Azure DDoS Protection: flexibele oplossingen ontwerpen
Dit artikel is bedoeld voor IT-besluitvormers en beveiligingspersoneel. Er wordt verwacht dat u bekend bent met Azure, netwerken en beveiliging. DDoS is een type aanval dat probeert toepassingsbronnen uit teputten. Het doel is om de beschikbaarheid van de toepassing en de mogelijkheid om legitieme aanvragen te verwerken, te beïnvloeden. Aanvallen worden steeds geavanceerder en groter in omvang en impact. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet. Voor het ontwerpen voor DDoS-tolerantie (Distributed Denial of Service) is planning en ontwerp vereist voor verschillende foutmodi. Azure biedt continue beveiliging tegen DDoS-aanvallen. Deze beveiliging is standaard geïntegreerd in het Azure-platform, zonder extra kosten.
Naast de DDoS-kernbeveiliging op het platform biedt Azure DDoS Protection Standard geavanceerde mogelijkheden voor DDoS-beperking tegen netwerkaanvallen. Het is automatisch afgestemd op het beveiligen van uw specifieke Azure-resources. Beveiliging is eenvoudig in te stellen tijdens het maken van nieuwe virtuele netwerken. Het kan ook worden uitgevoerd na het maken en vereist geen wijzigingen in de toepassing of resource.
Fundamentele best practices
In de volgende secties worden prescriptieve richtlijnen gegeven voor het bouwen van DDoS-flexibele services in Azure.
Ontwerpen voor beveiliging
Zorg ervoor dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing, van ontwerp en implementatie tot implementatie en bewerkingen. Toepassingen kunnen fouten hebben waardoor een relatief klein aantal aanvragen een te grote hoeveelheid resources kan gebruiken, wat resulteert in een service-storing.
Ter bescherming van een service die wordt uitgevoerd op Microsoft Azure, moet u een goed begrip hebben van uw toepassingsarchitectuur en zich richten op de vijf pijlers van softwarekwaliteit. U moet bekend zijn met typische verkeersvolumes, het connectiviteitsmodel tussen de toepassing en andere toepassingen en de service-eindpunten die worden blootgesteld aan het openbare internet.
Het is belangrijk om ervoor te zorgen dat een toepassing flexibel genoeg is voor het afhandelen van een Denial of Service die is gericht op de toepassing zelf. Beveiliging en privacy zijn ingebouwd in het Azure-platform, te beginnen met de Security Development Lifecycle (SDL). De SDL richt zich op de beveiliging in elke ontwikkelingsfase en zorgt ervoor dat Azure voortdurend wordt bijgewerkt om het nog veiliger te maken.
Ontwerpen voor schaalbaarheid
Schaalbaarheid is hoe goed een systeem kan omgaan met toegenomen belasting. Ontwerp uw toepassingen zo dat ze horizontaal worden geschaald om te voldoen aan de vraag naar een verhoogde belasting, met name in het geval van een DDoS-aanval. Als uw toepassing afhankelijk is van één exemplaar van een service, wordt er één storingspunt gemaakt. Het inrichten van meerdere exemplaren maakt uw systeem robuuster en schaalbaarder.
Selecteer Azure App Serviceeen abonnement App Service meerdere exemplaren biedt. Voor Azure Cloud Services configureert u elk van uw rollen voor het gebruik van meerdere exemplaren. Voor Azure Virtual Machinesmoet u ervoor zorgen dat uw VM-architectuur meer dan één virtuele machine bevat en dat elke virtuele machine is opgenomen in een beschikbaarheidsset. We raden u aan virtuele-machineschaalsets te gebruiken voor mogelijkheden voor automatisch schalen.
Diepgaande verdediging
Het idee achter diepgaande verdediging is het beheren van risico's met behulp van diverse verdedigingsstrategieën. Als u beveiligingsbeveiliging in een toepassing gelaagd maakt, vermindert u de kans op een geslaagde aanval. U wordt aangeraden beveiligde ontwerpen voor uw toepassingen te implementeren met behulp van de ingebouwde mogelijkheden van het Azure-platform.
Het risico op aanvallen neemt bijvoorbeeld toe met de grootte (surface area) van de toepassing. U kunt de surface area beperken door een goedkeuringslijst te gebruiken om de weergegeven IP-adresruimte en luisterpoorten te sluiten die niet nodig zijn op de load balancers(Azure Load Balancer en Azure Application Gateway). Netwerkbeveiligingsgroepen (NSG's) zijn een andere manier om het aanvalsoppervlak te verminderen. U kunt servicetags en toepassingsbeveiligingsgroepen gebruiken om de complexiteit voor het maken van beveiligingsregels en het configureren van netwerkbeveiliging te minimaliseren, als een natuurlijke uitbreiding van de structuur van een toepassing.
U moet waar mogelijk Azure-services implementeren in een virtueel netwerk. Met deze praktijk kunnen servicebronnen communiceren via privé-IP-adressen. Azure-serviceverkeer van een virtueel netwerk gebruikt standaard openbare IP-adressen als bron-IP-adressen. Als u service-eindpunten gebruikt, wordt het serviceverkeer overschakelt naar privéadressen van virtuele netwerken als bron-IP-adressen wanneer deze de Azure-service openen vanuit een virtueel netwerk.
We zien vaak dat de on-premises resources van klanten samen met hun resources in Azure worden aangevallen. Als u een on-premises omgeving verbindt met Azure, raden we u aan om de blootstelling van on-premises resources aan het openbare internet te minimaliseren. U kunt de schaal en geavanceerde DDoS-beveiligingsmogelijkheden van Azure gebruiken door uw bekende openbare entiteiten in Azure te implementeren. Omdat deze openbaar toegankelijke entiteiten vaak een doel zijn voor DDoS-aanvallen, vermindert het plaatsen ervan in Azure de impact op uw on-premises resources.
Azure-aanbiedingen voor DDoS-beveiliging
Azure heeft twee DDoS-serviceaanbiedingen die bescherming bieden tegen netwerkaanvallen (laag 3 en 4): DDoS Protection Basic en DDoS Protection Standard.
DDoS Protection Basic
Basisbeveiliging is standaard zonder extra kosten geïntegreerd in Azure. De schaal en capaciteit van het wereldwijd geïmplementeerde Azure-netwerk bieden bescherming tegen veelvoorkomende aanvallen op de netwerklaag via bewaking van altijd ingeschakeld verkeer en realtime beperking. DDoS Protection Basic zijn geen wijzigingen in de gebruikersconfiguratie of toepassing vereist. DDoS Protection Basic helpt bij het beveiligen van alle Azure-services, met inbegrip van PaaS-services zoals Azure DNS.
DDoS-basisbeveiliging in Azure bestaat uit software- en hardwareonderdelen. Een softwarebeheervlak bepaalt wanneer, waar en welk type verkeer moet worden doorsturen via hardwareapparaten die aanvalsverkeer analyseren en verwijderen. Het besturingsvlak neemt deze beslissing op basis van een infrastructuurbreed DDoS Protection beleid. Dit beleid wordt statisch ingesteld en universeel toegepast op alle Azure-klanten.
Het beveiligingsbeleid DDoS Protection bijvoorbeeld op welk verkeersvolume de beveiliging moet worden geactiveerd. (Dat wil zeggen dat het verkeer van de tenant moet worden doorgeleid via wassingsapparaten.) Het beleid bepaalt vervolgens hoe de wassingsapparaten de aanval moeten beperken.
De Azure DDoS Protection Basic-service is gericht op de beveiliging van de infrastructuur en beveiliging van het Azure-platform. Het vermindert het verkeer wanneer het een snelheid overschrijdt die zo belangrijk is dat het van invloed kan zijn op meerdere klanten in een multitenant-omgeving. Het biedt geen waarschuwingen of aangepast beleid per klant.
DDoS Protection Standard
Standaardbeveiliging biedt verbeterde DDoS-beperkingsfuncties. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resource. Het heeft verschillende voordelen ten opzichte van de basisservice, waaronder logboekregistratie, waarschuwingen en telemetrie. In de volgende secties worden de belangrijkste functies van de Azure DDoS Protection Standard-service beschreven.
Adaptieve realtime afstemming
De Azure DDoS Protection Basic-service helpt klanten te beschermen en gevolgen voor andere klanten te voorkomen. Als een service bijvoorbeeld is ingericht voor een typisch volume van legitiem binnenkomend verkeer dat kleiner is dan de triggersnelheid van het DDoS Protection-beleid voor de hele infrastructuur, kan een DDoS-aanval op de resources van die klant niet worden opgemerkt. In het algemeen vragen de complexiteit van recente aanvallen (bijvoorbeeld DDoS met meerdere vectoren) en het toepassingsspecifieke gedrag van tenants om aangepast beveiligingsbeleid per klant. De service bereikt deze aanpassing met behulp van twee inzichten:
Automatisch leren van verkeerspatronen per klant (per IP) voor laag 3 en 4.
Het minimaliseren van fout-positieven, gezien het feit dat de schaal van Azure het mogelijk maakt om een aanzienlijke hoeveelheid verkeer te verwerken.
DDoS Protection telemetrie, bewaking en waarschuwingen
DDoS Protection Standard maakt uitgebreide telemetrie beschikbaar via Azure Monitor voor de duur van een DDoS-aanval. U kunt waarschuwingen configureren voor elk van de Azure Monitor metrische gegevens die DDoS Protection gebruikt. U kunt logboekregistratie integreren met Splunk (Azure Event Hubs), Azure Monitor logboeken en Azure Storage voor geavanceerde analyse via de Azure Monitor Diagnostics-interface.
DDoS-beperkingsbeleid
Selecteer in Azure Portal de optie Metrische gegevens > bewaken. Selecteer in het deelvenster Metrische gegevens de resourcegroep, selecteer het resourcetype Openbaar IP-adres en selecteer uw openbare AZURE-IP-adres. Metrische DDoS-gegevens zijn zichtbaar in het deelvenster Beschikbare metrische gegevens.
DDoS Protection Standard past drie automatisch afgestemde beperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres van de beveiligde resource in het virtuele netwerk met DDoS ingeschakeld. U kunt de drempelwaarden voor het beleid weergeven door de metrische gegevens Inkomende pakketten te selecteren om DDoS-beperking te activeren.
De beleidsdrempelwaarden worden automatisch geconfigureerd via een machine learning op basis van netwerkverkeersprofilering. DDoS-beperking vindt alleen plaats voor een IP-adres dat wordt aangevallen wanneer de drempelwaarde van het beleid wordt overschreden.
Metrische gegevens voor een IP-adres onder DDoS-aanval
Als het openbare IP-adres wordt aangevallen, wordt de waarde voor de metrische waarde onder DDoS-aanval gewijzigd in 1 als DDoS Protection het aanvalsverkeer onder controle brengt.
We raden u aan een waarschuwing voor deze metrische gegevens te configureren. U krijgt vervolgens een melding wanneer er een actieve DDoS-beperking wordt uitgevoerd op uw openbare IP-adres.
Zie Manage Azure DDoS Protection Standard using the Azure Portal (Standaard beheren met de Azure Portal) voor Azure Portal.
Web Application Firewall voor resourceaanvallen
Specifiek voor resourceaanvallen op de toepassingslaag moet u een WAF (Web Application Firewall) configureren om webtoepassingen te beveiligen. Een WAF inspecteert het inkomende webverkeer om SQL-injecties, cross-site scripting, DDoS en andere Layer 7-aanvallen te blokkeren. Azure biedt WAF als een functie van Application Gateway gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Er zijn andere WAF-aanbiedingen beschikbaar van Azure-partners die mogelijk beter geschikt zijn voor uw behoeften via de Azure Marketplace.
Zelfs webtoepassingsfirewalls zijn vatbaar voor volumetrische en staatuitputtingsaanvallen. We raden u ten zeerste aan DDoS Protection Standard in te stellen op het virtuele WAF-netwerk om u te beschermen tegen volumetrische en protocolaanvallen. Zie de sectie DDoS Protection reference architectures voor meer informatie.
Beveiligingsplanning
Planning en voorbereiding zijn essentieel om te begrijpen hoe een systeem presteert tijdens een DDoS-aanval. Het ontwerpen van een reactieplan voor incidentbeheer maakt deel uit van deze inspanning.
Als u DDoS Protection Standard hebt, moet u ervoor zorgen dat deze is ingeschakeld in het virtuele netwerk van internet-gerichte eindpunten. Door DDoS-waarschuwingen te configureren, kunt u voortdurend op mogelijke aanvallen op uw infrastructuur letten.
Uw toepassingen onafhankelijk bewaken. Het normale gedrag van een toepassing begrijpen. Bereid u voor op actie als de toepassing niet werkt zoals verwacht tijdens een DDoS-aanval.
Testen via simulaties
Het is een goede gewoonte om uw veronderstellingen te testen over hoe uw services reageren op een aanval door periodieke simulaties uit te voeren. Controleer tijdens het testen of uw services of toepassingen blijven werken zoals verwacht en dat de gebruikerservaring niet wordt verstoord. Identificeer hiaten vanuit zowel technologie- als proces-oogpunt en neem deze op in de DDoS-responsstrategie. U wordt aangeraden dergelijke tests uit te voeren in faseringsomgevingen of tijdens niet-piekuren om de impact op de productieomgeving te minimaliseren.
We zijn een samenwerking aan gaan gaan met BreakingPoint Cloud om een interface te bouwen waar Azure-klanten verkeer kunnen genereren op DDoS Protection openbare eindpunten voor simulaties. U kunt de BreakingPoint Cloud-simulatie gebruiken om het volgende te doen:
Valideren hoe Azure DDoS Protection uw Azure-resources kan beschermen tegen DDoS-aanvallen.
Uw proces van incidentreacties optimaliseren tijdens een DDoS-aanval.
Naleving van DDoS documenteren.
Uw netwerkbeveiligingsteams trainen.
Cyberbeveiliging vereist constante innovatie in de verdediging. Azure DDoS Standard-beveiliging is een geavanceerde oplossing met een effectieve oplossing om steeds complexere DDoS-aanvallen te beperken.
Onderdelen van een DDoS-reactiestrategie
Een DDoS-aanval die gericht is op Azure-resources vereist doorgaans minimale tussenkomst vanuit het oogpunt van de gebruiker. Het opnemen van DDoS-oplossingen als onderdeel van een strategie voor het reageren op incidenten helpt de impact op de bedrijfscontinuïteit te minimaliseren.
Bedreigingsinformatie van Microsoft
Microsoft heeft een uitgebreid netwerk voor bedreigingsinformatie. Dit netwerk maakt gebruik van de collectieve kennis van een uitgebreide beveiligings community die ondersteuning biedt voor Microsoft onlineservices, Microsoft-partners en relaties binnen de internetbeveiligings community.
Als kritieke infrastructuurprovider ontvangt Microsoft vroege waarschuwingen over bedreigingen. Microsoft verzamelt bedreigingsinformatie van de onlineservices en van het wereldwijde klantenbestand. Microsoft neemt al deze bedreigingsinformatie weer op in de Azure DDoS Protection producten.
Daarnaast voert de Microsoft Digital Crimes Unit (DCU) aanstootgevende strategieën uit tegen botnets. Botnets zijn een veelgebruikte bron van command and control voor DDoS-aanvallen.
Risico-evaluatie van uw Azure-resources
Het is belangrijk om het bereik van uw risico van een DDoS-aanval continu te begrijpen. Stel uzelf regelmatig de volgende vraag:
Welke nieuwe openbaar beschikbare Azure-resources moeten worden beschermd?
Is er één storingspunt in de service?
Hoe kunnen services worden geïsoleerd om de impact van een aanval te beperken en tegelijkertijd services beschikbaar te maken voor geldige klanten?
Zijn er virtuele netwerken waar DDoS Protection Standard moet worden ingeschakeld, maar niet?
Zijn mijn services actief/actief met failover in meerdere regio's?
Klant-DDoS-antwoordteam
Het maken van een DDoS-responsteam is een belangrijke stap bij het snel en effectief reageren op een aanval. Identificeer contactpersonen in uw organisatie die toezicht houden op zowel de planning als de uitvoering. Dit DDoS-antwoordteam moet de service Azure DDoS Protection Standard grondig begrijpen. Zorg ervoor dat het team een aanval kan identificeren en verhelpen door te coördineren met interne en externe klanten, waaronder het ondersteuningsteam van Microsoft.
Voor uw DDoS-responsteam raden we u aan simulatieoefeningen te gebruiken als een normaal onderdeel van de beschikbaarheid en continuïteitsplanning van uw service. Deze oefeningen moeten schaaltests bevatten.
Waarschuwingen tijdens een aanval
Azure DDoS Protection Standard identificeert en vermindert DDoS-aanvallen zonder tussenkomst van de gebruiker. Als u een melding wilt ontvangen wanneer er een actieve beperking is voor een beveiligd openbaar IP-adres, kunt u een waarschuwing configureren voor de metrische gegevens onder DDoS-aanval of niet. U kunt ervoor kiezen om waarschuwingen te maken voor de andere DDoS-metrische gegevens om inzicht te krijgen in de schaal van de aanval, het uitgevallen verkeer en andere details.
Contact opnemen met Microsoft Ondersteuning
Tijdens een DDoS-aanval ziet u dat de prestaties van de beveiligde resource ernstig verslechteren of dat de resource niet beschikbaar is.
U denkt dat DDoS Protection service niet werkt zoals verwacht.
De DDoS Protection-service start de beperking alleen als de metrische waarde Beleid voor het activeren van DDoS-beperking (TCP/TCP SYN/UDP) lager is dan het verkeer dat is ontvangen op de beveiligde openbare IP-resource.
U bent bezig met het plannen van een viraal evenement waardoor uw netwerkverkeer aanzienlijk wordt verhoogd.
Een actor heeft liever een DDoS-aanval op uw resources starten.
Als u een lijst met IP-adressen of IP-adresbereiken van Azure DDoS Protection Standard wilt toestaan. Een veelvoorkomende situatie is het toestaan van ip-adressen in een lijst als het verkeer van een externe cloud WAF naar Azure wordt gerouteerd.
Voor aanvallen die een kritieke bedrijfsimpact hebben, maakt u een ernst-A-ondersteuningsticket .
Stappen na de aanval
Het is altijd een goede strategie om een postmortem na een aanval uit te voeren en de DDoS-responsstrategie zo nodig aan te passen. Dingen om rekening mee te houden:
Was er een onderbreking van de service of gebruikerservaring vanwege een gebrek aan schaalbare architectuur?
Welke toepassingen of services hebben het meest geleden?
Hoe effectief was de DDoS-responsstrategie en hoe kan deze worden verbeterd?
Als u vermoedt dat u onder een DDoS-aanval zit, escaleert u dit via uw normale Ondersteuning voor Azure kanalen.
DDoS Protection-referentiearchitecten
DDoS Protection Standard is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de standaard DDoS Protection Basic-service van toepassing. De volgende referentiearchitectarchitecten zijn gerangschikt op scenario's, met architectuurpatronen gegroepeerd.
Workloads voor virtuele machines (Windows/Linux)
Toepassing die wordt uitgevoerd op VM's met een load-balanced
Deze referentiearchitectuur toont een reeks bewezen procedures voor het uitvoeren van meerdere Windows-VM's in een schaalset achter een load balancer, om de beschikbaarheid en schaalbaarheid te verbeteren. Deze architectuur kan worden gebruikt voor elke staatloze workload, zoals een webserver.
In deze architectuur wordt een werkbelasting verdeeld over meerdere VM-exemplaren. Er is één openbaar IP-adres en internetverkeer wordt via een load balancer. DDoS Protection Standard is ingeschakeld in het virtuele netwerk van de Azure-load balancer (internet) waar het openbare IP-adres aan is gekoppeld.
De load balancer inkomende internetaanvragen naar de VM-exemplaren distribueren. Met virtuele-machineschaalsets kan het aantal VM's handmatig worden in- of uitgeschaald, of automatisch op basis van vooraf gedefinieerde regels. Dit is belangrijk als de resource wordt aangevallen door DDoS. Zie dit artikel voor meer informatie over deze referentiearchitectuur.
Toepassing die wordt uitgevoerd Windows N-laag
Er zijn veel manieren om een architectuur met meerdere lagen te implementeren. In het volgende diagram ziet u een typische webtoepassing met drie lagen. Deze architectuur is gebaseerd op het artikel Run load-balanced VMs for scalability and availability(VM's met load-balanced uitvoeren voor schaalbaarheid en beschikbaarheid). De web- en bedrijfslagen gebruiken VM's met taakverdeling.
In deze architectuur is DDoS Protection Standard ingeschakeld in het virtuele netwerk. Alle openbare IP's in het virtuele netwerk krijgen DDoS-beveiliging voor laag 3 en 4. Voor laag 7-beveiliging implementeert u Application Gateway in de WAF-SKU. Zie dit artikel voor meer informatie over deze referentiearchitectuur.
PaaS-webtoepassing
Deze referentiearchitectuur toont het uitvoeren van Azure App Service toepassing in één regio. Deze architectuur toont een reeks bewezen procedures voor een webtoepassing die gebruikmaakt van Azure App Service en Azure SQL Database. Er wordt een stand-byregio ingesteld voor failoverscenario's.
Azure Traffic Manager routeer binnenkomende aanvragen naar Application Gateway in een van de regio's. Tijdens normale bewerkingen worden aanvragen gerouteerd naar Application Gateway in de actieve regio. Als deze regio niet meer beschikbaar is, wordt Traffic Manager overgenomen naar Application Gateway in de stand-byregio.
Al het verkeer van internet dat is bestemd voor de webtoepassing wordt via een Application Gateway doorgeleid naar het Traffic Manager. In dit scenario is de app-service (web-app) zelf niet rechtstreeks extern gericht en wordt deze beveiligd door Application Gateway.
We raden u aan de Application Gateway WAF-SKU (modus voorkomen) te configureren om u te beschermen tegen aanvallen van laag 7 (HTTP/HTTPS/WebSocket). Daarnaast zijn web-apps zo geconfigureerd dat alleen verkeer van het Application Gateway IP-adres wordt geaccepteerd.
Zie dit artikel voor meer informatie over deze referentiearchitectuur.
Beperking voor niet-web PaaS-services
HDInsight in Azure
Deze referentiearchitectuur toont het configureren DDoS Protection Standard voor een Azure HDInsight cluster. Zorg ervoor dat het HDInsight-cluster is gekoppeld aan een virtueel netwerk en dat DDoS Protection is ingeschakeld in het virtuele netwerk.
In deze architectuur wordt verkeer dat is bestemd voor het HDInsight-cluster van internet, gerouteerd naar het openbare IP-adres dat is gekoppeld aan de HDInsight-gateway load balancer. De gateway load balancer het verkeer vervolgens rechtstreeks naar de hoofdknooppunten of de werkknooppunten. Omdat DDoS Protection Standard is ingeschakeld in het virtuele HDInsight-netwerk, krijgen alle openbare IP's in het virtuele netwerk DDoS-beveiliging voor Laag 3 en 4. Deze referentiearchitectuur kan worden gecombineerd met de referentiearchitecten N-tier en meerdere regio's.
Zie de documentatie Extend Azure HDInsight using an Azure Virtual Network (Een azure-Virtual Network gebruiken) voor meer informatie over Virtual Network referentiearchitectuur.
Notitie
Azure App Service Environment voor Power Apps api-beheer in een virtueel netwerk met een openbaar IP-adres worden beide niet systeemeigen ondersteund.