Protezione DDoS dell'applicazione (livello 7)

Azure WAF include diversi meccanismi di difesa che consentono di evitare attacchi DDoS (Distributed Denial of Service). Gli attacchi DDoS possono essere destinati a entrambi i livelli di rete (L3/L4) o a livello di applicazione (L7). Azure DDoS protegge i clienti da attacchimetrici a livello di rete di grandi dimensioni. Azure WAF che opera al livello 7 protegge le applicazioni Web da attacchi DDoS L7, ad esempio inondazioni HTTP. Queste difese possono impedire agli utenti malintenzionati di raggiungere l'applicazione e influire sulla disponibilità e sulle prestazioni dell'applicazione.

Come è possibile proteggere i servizi?

Questi attacchi possono essere mitigati aggiungendo Web Application Firewall (WAF) o posizionando DDoS davanti al servizio per escludere le richieste non valide. Azure offre WAF in esecuzione in rete perimetrale con Frontdoor di Azure e nei data center con gateway applicazione. Questi passaggi sono un elenco generalizzato e devono essere modificati in base al servizio requisiti dell'applicazione.

• Distribuire Web application firewall (WAF) di Azure con Frontdoor di Azure Premium o gateway applicazione SKU WAF v2 per proteggersi dagli attacchi a livello di applicazione L7.
• Aumentare il numero di istanze di origine in modo da garantire una capacità di riserva sufficiente.
• Abilitare Protezione DDoS di Azure negli indirizzi IP pubblici di origine per proteggere gli indirizzi IP pubblici dagli attacchi DDoS di livello 3(L3) e livello 4(L4). Le offerte DDoS di Azure possono proteggere automaticamente la maggior parte dei siti da attacchimetrici L3 e L4 che inviano un numero elevato di pacchetti verso un sito Web. Azure offre anche la protezione a livello di infrastruttura per tutti i siti ospitati in Azure per impostazione predefinita.

Azure WAF con Frontdoor di Azure

Azure WAF offre molte funzionalità che possono essere usate per attenuare molti tipi diversi di attacchi, ad esempio inondazioni HTTP, bypass della cache, attacchi lanciati da botnet.

• Usare il set di regole gestite di protezione bot per proteggersi da bot non valido noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

• Applicare limiti di frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Limitazione della frequenza.

• Bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere Restrizioni IP.

• Bloccare o reindirizzare a una pagina Web statica qualsiasi traffico dall'esterno di un'area geografica definita o all'interno di un'area definita che non rientra nel modello di traffico dell'applicazione. Per altre informazioni, vedere Filtro geografico.

• Creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note. Firma, ad esempio un agente utente specifico o un modello di traffico specifico, tra cui intestazioni, cookie, parametri di stringa di query o una combinazione di più firme.

Oltre a WAF, Frontdoor di Azure offre anche la protezione DDoS predefinita dell'infrastruttura di Azure per la protezione da attacchi DDoS L3/4. L'abilitazione della memorizzazione nella cache in Frontdoor di Azure può contribuire ad assorbire un volume improvviso di traffico nel perimetro e a proteggere anche le origini back-end da attacchi.

Per altre informazioni sulle funzionalità e sulla protezione DDoS in Frontdoor di Azure, vedere Protezione DDoS in Frontdoor di Azure.

Waf di Azure con gateway di app Azure lication

È consigliabile usare gateway applicazione SKU WAF v2 fornito con le funzionalità più recenti, incluse le funzionalità di mitigazione DDoS L7, per difendersi dagli attacchi DDoS L7.

gateway applicazione SKU WAF possono essere usati per attenuare molti attacchi DDoS L7:

• Impostare il gateway applicazione per aumentare e non applicare il numero massimo di istanze.

• Usare il set di regole gestite di protezione bot offre protezione da bot non noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

• Applicare limiti di frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Configurazione delle regole personalizzate per la limitazione della frequenza.

• Bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere esempi in Creare e usare regole personalizzate v2.

• Bloccare o reindirizzare a una pagina Web statica qualsiasi traffico dall'esterno di un'area geografica definita o all'interno di un'area definita che non rientra nel modello di traffico dell'applicazione. Per altre informazioni, vedere esempi in Creare e usare regole personalizzate v2.

• Creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note. Firme come un agente utente specifico o un modello di traffico specifico, tra cui intestazioni, cookie, parametri di stringa di query o una combinazione di più firme.

Altre considerazioni

• Bloccare l'accesso agli indirizzi IP pubblici all'origine e limitare il traffico in ingresso per consentire solo il traffico da Frontdoor di Azure o gateway applicazione all'origine. Fare riferimento alle indicazioni su Frontdoor di Azure. gateway applicazione vengono distribuiti in una rete virtuale, assicurarsi che non siano presenti indirizzi IP esposti pubblicamente.

• Passare i criteri WAF alla modalità di prevenzione. La distribuzione dei criteri in modalità di rilevamento funziona solo nel log e non blocca il traffico. Dopo aver verificato e testato i criteri WAF con il traffico di produzione e l'ottimizzazione per ridurre eventuali falsi positivi, è consigliabile impostare i criteri sulla modalità prevenzione (modalità di blocco/difesa).

• Monitorare il traffico usando i log waf di Azure per rilevare eventuali anomalie. È possibile creare regole personalizzate per bloccare qualsiasi traffico offensivo, ovvero indirizzi IP sospetti che inviano un numero insolitamente elevato di richieste, stringa insolita dell'agente utente, modelli di stringa di query anomale e così via.

• È possibile ignorare WAF per il traffico legittimo noto creando Corrisponde regole personalizzate con l'azione Consenti di ridurre i falsi positivi. Queste regole devono essere configurate con una priorità elevata (valore numerico inferiore) rispetto ad altre regole di limite di blocchi e velocità.

• È necessario avere almeno una regola di limite di velocità che blocca la frequenza elevata delle richieste da qualsiasi singolo indirizzo IP. Ad esempio, è possibile configurare una regola di limite di velocità per non consentire a un singolo indirizzo IP client di inviare più di XXX traffico per finestra al sito. Azure WAF supporta due finestre per il rilevamento delle richieste, 1 e 5 minuti. È consigliabile usare la finestra di 5 minuti per una migliore mitigazione degli attacchi HTTP Flood. Questa regola deve essere la regola di priorità più bassa (la priorità è ordinata con 1 come priorità più alta), in modo che sia possibile creare regole di limite di frequenza più specifiche o Regole di corrispondenza per la corrispondenza prima di questa regola. Se si usa gateway applicazione WAF v2, è possibile usare configurazioni aggiuntive di limitazione della frequenza per tenere traccia e bloccare i client in base a metodi diversi da IP client. Altre informazioni sui limiti di frequenza per gateway applicazione waf sono disponibili in Panoramica della limitazione della frequenza.

  La query di Log Analytics seguente può essere utile per determinare la soglia da usare per la regola precedente. Per una query simile ma con gateway applicazione, sostituire "FrontdoorAccessLog" con "ApplicationGatewayAccessLog".

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• Le regole gestite, mentre non sono direttamente mirate per le difese contro gli attacchi DDoS, forniscono protezione da altri attacchi comuni. Per altre informazioni, vedere Regole gestite (Frontdoor di Azure) o Regole gestite (gateway applicazione) per altre informazioni sui vari tipi di attacco che queste regole possono aiutare a proteggersi.

Analisi dei log WAF

È possibile analizzare i log WAF in Log Analytics con la query seguente.

Frontdoor di Azure

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Per altre informazioni, vedere Azure WAF con Frontdoor di Azure.

Gateway applicazione di Azure

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Per altre informazioni, vedere Azure WAF con gateway di app Azure lication.

Passaggi successivi

• Creare un criterio WAF per Frontdoor di Azure.

• Creare un gateway applicazione con un web application firewall.

• Informazioni su come Frontdoor di Azure può contribuire alla protezione dagli attacchi DDoS.

• Proteggere il gateway applicazione con Protezione di rete DDoS di Azure.

• Altre informazioni sulla protezione DDoS di Azure.