Azure DDoS Koruması temel en iyi yöntemleri

  • Makale

Aşağıdaki bölümler, Azure'da DDoS dayanıklı hizmetler oluşturmaya yönelik açıklayıcı yönergeler sağlar.

Güvenlik için tasarlama

Tasarım ve uygulamadan dağıtım ve işlemlere kadar bir uygulamanın yaşam döngüsünün tamamında güvenliğin öncelikli olduğundan emin olun. Uygulamalar, nispeten düşük miktarda isteğin sıralı kaynak kullanmasına izin veren ve hizmet kesintisine neden olan hatalara sahip olabilir.

Microsoft Azure'da çalışan bir hizmetin korunmasına yardımcı olmak için uygulama mimarinizi iyi anlamanız ve yazılım kalitesinin beş sütununa odaklanmanız gerekir. Tipik trafik hacimlerini, uygulama ile diğer uygulamalar arasındaki bağlantı modelini ve genel İnternet'e sunulan hizmet uç noktalarını bilmeniz gerekir.

Bir uygulamanın, uygulamanın kendisini hedefleyen bir hizmet reddini işleyecek kadar dayanıklı olduğundan emin olmak en önemli öneme sahiptir. Güvenlik ve gizlilik, Güvenlik Geliştirme Yaşam Döngüsü (SDL) ile başlayarak Azure platformunda yerleşik olarak bulunur. SDL, her geliştirme aşamasında güvenliği ele alır ve Azure'ın daha da güvenli hale getirmek için sürekli güncelleştirilmesini sağlar. DDoS Koruması kullanarak etkinliğinizi en üst düzeye çıkarma hakkında daha fazla bilgi edinmek için bkz . Etkinliği En Üst Düzeye Çıkarma: Azure DDoS Koruması ve Uygulama Dayanıklılığı için En İyi Yöntemler.

Ölçeklenebilirlik tasarımı

Ölçeklenebilirlik, sistemin artan yükü ne kadar iyi işleyebileceğidir. Uygulamalarınızı , özellikle DDoS saldırısı durumunda, yükseltilmiş yük talebini karşılayacak şekilde yatay olarak ölçeklendirilecek şekilde tasarlayın. Uygulamanız bir hizmetin tek bir örneğine bağımlıysa, tek bir hata noktası oluşturur. Birden çok örnek sağlamak sisteminizi daha dayanıklı ve daha ölçeklenebilir hale getirir.

Azure Uygulaması Hizmeti için birden çok örnek sunan bir App Service planı seçin. Azure Cloud Services için rollerinizin her birini birden çok örnek kullanacak şekilde yapılandırın. Azure Sanal Makineler için sanal makine (VM) mimarinizin birden fazla VM içerdiğinden ve her vm'nin bir kullanılabilirlik kümesine dahil olduğundan emin olun. Otomatik ölçeklendirme özellikleri için sanal makine ölçek kümelerini kullanmanızı öneririz.

Derinlemesine savunma

Derinlemesine savunmanın ardındaki fikir, farklı savunma stratejilerini kullanarak riski yönetmektir. Bir uygulamada güvenlik savunmalarının katmanlanması, başarılı bir saldırı olasılığını azaltır. Azure platformunun yerleşik özelliklerini kullanarak uygulamalarınız için güvenli tasarımlar uygulamanızı öneririz.

Örneğin, saldırı riski uygulamanın boyutuyla (yüzey alanı) artar. Kullanıma sunulan IP adresi alanını ve yük dengeleyicilerde gerekli olmayan dinleme bağlantı noktalarını kapatmak için bir onay listesi kullanarak yüzey alanını azaltabilirsiniz (Azure Load Balancer ve Azure Uygulaması lication Gateway). Ağ güvenlik grupları (NSG) saldırı yüzeyini azaltmanın başka bir yoludur. Uygulama yapısının doğal bir uzantısı olarak güvenlik kuralları oluşturma ve ağ güvenliğini yapılandırma karmaşıklığını en aza indirmek için hizmet etiketlerini ve uygulama güvenlik gruplarını kullanabilirsiniz. Buna ek olarak, Microsoft Sentinel için Azure DDoS Çözümünü kullanarak DDoS kaynaklarının sorunlu olduğunu tespit edebilir ve veri hırsızlığı gibi diğer karmaşık saldırıları başlatmalarını engelleyebilirsiniz.

Mümkün olduğunda Azure hizmetlerini bir sanal ağa dağıtmanız gerekir. Bu uygulama, hizmet kaynaklarının özel IP adresleri üzerinden iletişim kurmasına olanak tanır. Sanal ağdan gelen Azure hizmet trafiği varsayılan olarak kaynak IP adresleri olarak genel IP adreslerini kullanır. Hizmet uç noktalarının kullanılması, bir sanal ağdan Azure hizmetine erişirken kaynak IP adresleri olarak sanal ağ özel adreslerini kullanacak şekilde hizmet trafiğini değiştirir.

Müşterilerin şirket içi kaynaklarının Azure'daki kaynaklarıyla birlikte saldırıya uğramasını sık sık görüyoruz. Şirket içi ortamı Azure'a bağlıyorsanız, şirket içi kaynakların genel İnternet'e maruz kalmasını en aza indirmenizi öneririz. Azure'da iyi bilinen genel varlıklarınızı dağıtarak Azure'ın ölçek ve gelişmiş DDoS koruma özelliklerini kullanabilirsiniz. Genel olarak erişilebilen bu varlıklar genellikle DDoS saldırılarının hedefi olduğundan, bunları Azure'a yerleştirmek şirket içi kaynaklarınızın üzerindeki etkiyi azaltır.

Sonraki adımlar

  • İş sürekliliği hakkında daha fazla bilgi edinin.