Основные рекомендации по Защите от атак DDoS Azure

  • Статья

В следующем разделе описано руководство для создания служб Azure, которые могут устоять против атак DDoS.

Проектирование для безопасности

Убедитесь, что безопасность является приоритетом на протяжении всего жизненного цикла приложения — от проектирования и реализации до развертывания и эксплуатации. В приложениях могут быть ошибки, позволяющие относительно малому объему запросов использовать чрезмерное количество ресурсов, что вызывает сбой службы.

Чтобы помочь защитить службу, запущенную в Microsoft Azure, изучите архитектуру своего приложения и сосредоточьтесь на пяти основных аспектах качества программного обеспечения. Необходимо знать типичные объемы трафика, модель подключения между приложениями, а также конечные точки службы, к которым предоставлен доступ через Интернет.

Убедитесь, что приложение достаточно устойчиво для обработки отказа в службе, предназначенной для самого приложения. Безопасность и конфиденциальность создаются на платформе Azure, начиная с жизненного цикла безопасности ПО (SDL). SDL обеспечивает защиту на каждом этапе разработки и гарантирует постоянное обновление платформы Azure, чтобы сделать ее более безопасной. Дополнительные сведения о максимизации эффективности с помощью защиты от атак DDoS см. в статье "Максимизация эффективности: рекомендации по защите от атак DDoS Azure" и устойчивости приложений.

Проектирование для масштабируемости

Масштабируемость — это способность системы успешно обрабатывать повышенную нагрузку. Проектируйте свои приложения таким образом, чтобы они поддерживали горизонтальное масштабирование в случае усиления нагрузки, особенно в случае атаки DDoS. Если приложение зависит от одного экземпляра службы, создается единая точка отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.

Для службы приложений Azure выберите план служб приложений, где есть несколько экземпляров. Для облачных служб Azure настройте каждую роль для применения нескольких экземпляров. Для виртуальных машин Azure убедитесь, что архитектура виртуальных машин содержит несколько виртуальных машин, а также что каждая виртуальная машина входит в группу доступности. Мы рекомендуем использовать масштабируемый набор виртуальных машин, чтобы получить возможности автомасштабирования.

Глубинная защита

Целью глубинной защиты является управление риском с помощью различных защитных стратегий. Иерархическое распределение способов защиты в приложении уменьшает вероятность успешной атаки. Мы рекомендуем внедрять безопасные проекты для своих приложений через встроенные возможности платформы Azure.

Например, риск атаки увеличивается с размером (контактной зоной) приложения. Чтобы уменьшить контактную зону, закройте в списках разрешений диапазон IP-адресов и порты ожидания передачи данных, которые не используются подсистемами балансировки нагрузки (Azure Load Balancer и Шлюз приложений Azure). Группы безопасности сети (NSG) также позволяют снизить возможность атак. С помощью тегов служб и групп безопасности приложений можно упростить создание правил безопасности и настроить сетевую безопасность как гармоничное расширение структуры приложения. Кроме того, вы можете использовать решение Azure DDoS для Microsoft Sentinel для выявления проблем с источниками DDoS и блокировать их от запуска других сложных атак, таких как кража данных.

По возможности вы должны развертывать службы Azure в виртуальной сети. Это позволит ресурсам службы взаимодействовать через частные IP-адреса. По умолчанию трафик служб Azure из виртуальной сети использует общедоступные IP-адреса в качестве исходных. При помощи конечных точек служб трафик службы в качестве исходных IP-адресов использует частные адреса виртуальной сети при обращении к службе Azure из виртуальной сети.

Локальные ресурсы клиентов часто подвергаются атакам наряду с ресурсами в Azure. Если вы подключаете локальную среду к Azure, мы рекомендуем свести к минимуму предоставление доступа к локальным ресурсам через Интернет. Вы можете использовать возможности масштабирования и расширенной защиты от атак DDoS для Azure, развернув в Azure общедоступные объекты. Так как подобные общедоступные объекты часто являются целью для атак DDoS, их размещение в Azure снижает влияние на локальные ресурсы.

Следующие шаги