Praktik terbaik mendasar Azure DDoS Protection

  • Artikel

Bagian berikut memberikan panduan preskriptif untuk membangun layanan tangguh DDoS di Azure.

Desain untuk keamanan

Pastikan bahwa keamanan merupakan prioritas di seluruh siklus hidup aplikasi, mulai dari desain dan implementasi hingga penyebaran dan operasi. Aplikasi dapat memiliki bug yang memungkinkan volume permintaan yang relatif rendah untuk menggunakan sumber daya yang sangat banyak, yang mengakibatkan penghentian layanan.

Untuk membantu melindungi layanan yang berjalan di Microsoft Azure, Anda harus memiliki pemahaman yang baik tentang arsitektur aplikasi Anda dan fokus pada lima pilar kualitas perangkat lunak. Anda harus mengetahui volume lalu lintas yang khas, model konektivitas antar-aplikasi, dan titik akhir layanan yang terpapar ke internet publik.

Yang paling penting adalah memastikan bahwa aplikasi cukup tangguh untuk menangani penolakan layanan yang ditargetkan pada aplikasi itu sendiri. Keamanan dan privasi dibangun ke dalam platform Azure, dimulai dengan Security Development Lifecycle (SDL). SDL mengatasi keamanan di setiap fase pengembangan dan memastikan Azure terus diperbarui untuk membuatnya jauh lebih aman. Untuk mempelajari selengkapnya tentang memaksimalkan efektivitas Anda menggunakan DDoS Protection, lihat Memaksimalkan Efektivitas: Praktik Terbaik untuk Azure DDoS Protection dan Ketahanan Aplikasi.

Desain untuk skalabilitas

Skalabilitas adalah seberapa baik sistem dapat menangani peningkatan beban. Desain aplikasi Anda untuk menskalakan secara horizontal guna memenuhi permintaan beban yang meningkat, khususnya jika terjadi serangan DDoS. Jika aplikasi Anda bergantung pada satu instans layanan, itu akan membuat satu titik kegagalan. Penyediaan beberapa instans membuat sistem Anda lebih tangguh dan lebih terukur.

Untuk Azure App Service, pilih paket App Service yang menawarkan beberapa instans. Untuk Azure Cloud Services, konfigurasikan setiap peran untuk menggunakan beberapa instans. Untuk Azure Virtual Machines, pastikan arsitektur komputer virtual (VM) Anda mencakup lebih dari satu komputer virtual dan setiap komputer virtual disertakan dalam kumpulan ketersediaan. Sebaiknya gunakan set skala komputer virtual untuk kemampuan penskalaan otomatis.

Pertahanan secara mendalam

Ide di balik pertahanan secara mendalam adalah mengelola risiko dengan menggunakan strategi defensif yang beragam. Melapisi pertahanan keamanan dalam aplikasi akan mengurangi kemungkinan keberhasilan serangan. Sebaiknya terapkan desain aman untuk aplikasi Anda dengan menggunakan kemampuan bawaan platform Azure.

Misalnya, risiko serangan meningkat dengan ukuran (luas permukaan) aplikasi. Anda dapat mengurangi area permukaan dengan menggunakan daftar persetujuan untuk menutup ruang alamat IP yang terpapar dan port dengar yang tidak diperlukan pada penyeimbang muatan (Azure Load Balancer dan Azure Application Gateway). Kelompok keamanan jaringan (NSG) adalah cara lain untuk mengurangi serangan permukaan. Anda dapat menggunakan tag layanan dan grup keamanan aplikasi untuk meminimalkan kompleksitas untuk membuat aturan keamanan dan mengonfigurasi keamanan jaringan, sebagai ekstensi alami struktur aplikasi. Selain itu, Anda dapat menggunakan Azure DDoS Solution untuk Microsoft Azure Sentinel untuk menentukan sumber DDoS yang menyinggung dan memblokirnya meluncurkan serangan canggih lainnya, seperti pencurian data.

Anda harus menyebarkan layanan Azure di jaringan virtual kapan pun memungkinkan. Praktik ini memungkinkan sumber daya layanan berkomunikasi melalui alamat IP privat. Lalu lintas layanan Azure dari jaringan virtual menggunakan alamat IP publik sebagai alamat IP sumber secara default. Menggunakan titik akhir layanan, akan mengalihkan lalu lintas layanan menggunakan alamat privat jaringan virtual sebagai alamat IP sumber saat mengakses layanan Azure dari jaringan virtual.

Kami sering melihat sumber daya lokal pelanggan diserang bersama dengan sumber daya mereka di Azure. Jika Anda menyambungkan lingkungan lokal ke Azure, sebaiknya minimalkan paparan sumber daya lokal ke internet publik. Anda dapat menggunakan skala dan kemampuan perlindungan DDoS tingkat lanjut Azure dengan menerapkan entitas publik yang dikenal di Azure. Karena entitas yang dapat diakses publik ini sering menjadi target serangan DDoS, menempatkannya di Azure mengurangi dampak pada sumber daya lokal Anda.

Langkah berikutnya