDoS Protection Standard service. Assurez-vous que l’équipe est en mesure d’identifier et d’atténuer une attaque en coordination avec les clients internes et externes, y compris l’équipe de support Microsoft.Make sure that the team can identify and mitigate an attack by coordinating with internal and external customers, including the Microsoft support team.

Pour votre équipe de réponse DDoS, nous vous recommandons d’utiliser des exercices de simulation comme composant normal de la planification de la continuité et de la disponibilité de votre service.For your DDoS response team, we recommend that you use simulation exercises as a normal part of your service availability and continuity planning. Ces exercices doivent inclure des tests d’échelle.These exercises should include scale testing.

Alertes durant une attaqueAlerts during an attack

Azure DDoS Protection Standard identifie et atténue les attaques DDoS sans aucune intervention de l’utilisateur.Azure DDoS Protection Standard identifies and mitigates DDoS attacks without any user intervention. Pour être averti en cas d’atténuation active pour une adresse IP publique protégée, vous pouvez configurer une alerte sur la métrique Sous attaque DDoS ou non.To get notified when there’s an active mitigation for a protected public IP, you can configure an alert on the metric Under DDoS attack or not. Vous pouvez choisir de créer des alertes pour les autres métriques DDoS afin de comprendre l’échelle des attaques, le trafic abandonné, etc.You can choose to create alerts for the other DDoS metrics to understand the scale of the attack, traffic being dropped, and other details.

Quand contacter le support MicrosoftWhen to contact Microsoft support

  • Au cours d’une attaque DDoS, vous constatez que les performances de la ressource protégée sont fortement dégradées ou que la ressource n’est pas disponible.During a DDoS attack, you find that the performance of the protected resource is severely degraded, or the resource is not available.

  • Vous pensez que le service DDoS Protection ne se comporte pas comme prévu.You think the DDoS Protection service is not behaving as expected.

    Le service DDoS Protection déclenche l’atténuation uniquement si la valeur de la métrique Stratégie pour déclencher l’atténuation DDoS (TCP/TCP SYN/UDP) est inférieure au trafic reçu sur la ressource IP publique protégée.The DDoS Protection service starts mitigation only if the metric value Policy to trigger DDoS mitigation (TCP/TCP SYN/UDP) is lower than the traffic received on the protected public IP resource.

  • Vous planifiez un événement viral qui peut accroître considérablement votre trafic réseau.You're planning a viral event that will significantly increase your network traffic.

  • Un acteur menace de lancer une attaque DDoS sur vos ressources.An actor has threatened to launch a DDoS attack against your resources.

  • Si vous devez autoriser la liste d’une adresse IP ou d’une plage d’adresses IP depuis une norme Azure DDoS Protection.If you need to allow list an IP or IP range from Azure DDoS Protection Standard. Un scénario courant consiste à autoriser une liste d’adresses IP si le trafic est acheminé à partir d’un pare-feu d’applications web de cloud externe vers Azure.A common scenario is to allow list IP if the traffic is routed from an external cloud WAF to Azure.

Pour les attaques ayant un impact critique sur l’entreprise, créez un ticket de support avec un niveau de gravité A.For attacks that have a critical business impact, create a severity-A support ticket.

Étapes à suivre après l’attaquePost-attack steps

Il est toujours bon d’effectuer un compte-rendu après une attaque et d’ajuster la stratégie de réponse DDoS au besoin.It’s always a good strategy to do a postmortem after an attack and adjust the DDoS response strategy as needed. Points importants à prendre en compte :Things to consider:

  • Le manque d’extensibilité de l’architecture a-t-il perturbé le service ou l’expérience utilisateur ?Was there any disruption to the service or user experience due to lack of scalable architecture?

  • Quels sont les services ou les applications qui ont souffert le plus ?Which applications or services suffered the most?

  • Quel a été le degré d’efficacité de la stratégie de réponse DDoS et comment peut-il être amélioré ?How effective was the DDoS response strategy, and how can it be improved?

Si vous pensez que vous faites l’objet d’une attaque DDoS, transmettez le problème aux canaux de support Azure habituels.If you suspect you're under a DDoS attack, escalate through your normal Azure Support channels.

Architectures de référence de la protection DDoSDDoS Protection reference architectures

DDoS Protection Standard est conçu pour les services déployés dans un réseau virtuel.DDoS Protection Standard is designed for services that are deployed in a virtual network. Pour les autres services, le service DDoS Protection Basic par défaut s’applique.For other services, the default DDoS Protection Basic service applies. Les architectures de référence suivantes sont organisées par scénarios, avec regroupement des modèles d’architecture.The following reference architectures are arranged by scenarios, with architecture patterns grouped together.

Charges de travail de machines virtuelles (Windows/Linux)Virtual machine (Windows/Linux) workloads

Application exécutée sur des machines virtuelles à charge équilibréeApplication running on load-balanced VMs

Cette architecture de référence présente un ensemble de pratiques éprouvées pour exécuter plusieurs machines virtuelles Windows dans un groupe identique derrière un équilibreur de charge, afin d’améliorer la disponibilité et l’extensibilité.This reference architecture shows a set of proven practices for running multiple Windows VMs in a scale set behind a load balancer, to improve availability and scalability. Cette architecture convient à n’importe quelle charge de travail sans état, par exemple un serveur web.This architecture can be used for any stateless workload, such as a web server.

Schéma de l’architecture de référence pour une application en cours d’exécution sur des machines virtuelles à charge équilibrée

Dans cette architecture, une charge de travail est répartie entre plusieurs instances de machine virtuelle.In this architecture, a workload is distributed across multiple VM instances. Il existe une seule adresse IP publique, et le trafic Internet est réparti entre les machines virtuelles à l’aide d’un équilibreur de charge.There is a single public IP address, and internet traffic is distributed to the VMs through a load balancer. DDoS Protection Standard est activé sur le réseau virtuel de l’équilibreur de charge Azure (Internet) associé à l’adresse IP publique.DDoS Protection Standard is enabled on the virtual network of the Azure (internet) load balancer that has the public IP associated with it.

L’équilibreur de charge distribue les demandes Internet entrantes aux instances de machine virtuelle.The load balancer distributes incoming internet requests to the VM instances. Les groupes de machines virtuelles identiques permettent d’augmenter ou de réduire le nombre de machines virtuelles manuellement ou automatiquement en fonction de règles prédéfinies.Virtual machine scale sets allow the number of VMs to be scaled in or out manually, or automatically based on predefined rules. Ceci est important si la ressource fait l’objet d’une attaque DDoS.This is important if the resource is under DDoS attack. Pour plus d’informations sur cette architecture de référence, consultez cet article.For more information on this reference architecture, see this article.

Application s’exécutant sur une architecture Windows multiniveauApplication running on Windows N-tier

Il existe de nombreuses façons d’implémenter une architecture multiniveau.There are many ways to implement an N-tier architecture. Le schéma suivant présente une application web à trois niveaux standard.The following diagram shows a typical three-tier web application. Cette architecture repose sur celle décrite dans l’article Exécuter des machines virtuelles à charge équilibrée pour la scalabilité et la disponibilité.This architecture builds on the article Run load-balanced VMs for scalability and availability. Les niveaux Web et Business utilisent des machines virtuelles à charge équilibrée.The web and business tiers use load-balanced VMs.

Schéma de l’architecture de référence pour une application en cours d’exécution sur une architecture Windows multiniveau

Dans cette architecture, DDoS Protection Standard est activé sur le réseau virtuel.In this architecture, DDoS Protection Standard is enabled on the virtual network. Toutes les adresses IP publiques dans le réseau virtuel bénéficient d’une protection DDoS au niveau des couches 3 et 4.All public IPs in the virtual network get DDoS protection for Layer 3 and 4. Pour protéger la couche 7, déployez Application Gateway dans la référence SKU WAF.For Layer 7 protection, deploy Application Gateway in the WAF SKU. Pour plus d’informations sur cette architecture de référence, consultez cet article.For more information on this reference architecture, see this article.

Application web PaaSPaaS web application

Cette architecture de référence montre l’exécution d’une application Azure App Service dans une seule région.This reference architecture shows running an Azure App Service application in a single region. Cette architecture présente un ensemble de pratiques éprouvées pour une application web utilisant  Azure App Service  et  Azure SQL Database.This architecture shows a set of proven practices for a web application that uses Azure App Service and Azure SQL Database. La région de secours est configurée pour les scénarios de basculement.A standby region is set up for failover scenarios.

Schéma de l’architecture de référence pour une application web PaaS

Azure Traffic Manager achemine les requêtes entrantes à Application Gateway dans l’une des régions.Azure Traffic Manager routes incoming requests to Application Gateway in one of the regions. Pendant le fonctionnement normal, il achemine les requêtes à Application Gateway dans la région active.During normal operations, it routes requests to Application Gateway in the active region. Si cette région n’est plus disponible, Traffic Manager bascule sur Application Gateway dans la région de secours.If that region becomes unavailable, Traffic Manager fails over to Application Gateway in the standby region.

Tout le trafic provenant d’Internet à destination de l’application web est acheminé à l’adresse IP publique d’Application Gateway par le biais de Traffic Manager.All traffic from the internet destined to the web application is routed to the Application Gateway public IP address via Traffic Manager. Dans ce scénario, App Service (application web) n’est pas directement accessible de l’extérieur et est protégé par Application Gateway.In this scenario, the app service (web app) itself is not directly externally facing and is protected by Application Gateway.

Nous vous recommandons de configurer la référence SKU WAF Application Gateway (mode prévention) pour mettre en place une protection contre les attaques de couche 7 (HTTP/HTTPS/Web Socket).We recommend that you configure the Application Gateway WAF SKU (prevent mode) to help protect against Layer 7 (HTTP/HTTPS/WebSocket) attacks. Par ailleurs, les applications web sont configurées pour accepter uniquement le trafic provenant de l’adresse IP d’Application Gateway.Additionally, web apps are configured to accept only traffic from the Application Gateway IP address.

Pour plus d’informations sur cette architecture de référence, consultez cet article.For more information about this reference architecture, see this article.

Atténuation pour les services PaaS non webMitigation for non-web PaaS services

HDInsight sur AzureHDInsight on Azure

Cette architecture de référence montre la configuration de DDoS Protection Standard pour un cluster Azure HDInsight.This reference architecture shows configuring DDoS Protection Standard for an Azure HDInsight cluster. Assurez-vous que le cluster HDInsight est lié à un réseau virtuel et que DDoS Protection est activé sur ce réseau virtuel.Make sure that the HDInsight cluster is linked to a virtual network and that DDoS Protection is enabled on the virtual network.

Volets « HDInsight » et « Paramètres avancés », avec les paramètres de réseau virtuel

Sélection pour activer DDoS Protection

Dans cette architecture, le trafic destiné au cluster HDInsight en provenance d’Internet est acheminé à l’adresse IP publique associée à l’équilibreur de charge de la passerelle HDInsight.In this architecture, traffic destined to the HDInsight cluster from the internet is routed to the public IP associated with the HDInsight gateway load balancer. L’équilibreur de charge de la passerelle envoie ensuite directement le trafic aux nœuds principaux ou aux nœuds worker.The gateway load balancer then sends the traffic to the head nodes or the worker nodes directly. Dans la mesure où DDoS Protection Standard est activé sur le réseau virtuel HDInsight, toutes les adresses IP publiques dans le réseau virtuel bénéficient d’une protection DDoS au niveau des couches 3 et 4.Because DDoS Protection Standard is enabled on the HDInsight virtual network, all public IPs in the virtual network get DDoS protection for Layer 3 and 4. Cette architecture de référence peut être combinée avec les architectures de référence multiniveau/multirégion.This reference architecture can be combined with the N-Tier and multi-region reference architectures.

Pour plus d’informations sur cette architecture de référence, consultez la documentation Étendre HDInsight à l’aide d’un réseau virtuel Azure.For more information on this reference architecture, see the Extend Azure HDInsight using an Azure Virtual Network documentation.

Notes

Azure App Service Environment pour PowerApps ou la gestion des API dans un réseau virtuel avec une adresse IP publique ne sont pas pris en charge en mode natif.Azure App Service Environment for PowerApps or API management in a virtual network with a public IP are both not natively supported.

Étapes suivantesNext steps