Grundläggande metodtips för Azure DDoS Protection

  • Artikel

I följande avsnitt får du vägledning för att skapa DDoS-elastiska tjänster i Azure.

Design för säkerhet

Se till att säkerheten är en prioritet under hela livscykeln för ett program, från design och implementering till distribution och åtgärder. Program kan ha buggar som gör att en relativt låg mängd begäranden kan använda en orimlig mängd resurser, vilket resulterar i ett avbrott i tjänsten.

För att skydda en tjänst som körs på Microsoft Azure bör du ha en god förståelse för din programarkitektur och fokusera på de fem grundpelarna för programvarukvalitet. Du bör känna till vanliga trafikvolymer, anslutningsmodellen mellan programmet och andra program och de tjänstslutpunkter som exponeras för det offentliga Internet.

Att se till att ett program är tillräckligt motståndskraftigt för att hantera en denial of service som är riktad mot själva programmet är viktigast. Säkerhet och sekretess är inbyggda i Azure-plattformen, från och med SDL (Security Development Lifecycle). SDL hanterar säkerheten i varje utvecklingsfas och ser till att Azure uppdateras kontinuerligt för att göra det ännu säkrare. Mer information om hur du maximerar din effektivitet med DDoS Protection finns i Maximizing Effectiveness: Best Practices for Azure DDoS Protection and Application Resilience (Maximera effektivitet: Bästa praxis för Azure DDoS Protection och programresiliens).

Design för skalbarhet

Skalbarhet är hur väl ett system kan hantera ökad belastning. Utforma dina program så att de kan skalas horisontellt för att möta efterfrågan på en förstärkt belastning, särskilt i händelse av en DDoS-attack. Om ditt program är beroende av en enda instans av en tjänst skapas en enskild felpunkt. Etablering av flera instanser gör systemet mer motståndskraftigt och mer skalbart.

För Azure App Service väljer du en App Service-plan som erbjuder flera instanser. För Azure Cloud Services konfigurerar du var och en av dina roller så att de använder flera instanser. För Virtuella Azure-datorer kontrollerar du att arkitekturen för den virtuella datorn (VM) innehåller mer än en virtuell dator och att varje virtuell dator ingår i en tillgänglighetsuppsättning. Vi rekommenderar att du använder vm-skalningsuppsättningar för funktioner för automatisk skalning.

Skydd på djupet

Tanken bakom försvaret på djupet är att hantera risker med hjälp av olika defensiva strategier. Skiktning av säkerhetsskydd i ett program minskar risken för en lyckad attack. Vi rekommenderar att du implementerar säker design för dina program med hjälp av de inbyggda funktionerna i Azure-plattformen.

Risken för angrepp ökar till exempel med programmets storlek (yta). Du kan minska ytan genom att använda en godkännandelista för att stänga det exponerade IP-adressutrymmet och lyssnande portar som inte behövs på lastbalanserarna (Azure Load Balancer och Azure Application Gateway). Nätverkssäkerhetsgrupper (NSG:er) är ett annat sätt att minska attackytan. Du kan använda tjänsttaggar och programsäkerhetsgrupper för att minimera komplexiteten för att skapa säkerhetsregler och konfigurera nätverkssäkerhet, som ett naturligt tillägg för ett programs struktur. Dessutom kan du använda Azure DDoS Solution för Microsoft Sentinel för att hitta felaktiga DDoS-källor och blockera dem från att starta andra, avancerade attacker, till exempel datastöld.

Du bör distribuera Azure-tjänster i ett virtuellt nätverk när det är möjligt. Med den här metoden kan tjänstresurser kommunicera via privata IP-adresser. Azure-tjänsttrafik från ett virtuellt nätverk använder offentliga IP-adresser som käll-IP-adresser som standard. Användning av tjänstslutpunkter växlar tjänsttrafik till att använda privata adresser för virtuella nätverk som källans IP-adresser när de kommer åt Azure-tjänsten från ett virtuellt nätverk.

Vi ser ofta kundernas lokala resurser attackeras tillsammans med deras resurser i Azure. Om du ansluter en lokal miljö till Azure rekommenderar vi att du minimerar exponeringen av lokala resurser för det offentliga Internet. Du kan använda skalnings- och avancerade DDoS-skyddsfunktioner i Azure genom att distribuera dina välkända offentliga entiteter i Azure. Eftersom dessa offentligt tillgängliga entiteter ofta är ett mål för DDoS-attacker minskar påverkan på dina lokala resurser genom att placera dem i Azure.

Nästa steg