Az Azure DDoS Protection alapvető ajánlott eljárásai
A következő szakaszok prescriptive útmutatást nyújtanak a DDoS-reziliens szolgáltatások Azure-on való létrehozásához.
Biztonságot szem előtt tartó tervezés
Győződjön meg arról, hogy a biztonság prioritást élvez az alkalmazás teljes életciklusa során, a tervezéstől a megvalósításon át az üzembe helyezésig és a műveletekig. Az alkalmazások olyan hibákkal is rendelkezhetnek, amelyek lehetővé teszik, hogy viszonylag kis mennyiségű kérelem használjon rendezetlen mennyiségű erőforrást, ami szolgáltatáskimaradást eredményez.
A Microsoft Azure-on futó szolgáltatások védelméhez ismernie kell az alkalmazásarchitektúrát, és a szoftverminőség öt pillérére kell összpontosítania. Ismernie kell a tipikus forgalommennyiségeket, az alkalmazás és más alkalmazások közötti kapcsolati modellt, valamint a nyilvános interneten elérhető szolgáltatásvégpontokat.
Annak biztosítása, hogy az alkalmazás elég rugalmas legyen ahhoz, hogy kezelni tudja a szolgáltatásmegtagadást, amely az alkalmazásra irányul, a legfontosabb. A biztonság és az adatvédelem az Azure-platformba van beépítve, kezdve a Security Development Lifecycle (SDL) használatával. Az SDL minden fejlesztési fázisban kezeli a biztonságot, és biztosítja, hogy az Azure folyamatosan frissüljön, hogy még biztonságosabb legyen. Ha többet szeretne megtudni a hatékonyság maximalizálásáról a DDoS Protection használatával, olvassa el a Hatékonyság maximalizálása: Ajánlott eljárások az Azure DDoS Protection és az alkalmazás rugalmasságához című témakört.
Tervezés a méretezhetőség érdekében
A méretezhetőség az, hogy a rendszer mennyire képes kezelni a megnövekedett terhelést. Az alkalmazásokat úgy tervezheti meg, hogy horizontálisan skálázhatók, hogy kielégítsék a felerősített terhelés igényét, különösen DDoS-támadás esetén. Ha az alkalmazás egy szolgáltatás egyetlen példányától függ, egyetlen hibapontot hoz létre. Több példány üzembe helyezése rugalmasabbá és skálázhatóbbá teszi a rendszert.
A Azure-alkalmazás Service esetében válasszon ki egy app service-csomagot, amely több példányt is kínál. Az Azure Cloud Services esetében konfigurálja az egyes szerepköröket több példány használatára. Az Azure-beli virtuális gépek esetében győződjön meg arról, hogy a virtuális gép (VM) architektúrája több virtuális gépet is tartalmaz, és hogy minden virtuális gép szerepel-e egy rendelkezésre állási csoportban. Javasoljuk, hogy a virtuálisgép-méretezési csoportokat használja az automatikus skálázási képességekhez.
Mélységi védelem
A mélységi védelem lényege a kockázatok kezelése különböző védelmi stratégiák használatával. Az alkalmazások biztonsági védelmének rétegezése csökkenti a sikeres támadás esélyét. Javasoljuk, hogy az Azure platform beépített képességeinek használatával implementáljon biztonságos terveket az alkalmazásokhoz.
A támadás kockázata például az alkalmazás méretével (felületével) nő. A felület csökkentéséhez használjon jóváhagyási listát a közzétett IP-címtér bezárásához és a terheléselosztókon (Azure Load Balancer és Azure-alkalmazás Gateway) nem szükséges portok figyeléséhez. A hálózati biztonsági csoportok (NSG-k) egy másik módszer a támadási felület csökkentésére. Szolgáltatáscímkék és alkalmazásbiztonsági csoportok használatával minimalizálhatja a biztonsági szabályok létrehozásának és a hálózati biztonság konfigurálásának összetettségét az alkalmazásstruktúra természetes kiterjesztéseként. Emellett a Microsoft Sentinelhez készült Azure DDoS-megoldással rögzítheti a DDoS-forrásokat, és megakadályozhatja, hogy más, kifinomult támadásokat, például adatlopásokat indítsanak.
Amikor csak lehetséges, azure-szolgáltatásokat kell üzembe helyeznie egy virtuális hálózaton . Ez a gyakorlat lehetővé teszi, hogy a szolgáltatás erőforrásai privát IP-címeken keresztül kommunikáljanak. A virtuális hálózatról érkező Azure-szolgáltatásforgalom alapértelmezés szerint nyilvános IP-címeket használ forrás IP-címként. A szolgáltatásvégpontok használata a szolgáltatás forgalmát úgy váltja át, hogy a virtuális hálózati magáncímeket használja forrás IP-címként, amikor egy virtuális hálózatról éri el az Azure-szolgáltatást.
Gyakran tapasztaljuk, hogy az ügyfelek helyszíni erőforrásait is megtámadják az Azure-beli erőforrásaikkal együtt. Ha helyszíni környezetet csatlakoztat az Azure-hoz, javasoljuk, hogy minimalizálja a helyszíni erőforrások nyilvános internetre való kitettségét. Az Azure skálázási és fejlett DDoS-védelmi funkcióit jól ismert nyilvános entitások Azure-ban való üzembe helyezésével használhatja. Mivel ezek a nyilvánosan elérhető entitások gyakran a DDoS-támadások célpontjai, az Azure-ban való elhelyezés csökkenti a helyszíni erőforrásokra gyakorolt hatást.