Azure DDoS Protection – Utforma elastiska lösningar
Den här artikeln är till för IT-beslutsfattare och säkerhetspersonal. Den förväntar sig att du är bekant med Azure, nätverk och säkerhet. DDoS är en typ av attack som försöker få slut på programresurser. Målet är att påverka programmets tillgänglighet och dess möjlighet att hantera legitima begäranden. Attacker blir mer sofistikerade och större vad gäller storlek och påverkan. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet. Att designa för distribuerad doS-återhämtning (Denial of Service) kräver planering och utformning för en mängd olika fellägen. Azure ger kontinuerligt skydd mot DDoS-attacker. Det här skyddet är integrerat i Azure-plattformen som standard och utan extra kostnad.
Förutom det grundläggande DDoS-skyddet i plattformen, erbjuder Azure DDoS Protection Standard avancerade DDoS-skyddsfunktioner mot nätverksattacker. Den justeras automatiskt för att skydda dina specifika Azure-resurser. Skydd är enkelt att aktivera när nya virtuella nätverk skapas. Det kan också göras efter skapandet och kräver inga program- eller resursändringar.
Grundläggande regelverk
Följande avsnitt innehåller normativ vägledning för att skapa DDoS-motståndskraftiga tjänster på Azure.
Design för säkerhet
Se till att säkerheten prioriteras under hela livscykeln för ett program, från design och implementering till distribution och drift. Program kan ha buggar som gör att ett relativt lågt antal begäranden kan använda en orimlig mängd resurser, vilket resulterar i ett avbrott i tjänsten.
För att skydda en tjänst som körs Microsoft Azure bör du ha en god förståelse för din programarkitektur och fokusera på de fem grundpelarna för programkvalitet. Du bör känna till vanliga trafikvolymer, anslutningsmodellen mellan programmet och andra program och de tjänstslutpunkter som exponeras mot det offentliga Internet.
Det är viktigast att se till att ett program är tillräckligt motståndskraftigt för att hantera en denial of service som är riktad mot själva programmet. Säkerhet och sekretess är inbyggda i Azure-plattformen, från och med Security Development Lifecycle (SDL). SDL hanterar säkerheten i varje utvecklingsfasen och säkerställer att Azure uppdateras kontinuerligt för att göra det ännu säkrare.
Design för skalbarhet
Skalbarhet är hur väl ett system kan hantera ökad belastning. Utforma dina program så att de skalas horisontellt för att möta behovet av en förstärkt belastning, särskilt i händelse av en DDoS-attack. Om ditt program är beroende av en enda instans av en tjänst skapas en felpunkt. Etablering av flera instanser gör systemet mer motståndskraftigt och skalbart.
För Azure App Serviceväljer du en App Service plan som erbjuder flera instanser. Konfigurera Azure Cloud Services var och en av dina roller så att de använder flera instanser. För Azure Virtual Machines, se till att arkitekturen för din virtuella dator (VM) innehåller mer än en virtuell dator och att varje virtuell dator ingår i en tillgänglighetsuppsättning. Vi rekommenderar att du använder VM-skalningsuppsättningar för funktioner för automatisk skalning.
Skydd på djupet
Tanken bakom skydd på djupet är att hantera risker med hjälp av olika skyddsstrategier. Att skikta säkerhetsskydd i ett program minskar risken för ett lyckat angrepp. Vi rekommenderar att du implementerar säker design för dina program med hjälp av de inbyggda funktionerna i Azure-plattformen.
Risken för angrepp ökar till exempel med programmets storlek(ytområde). Du kan minska ytan genom att använda en godkännandelista för att stänga det exponerade IP-adressutrymmet och lyssnande portar som inte behövs på lastbalanserarna (Azure Load Balancer och Azure Application Gateway). Nätverkssäkerhetsgrupper (NSG: er) är ett annat sätt att minska angreppsytan. Du kan använda tjänsttaggar och programsäkerhetsgrupper för att minimera komplexiteten för att skapa säkerhetsregler och konfigurera nätverkssäkerhet, som en naturlig förlängning av ett programs struktur.
Du bör distribuera Azure-tjänster i ett virtuellt nätverk när det är möjligt. Den här praxisen gör att tjänstresurser kan kommunicera via privata IP-adresser. Azure-tjänsttrafik från ett virtuellt nätverk använder offentliga IP-adresser som käll-IP-adresser som standard. Med hjälp av tjänstslutpunkter växlar tjänsttrafik till att använda privata adresser för virtuella nätverk som käll-IP-adresser när de använder Azure-tjänsten från ett virtuellt nätverk.
Vi ser ofta att kundernas lokala resurser attackeras tillsammans med deras resurser i Azure. Om du ansluter en lokal miljö till Azure rekommenderar vi att du minimerar exponeringen av lokala resurser för det offentliga Internet. Du kan använda skalningsfunktioner och avancerade DDoS-skyddsfunktioner i Azure genom att distribuera dina välkända offentliga entiteter i Azure. Eftersom dessa offentligt tillgängliga entiteter ofta är ett mål för DDoS-attacker kan du minska påverkan på dina lokala resurser genom att placera dem i Azure.
Azure-erbjudanden för DDoS-skydd
Azure har två DDoS-tjänsterbjudanden som ger skydd mot nätverksattacker (Layer 3 och 4): DDoS Protection Basic och DDoS Protection Standard.
DDoS Protection Basic
Grundläggande skydd är integrerat i Azure som standard utan extra kostnad. Skalning och kapacitet i det globalt distribuerade Azure-nätverket ger skydd mot vanliga attacker på nätverksnivå genom ständigt trafikövervakning och riskreducering i realtid. DDoS Protection Basic kräver ingen användarkonfiguration eller programändringar. DDoS Protection Basic skyddar alla Azure-tjänster, inklusive PaaS-tjänster som Azure DNS.
Grundläggande DDoS-skydd i Azure består av både programvaru- och maskinvarukomponenter. Ett programkontrollplan avgör när, var och vilken typ av trafik som ska styras via maskinvaruenheter som analyserar och tar bort angreppstrafik. Kontrollplanet fattar det här beslutet baserat på en infrastrukturomfattande DDoS Protection princip. Den här principen anges statiskt och tillämpas universellt på alla Azure-kunder.
Principen för DDoS Protection anger till exempel på vilken trafikvolym som skyddet ska utlösas. (Det vill säga att klientorganisationens trafik ska dirigeras via borstningsutrustning.) Principen anger sedan hur borstningsutrustningen ska minimera angreppet.
Tjänsten Azure DDoS Protection Basic är avsedd för skydd av infrastrukturen och skyddet av Azure-plattformen. Den minskar trafik när den överskrider en hastighet som är så betydande att den kan påverka flera kunder i en miljö med flera användare. Den tillhandahåller inte aviseringar eller anpassade principer per kund.
DDoS Protection Standard
Standardskydd ger utökade DDoS-skyddsfunktioner. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Skydd är enkelt att aktivera i alla nya eller befintliga virtuella nätverk och kräver inga program- eller resursändringar. Det har flera fördelar jämfört med den grundläggande tjänsten, inklusive loggning, aviseringar och telemetri. I följande avsnitt beskrivs de viktigaste funktionerna i Azure DDoS Protection Standard-tjänsten.
Anpassningsbar realtidsjustering
Tjänsten Azure DDoS Protection Basic hjälper till att skydda kunder och förhindra påverkan för andra kunder. Om en tjänst till exempel etableras för en typisk volym av legitim inkommande trafik som är mindre än utlösningsfrekvensen för den infrastrukturomfattande DDoS Protection-principen kan en DDoS-attack på kundens resurser gå obemärkt förbi. Mer allmänt kräver komplexiteten i de senaste attackerna (till exempel DDoS med flera vektorer) och klientorganisationens programspecifika beteenden anpassade skyddsprinciper per kund. Tjänsten utför den här anpassningen med hjälp av två insikter:
Automatisk inlärning av trafikmönster per kund (per IP) för Layer 3 och 4.
Minimering av falska positiva resultat, med tanke på att Azures skala gör att det kan absorbera en betydande mängd trafik.
DDoS Protection telemetri, övervakning och aviseringar
DDoS Protection Standard exponerar omfattande telemetri via Azure Monitor under en DDoS-attack. Du kan konfigurera aviseringar för alla Azure Monitor mått som DDoS Protection använder. Du kan integrera loggning med Splunk (Azure Event Hubs), Azure Monitor-loggar och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.
DDoS-skyddsprinciper
I Azure Portal du Övervaka > mått. I fönstret Mått väljer du resursgruppen, väljer resurstypen Offentlig IP-adress och väljer din offentliga IP-adress i Azure. DDoS-mått visas i fönstret Tillgängliga mått.
DDoS Protection Standard tillämpar tre automatiskt åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen i det virtuella nätverk som har DDoS aktiverat. Du kan visa principtrösklar genom att välja måttet Inkommande paket för att utlösa DDoS-minskning.
Principtrösklar konfigureras automatiskt via maskininlärningsbaserad profilering av nätverkstrafik. DDoS-riskreducering inträffar endast för en IP-adress som attackeras när principtröskeln överskrids.
Mått för en IP-adress under DDoS-attack
Om den offentliga IP-adressen är under attack ändras värdet för måttet Under DDoS-attack eller ändras inte till 1 DDoS Protection åtgärdar angreppstrafiken.
Vi rekommenderar att du konfigurerar en avisering för det här måttet. Du meddelas sedan när en aktiv DDoS-åtgärd utförs på din offentliga IP-adress.
Mer information finns i Hantera Azure DDoS Protection Standard med hjälp av Azure Portal.
Brandvägg för webbaserade program för resursattacker
Specifikt för resursattacker på programnivån bör du konfigurera en brandvägg för webbaserade program (WAF) för att skydda webbprogram. En WAF inspekterar inkommande webbtrafik för att blockera SQL,skriptning mellan webbplatser, DDoS och andra Layer 7-attacker. Azure tillhandahåller WAF som en funktion i Application Gateway för centraliserat skydd av dina webbprogram mot vanliga kryphål och sårbarheter. Det finns andra WAF-erbjudanden från Azure-partner som kanske passar bättre för dina behov via Azure Marketplace.
Även brandväggar för webbaserade program är sårbara för volym- och tillståndsutmattningsattacker. Vi rekommenderar starkt att du aktiverar DDoS Protection Standard i det virtuella WAF-nätverket för att skydda mot volym- och protokollattacker. Mer information finns i avsnittet DDoS Protection referensarkitekturer.
Skyddsplanering
Planering och förberedelser är avgörande för att förstå hur ett system kommer att prestera under en DDoS-attack. Att utforma en plan för incidenthantering är en del av det här arbetet.
Om du har DDoS Protection Standard kontrollerar du att den är aktiverad i det virtuella nätverket med Internetuppriktade slutpunkter. Genom att konfigurera DDoS-aviseringar kan du ständigt hålla utkik efter potentiella attacker i infrastrukturen.
Övervaka dina program oberoende av varandra. Förstå det normala beteendet för ett program. Förbered för att agera om programmet inte fungerar som förväntat under en DDoS-attack.
Testa via simuleringar
Det är en bra idé att testa dina antaganden om hur dina tjänster svarar på en attack genom att utföra periodiska simuleringar. Under testningen kontrollerar du att dina tjänster eller program fortsätter att fungera som förväntat och att användarupplevelsen inte störs. Identifiera luckor ur både teknik- och processsynpunkt och införliva dem i DDoS-svarsstrategin. Vi rekommenderar att du utför sådana tester i mellanlagringsmiljöer eller under tider med låg belastning för att minimera påverkan på produktionsmiljön.
Vi har samarbetat med BreakingPoint Cloud för att skapa ett gränssnitt där Azure-kunder kan generera trafik mot DDoS Protection-aktiverade offentliga slutpunkter för simuleringar. Du kan använda BreakingPoint Cloud-simuleringen för att:
Validera hur Azure DDoS Protection hjälper till att skydda dina Azure-resurser från DDoS-attacker.
Optimera incidenthanteringsprocessen under DDoS-angrepp.
Dokumentera DDoS-efterlevnad.
Träna dina nätverkssäkerhetsgrupper.
Cybersäkerhet kräver konstant innovation inom skydd. Azure DDoS Standard-skydd är ett populärt erbjudande med en effektiv lösning för att minimera allt mer komplexa DDoS-attacker.
Komponenter i en strategi för att hantera DDoS-attacker
En DDoS-attack som riktar sig mot Azure-resurser kräver vanligtvis minimala åtgärder från användarsynpunkt. Att implementera DDoS-riskreducering som en del av en strategi för incidentåtgärder hjälper ändå till att minimera påverkan på affärskontinu kontinuitet.
Microsofts hotinformation
Microsoft har ett omfattande hotinformationsnätverk. Det här nätverket använder sig av samlade kunskaper om en utökad säkerhets-community som stöder Microsoft onlinetjänster, Microsoft-partner och relationer inom Internetsäkerhets-communityn.
Som kritisk infrastrukturleverantör får Microsoft tidiga varningar om hot. Microsoft samlar in hotinformation från onlinetjänster och från dess globala kundbas. Microsoft införlivar all hotinformation i Azure DDoS Protection produkter.
Dessutom utför Microsofts enhet för digitala brott (DCU) stötande strategier mot botnät. Botnät är en vanlig källa till command and control för DDoS-attacker.
Riskutvärdering av dina Azure-resurser
Det är viktigt att du regelbundet förstår riskens omfattning från en DDoS-attack. Fråga dig regelbundet:
Vilka nya offentligt tillgängliga Azure-resurser behöver skydd?
Finns det en felpunkt i tjänsten?
Hur kan tjänster isoleras för att begränsa effekten av en attack och samtidigt göra tjänster tillgängliga för giltiga kunder?
Finns det virtuella nätverk där DDoS Protection Standard ska aktiveras men inte är det?
Är mina tjänster aktiva/aktiva med redundans i flera regioner?
Kundens DDoS-svarsteam
Att skapa ett DDoS-svarsteam är ett viktigt steg för att svara på en attack snabbt och effektivt. Identifiera kontakter i din organisation som övervakar både planering och körning. Det här DDoS-svarsteamet bör förstå Azure DDoS Protection Standard-tjänsten. Se till att teamet kan identifiera och åtgärda ett angrepp genom att samordna med interna och externa kunder, inklusive Microsofts supportteam.
För ditt DDoS-svarsteam rekommenderar vi att du använder simuleringsövningar som en normal del av din tjänsttillgänglighet och kontinuitetsplanering. De här övningarna bör omfatta skalningstestning.
Aviseringar under en attack
Azure DDoS Protection Standard identifierar och minskar DDoS-attacker utan att användaren behöver göra något. Om du vill få ett meddelande när det finns en aktiv åtgärd för en skyddad offentlig IP-adress kan du konfigurera en avisering för måttet Under DDoS-attack eller inte. Du kan välja att skapa aviseringar för de andra DDoS-måtten för att förstå attackens skala, trafik som tas bort och annan information.
När du ska kontakta Microsoft Support
Under en DDoS-attack upptäcker du att den skyddade resursens prestanda är kraftigt försämrad eller att resursen inte är tillgänglig.
Du tror DDoS Protection tjänsten inte fungerar som förväntat.
Tjänsten DDoS Protection åtgärdar endast om måttvärdet Princip för att utlösa DDoS-minskning (TCP/TCP SYN/UDP) är lägre än trafiken som tas emot på den skyddade offentliga IP-resursen.
Du planerar ett viralt evenemang som kommer att öka nätverkstrafiken markant.
En aktör har försent sig att starta en DDoS-attack mot dina resurser.
Om du behöver tillåta en lista över ip-adresser eller IP-adressintervall från Azure DDoS Protection Standard. Ett vanligt scenario är att tillåta list-IP om trafiken dirigeras från ett externt moln waf till Azure.
För attacker som har en kritisk inverkan på verksamheten skapar du en supportbiljett med allvarlighetsgradA.
Steg efter attack
Det är alltid en bra strategi att göra en efterskalning efter en attack och justera DDoS-svarsstrategin efter behov. Saker att tänka på:
Var det något avbrott i tjänsten eller användarupplevelsen på grund av bristen på skalbar arkitektur?
Vilka program eller tjänster drabbades mest?
Hur effektiv var DDoS-svarsstrategin och hur kan den förbättras?
Om du misstänker att du är under en DDoS-attack eskalerar du genom dina vanliga Azure Support kanaler.
DDoS Protection-referensarkitekturer
DDoS Protection Standard är utformat för tjänster som distribueras i ett virtuellt nätverk. För andra tjänster gäller standardinställningen DDoS Protection Basic-tjänsten. Följande referensarkitekturer ordnas efter scenarier, med arkitekturmönster grupperade tillsammans.
Arbetsbelastningar för virtuella datorer (Windows/Linux)
Program som körs på belastningsutjämnade virtuella datorer
Den här referensarkitekturen visar en uppsättning beprövade metoder för att köra flera virtuella Windows-datorer i en skalningsuppsättning bakom en lastbalanserare för att förbättra tillgänglighet och skalbarhet. Den här arkitekturen kan användas för alla tillståndslösa arbetsbelastningar, till exempel en webbserver.
En arbetsbelastning distribueras över flera VM-instanser i den här arkitekturen. Det finns en enskild offentlig IP-adress och Internettrafiken distribueras till de virtuella datorerna via en lastbalanserare. DDoS Protection Standard är aktiverat i det virtuella nätverket i Azure-lastbalanseraren (Internet) som har den offentliga IP-adressen kopplad till sig.
Lastbalanseraren distribuerar inkommande Internetbegäranden till VM-instanserna. Med VM-skalningsuppsättningar kan antalet virtuella datorer skalas in eller ut manuellt eller automatiskt baserat på fördefinierade regler. Detta är viktigt om resursen är under DDoS-attack. Mer information om den här referensarkitekturen finns i den här artikeln.
Program som körs Windows på N-nivå
Det finns många sätt att implementera en arkitektur på N-nivå. Följande diagram visar ett typiskt webbprogram med tre nivåer. Den här arkitekturen bygger på artikeln Run load-balanced VMs for scalability and availability (Kör belastningsutjämnade virtuella datorer för skalbarhet och tillgänglighet). Webb- och företagsnivåer använder belastningsutjämnade virtuella datorer.
I den här arkitekturen DDoS Protection Standard aktiverat i det virtuella nätverket. Alla offentliga IP-adresser i det virtuella nätverket får DDoS-skydd för Layer 3 och 4. För Layer 7-skydd distribuerar Application Gateway i WAF-SKU:n. Mer information om den här referensarkitekturen finns i den här artikeln.
PaaS-webbprogram
Den här referensarkitekturen visar hur du Azure App Service ett program i en enda region. Den här arkitekturen visar en uppsättning beprövade metoder för ett webbprogram som använder Azure App Service och Azure SQL Database. En reservregion har ställts in för redundansscenarier.
Azure Traffic Manager dirigerar inkommande begäranden till Application Gateway i en av regionerna. Under normal drift dirigeras begäranden till Application Gateway i den aktiva regionen. Om den regionen blir otillgänglig Traffic Manager du till Application Gateway i reservregionen.
All trafik från Internet till webbappen dirigeras till den offentliga IP Application Gateway adressen via Traffic Manager. I det här scenariot är själva apptjänsten (webbappen) inte direkt externt riktad och skyddas av Application Gateway.
Vi rekommenderar att du konfigurerar Application Gateway WAF SKU (förhindra läge) för att skydda mot Layer 7-attacker (HTTP/HTTPS/WebSocket). Dessutom är webbappar konfigurerade för att endast godkänna trafik från den Application Gateway IP-adressen.
Mer information om den här referensarkitekturen finns i den här artikeln.
Riskreducering för PaaS-tjänster som inte är webbaserade
HDInsight på Azure
Den här referensarkitekturen visar hur du konfigurerar DDoS Protection Standard för ett Azure HDInsight kluster. Kontrollera att HDInsight-klustret är länkat till ett virtuellt nätverk och DDoS Protection är aktiverat i det virtuella nätverket.
I den här arkitekturen dirigeras trafik till HDInsight-klustret från Internet till den offentliga IP-adress som är associerad med hdInsight-gatewayens lastbalanserare. Gatewayens lastbalanserare skickar sedan trafiken direkt till huvudnoderna eller arbetsnoderna. Eftersom DDoS Protection Standard är aktiverat i det virtuella HDInsight-nätverket får alla offentliga IP-adresser i det virtuella nätverket DDoS-skydd för Layer 3 och 4. Den här referensarkitekturen kan kombineras med referensarkitekturerna för N-nivå och flera regioner.
Mer information om den här referensarkitekturen finns i dokumentationen Utöka Azure HDInsight använda en Azure Virtual Network.
Anteckning
Azure App Service-miljön för Power Apps eller API-hantering i ett virtuellt nätverk med en offentlig IP-adress stöds inte inbyggt.