Uygulama (Katman 7) DDoS koruması

  • Makale

Azure WAF, dağıtılmış hizmet reddi (DDoS) saldırılarını önlemeye yardımcı olabilecek çeşitli savunma mekanizmalarına sahiptir. DDoS saldırıları hem ağ katmanını (L3/L4) hem de uygulama katmanını (L7) hedefleyebilir. Azure DDoS, müşteriyi büyük ağ katmanı hacimli saldırılara karşı korur. Katman 7'de çalışan Azure WAF, web uygulamalarını HTTP Taşması gibi L7 DDoS saldırılarına karşı korur. Bu savunmalar, saldırganların uygulamanıza ulaşmasını engelleyebilir ve uygulamanızın kullanılabilirliğini ve performansını etkileyebilir.

Hizmetlerinizi nasıl koruyabilirsiniz?

Bu saldırılar, Web Uygulaması Güvenlik Duvarı (WAF) eklenerek veya hatalı istekleri filtrelemek için hizmetin önüne DDoS yerleştirilerek azaltılabilir. Azure, Azure Front Door ile ağ uç noktasında ve Application Gateway ile veri merkezlerinde çalışan WAF sunar. Bu adımlar genelleştirilmiş bir listedir ve uygulama gereksinimleri hizmetinize uyacak şekilde ayarlanması gerekir.

  • L7 uygulama katmanı saldırılarına karşı koruma sağlamak için Azure Front Door Premium veya Application Gateway WAF v2 SKU ile Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın.
  • Yeterli yedek kapasite olacak şekilde kaynak örneğinizin ölçeğini artırın.
  • Genel IP'lerinizi katman 3(L3) ve katman 4(L4) DDoS saldırılarına karşı korumak için kaynak genel IP'lerde Azure DDoS Koruması'nı etkinleştirin. Azure'ın DDoS teklifleri, çoğu siteyi bir web sitesine çok sayıda paket gönderen L3 ve L4 hacimli saldırılara karşı otomatik olarak koruyabilir. Azure, varsayılan olarak Azure'da barındırılan tüm sitelere altyapı düzeyinde koruma da sunar.

Azure Front Door ile Azure WAF

Azure WAF' nin HTTP taşması, Önbellek atlama, botnetler tarafından başlatılan saldırılar gibi birçok farklı saldırı türünü azaltmak için kullanılabilecek birçok özelliği vardır.

  • Bilinen kötü botlara karşı koruma sağlamak için bot koruması yönetilen kural kümesini kullanın. Daha fazla bilgi için bkz . Bot korumasını yapılandırma.

  • IP adreslerinin hizmetinizi çok sık çağırmasını önlemek için hız sınırları uygulayın. Daha fazla bilgi için bkz . Hız sınırlama.

  • Kötü amaçlı olarak tanımladığınız IP adreslerini ve aralıkları engelleyin. Daha fazla bilgi için bkz . IP kısıtlamaları.

  • Tanımlı coğrafi bölge dışından veya uygulama trafiği düzenine uymayan tanımlı bir bölgeden gelen trafiği engelleyin veya statik bir web sayfasına yönlendirin. Daha fazla bilgi için bkz . Coğrafi filtreleme.

  • Bilinen imzalara sahip HTTP veya HTTPS saldırılarını otomatik olarak engellemek ve sınırlamak için özel WAF kuralları oluşturun. Belirli bir kullanıcı aracısı gibi imza veya üst bilgiler, tanımlama bilgileri, sorgu dizesi parametreleri veya birden çok imzanın birleşimi gibi belirli bir trafik düzeni.

WAF'nin ötesinde Azure Front Door, L3/4 DDoS saldırılarına karşı koruma sağlamak için varsayılan Azure Altyapısı DDoS koruması da sunar. Azure Front Door'da önbelleğe almayı etkinleştirmek, uçta ani en yüksek trafik hacmini emilmesine ve arka uç çıkış noktalarının saldırılara karşı korunmasına yardımcı olabilir.

Azure Front Door'daki özellikler ve DDoS koruması hakkında daha fazla bilgi için bkz . Azure Front Door'da DDoS koruması.

Azure Uygulaması lication Gateway ile Azure WAF

L7 DDoS saldırılarına karşı savunmak için L7 DDoS risk azaltma özellikleri de dahil olmak üzere en son özelliklerle birlikte gelen Application Gateway WAF v2 SKU'su kullanmanızı öneririz.

Application Gateway WAF SKU'ları birçok L7 DDoS saldırısını azaltmak için kullanılabilir:

  • Application Gateway'inizi en fazla örnek sayısını zorlamadan otomatik olarak ölçeği artıracak şekilde ayarlayın.

  • Bot koruması yönetilen kural kümesinin kullanılması bilinen kötü botlara karşı koruma sağlar. Daha fazla bilgi için bkz . Bot korumasını yapılandırma.

  • IP adreslerinin hizmetinizi çok sık çağırmasını önlemek için hız sınırları uygulayın. Daha fazla bilgi için bkz . Hız sınırlama özel kurallarını yapılandırma.

  • Kötü amaçlı olarak tanımladığınız IP adreslerini ve aralıkları engelleyin. Daha fazla bilgi için bkz. v2 özel kuralları oluşturma ve kullanma örnekleri.

  • Tanımlı coğrafi bölge dışından veya uygulama trafiği düzenine uymayan tanımlı bir bölgeden gelen trafiği engelleyin veya statik bir web sayfasına yönlendirin. Daha fazla bilgi için bkz. v2 özel kuralları oluşturma ve kullanma örnekleri.

  • Bilinen imzalara sahip HTTP veya HTTPS saldırılarını otomatik olarak engellemek ve sınırlamak için özel WAF kuralları oluşturun. Belirli bir kullanıcı aracısı gibi imzalar veya üst bilgiler, tanımlama bilgileri, sorgu dizesi parametreleri veya birden çok imzanın birleşimi gibi belirli bir trafik düzeni.

Diğer konular

  • Kaynaktaki genel IP'lere erişimi kilitleyin ve gelen trafiği yalnızca Azure Front Door veya Application Gateway'den çıkış noktası trafiğine izin verecek şekilde kısıtlayın. Azure Front Door ile ilgili yönergelere bakın. Application Gateway'ler bir sanal ağda dağıtılır ve genel kullanıma sunulan IP'lerin olmadığından emin olun.

  • WAF ilkesini önleme moduna geçirin. İlkenin algılama modunda dağıtılması yalnızca günlükte çalışır ve trafiği engellemez. WAF ilkenizi üretim trafiğiyle doğruladıktan ve test ettikten ve hatalı pozitif sonuçları azaltmak için ince ayar yaptıktan sonra ilkeyi Önleme moduna (engelleme/savunma modu) dönüştürmelisiniz.

  • Anomaliler için Azure WAF günlüklerini kullanarak trafiği izleyin. Rahatsız edici trafiği engellemek için özel kurallar oluşturabilirsiniz. Şüpheli IP'ler alışılmadık sayıda istek, olağan dışı kullanıcı aracısı dizesi, anormal sorgu dizesi desenleri vb. gönderir.

  • Hatalı pozitif sonuçları azaltmak için İzin Ver eylemiyle Özel Kuralları Eşleştir oluşturarak bilinen meşru trafik için WAF'yi atlayabilirsiniz. Bu kurallar, diğer blok ve hız sınırı kurallarına göre yüksek öncelikli (daha düşük sayısal değer) ile yapılandırılmalıdır.

  • En azından, tek bir IP adresinden gelen yüksek istek oranını engelleyen bir hız sınırı kuralınız olmalıdır. Örneğin, tek bir İstemci IP adresinin sitenize pencere başına XXX trafiğinden daha fazla göndermesine izin vermeyecek şekilde bir hız sınırı kuralı yapılandırabilirsiniz. Azure WAF, istekleri izlemek için 1 ve 5 dakika olan iki pencereyi destekler. HTTP Taşması saldırılarını daha iyi azaltmak için 5 dakikalık pencereyi kullanmanız önerilir. Bu kural en düşük öncelik kuralı olmalıdır (öncelik, en yüksek öncelik 1 ile sıralanır), böylece bu kuraldan önce eşleşmesi için daha belirli Hız Sınırı kuralları veya Eşleştirme kuralları oluşturulabilir. Application Gateway WAF v2 kullanıyorsanız, İstemci IP dışındaki yöntemlerle istemcileri izlemek ve engellemek için ek hız sınırlama yapılandırmaları kullanabilirsiniz. Application Gateway waf üzerindeki Hız Sınırları hakkında daha fazla bilgi için bkz . Hız sınırlamaya genel bakış.

    Aşağıdaki Log Analytics sorgusu, yukarıdaki kural için kullanmanız gereken eşiği belirlemede yararlı olabilir. Benzer bir sorgu için ancak Application Gateway ile "FrontdoorAccessLog" yerine "ApplicationGatewayAccessLog" yazın.

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • DDoS saldırılarına karşı savunma için doğrudan hedeflenmemiş olan yönetilen kurallar, diğer yaygın saldırılara karşı koruma sağlar. Daha fazla bilgi için, bu kuralların korunmaya yardımcı olabileceği çeşitli saldırı türleri hakkında daha fazla bilgi edinmek için bkz. Yönetilen kurallar (Azure Front Door) veya Yönetilen kurallar (Application Gateway).

WAF günlük analizi

Aşağıdaki sorguyla Log Analytics'te WAF günlüklerini analiz edebilirsiniz.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Daha fazla bilgi için bkz . Azure Front Door ile Azure WAF.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Daha fazla bilgi için bkz. Azure Uygulaması lication Gateway ile Azure WAF.

Sonraki adımlar