Azure portalını kullanarak Azure DDoS Koruması'nı dağıtma
Dağıtılmış Hizmet Reddi (DDoS)
Hizmet reddi saldırısı (DoS), hizmetlere veya sistemlere erişimi engelleme hedefi olan bir saldırıdır. Saldırı tek bir konumdan kaynaklanıyorsa buna DoS adı verilir. Saldırı birden çok ağ ve sistemden kaynaklanıyorsa, buna dağıtılmış hizmet reddi (DDoS) denir.
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, uygulamalarını buluta taşımakta olan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik endişelerinden bazılarıdır. DDoS saldırısı, bir API'nin veya uygulamanın kaynaklarını boşaltmaya çalışır ve bu da uygulamanın geçerli kullanıcılar tarafından kullanılamaz duruma gelmesini sağlar. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir.
DDoS uygulaması
Azure DDoS Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunma sağlar. Azure DDoS Koruması şu hizmet katmanlarına sahiptir:
Ağ Koruması
DDoS altyapı koruması üzerinden azure Sanal Ağ kaynaklarına özel olarak ayarlanmış ek risk azaltma özellikleri sağlar. Azure DDoS Koruması'nın etkinleştirilmesi kolaydır ve uygulama değişikliği gerektirmez. Koruma ilkeleri adanmış trafik izleme ve makine öğrenimi algoritmalarıyla düzenlenir. İlkeler Azure Load Balancer, Azure Uygulaması lication Gateway ve Azure Service Fabric örnekleri gibi sanal ağlarda dağıtılan kaynaklarla ilişkili genel IP adreslerine uygulanır, ancak bu koruma App Service Ortamı için geçerli değildir. Gerçek zamanlı telemetri, bir saldırı sırasında Azure İzleyici görünümleri aracılığıyla ve geçmiş için kullanılabilir. Tanılama ayarları aracılığıyla zengin saldırı azaltma analizi kullanılabilir. Uygulama katmanı koruması, Azure Uygulaması lication Gateway Web Uygulaması Güvenlik Duvarı aracılığıyla veya Azure Market bir üçüncü taraf güvenlik duvarı yüklenerek eklenebilir. IPv4 ve IPv6 Azure genel IP adresleri için koruma sağlanır.
IP Koruması
DDoS IP Koruması korumalı bir IP modelidir. DDoS IP Koruması, DDoS Ağ Koruması ile aynı temel mühendislik özelliklerini içerir, ancak DDoS hızlı yanıt desteği, maliyet koruması ve WAF indirimleri gibi katma değerli hizmetlerde farklılık gösterir.
DDoS Koruması, sanal makineler, yük dengeleyiciler ve uygulama ağ geçitleriyle ilişkili genel IP adresleri de dahil olmak üzere bir sanal ağdaki kaynakları korur. Application Gateway web uygulaması güvenlik duvarı veya genel IP'ye sahip bir sanal ağa dağıtılan bir üçüncü taraf web uygulaması güvenlik duvarıyla birleştiğinde, DDoS Koruması tam katman 3 ile katman 7 arasında azaltma özelliği sağlayabilir.
Azure'daki her özellik, Azure'ın DDoS altyapısı (Temel) Koruması ile ek ücret ödemeden korunur. Azure DDoS Koruması, bir sanal ağa dağıtılan hizmetler için tasarlanmış ücretli bir hizmettir.
DDoS saldırılarının türleri
DDoS Koruması aşağıdaki saldırı türlerini hafifletebilir:
Yüksek hacimli saldırılar
Bu saldırılar, ağ katmanını önemli miktarda meşru görünen trafikle kaplar. Bunlar UDP taşmaları, amplifikasyon selleri ve diğer sahte paket selleridir. DDoS Koruması, Azure'ın genel ağ ölçeğiyle bu olası çok gigabaytlı saldırıları otomatik olarak emerek ve temizleyerek azaltır.
Protokol saldırıları
Bu saldırılar protokol yığınının 3. ve 4. katmanındaki güvenlik açıklarından faydalanarak bir hedefi erişilemez duruma getirir. Syn sel saldırıları, yansıma saldırıları ve diğer protokol saldırılarını içerir. DDoS Koruması, istemciyle etkileşim kurarak ve kötü amaçlı trafiği engelleyerek bu saldırıları azaltır, kötü amaçlı ve meşru trafik arasında fark oluşturur.
Kaynak (uygulama) katmanı saldırıları
Bu saldırılar, konaklar arasında veri aktarımını kesintiye uğratmak için web uygulaması paketlerini hedefler. Bunlar HTTP protokolü ihlalleri, SQL ekleme, siteler arası betik oluşturma ve diğer katman 7 saldırılarını içerir. Bu saldırılara karşı savunma sağlamak için Azure Uygulaması lication Gateway web uygulaması güvenlik duvarı ve DDoS Koruması gibi bir Web Uygulaması Güvenlik Duvarı kullanın. Azure Market üçüncü taraf web uygulaması güvenlik duvarı teklifleri de vardır.
Azure DDoS koruma özellikleri
Azure DDoS koruma özelliklerinden bazıları şunlardır:
- Yerel platform tümleştirmesi: Azure ile yerel olarak tümleşiktir ve portal aracılığıyla yapılandırılır.
- Anahtar teslimi koruma: Tüm kaynakları hemen koruyan basitleştirilmiş yapılandırma.
- Her zaman açık trafik izleme: Uygulama trafiği desenleriniz, DDoS saldırılarının göstergeleri aranarak haftanın 7 günü, günde 24 saat izlenir.
- Uyarlamalı ayarlama: Profil oluşturma ve hizmetinizin trafiğine göre ayarlama.
- Saldırı analizi: Saldırı sırasında beş dakikalık artışlarla ayrıntılı raporlar ve saldırı bittikten sonra tam bir özet alın.
- Saldırı ölçümleri ve uyarıları: Her saldırıdan özetlenen ölçümlere Azure İzleyici aracılığıyla erişilebilir. Uyarılar, yerleşik saldırı ölçümleri kullanılarak bir saldırının başlangıcında ve durdurulmasında ve saldırı süresi boyunca yapılandırılabilir.
- Çok katmanlı koruma: Bir web uygulaması güvenlik duvarı (WAF) ile dağıtıldığında, DDoS Koruması hem ağ katmanında (Azure DDoS Koruması tarafından sunulan Katman 3 ve 4) hem de uygulama katmanında (WAF tarafından sunulan Katman 7) korur.
Bu temel özelliklerden bazılarında biraz daha ayrıntılı bir bakış atalım.
Her zaman açık trafik izleme
DDoS Koruması gerçek trafik kullanımını izler ve sürekli olarak DDoS İlkesi'nde tanımlanan eşiklerle karşılaştırır. Trafik eşiği aşıldığında DDoS azaltması otomatik olarak başlatılır. Trafik eşiklerin altına döndüğünde azaltma durdurulur.
Risk azaltma sırasında, korumalı kaynağa gönderilen trafik DDoS koruma hizmeti tarafından yeniden yönlendirilir ve aşağıdakiler gibi çeşitli denetimler gerçekleştirilir:
- Paketlerin İnternet belirtimlerine uygun olduğundan ve hatalı biçimlendirilmiş olmadığından emin olun.
- Trafiğin sahte bir paket olup olmadığını belirlemek için istemciyle etkileşim kurun (örneğin: SYN Kimlik Doğrulaması veya SYN Tanımlama Bilgisi veya kaynağın yeniden iletmesi için bir paket bırakarak).
- Başka bir zorlama yöntemi gerçekleştirilemiyorsa paketleri hız sınırı.
DDoS koruması saldırı trafiğini bırakır ve kalan trafiği hedeflenen hedefine iletir. Saldırı algılamayı izleyen birkaç dakika içinde Azure İzleyici ölçümlerini kullanarak size bildirilir. DDoS Koruması telemetrisinde günlüğe kaydetmeyi yapılandırarak, günlükleri gelecekteki analiz seçeneklerine yazabilirsiniz. DDoS Koruması için Azure İzleyici'deki ölçüm verileri 30 gün boyunca saklanır.
Uyarlamalı gerçek zamanlı ayarlama
Azure DDoS Koruması hizmeti, müşterilerin korunmasına ve diğer müşteriler üzerindeki etkilerin önlenmesine yardımcı olur. Örneğin, bir hizmet, altyapı genelindeki DDoS Koruması ilkesinin tetikleyici hızından daha küçük tipik bir yasal gelen trafik hacmi için sağlanırsa, müşterinin kaynaklarına yönelik bir DDoS saldırısının farkında olunmayabilir. Daha genel olarak, son saldırıların karmaşıklığı (örneğin, çok vektörlü DDoS) ve kiracıların uygulamaya özgü davranışları müşteri başına, uyarlanmış koruma ilkeleri gerektirir.
Hizmet bunu iki içgörü kullanarak gerçekleştirir:
- Katman 3 ve 4 için müşteri başına (Genel IP başına) trafik desenlerini otomatik öğrenme.
- Azure ölçeğinin önemli miktarda trafiği emmesine izin verdiği göz önünde bulundurularak hatalı pozitif sonuçları en aza indirme.
Saldırı ölçümleri, uyarılar ve günlükler
DDoS Koruması, Azure İzleyici aracı aracılığıyla zengin telemetri verilerini kullanıma sunar. DDoS Koruması'nın kullandığı Azure İzleyici ölçümlerinden herhangi biri için uyarılar yapılandırabilirsiniz. Azure İzleyici Tanılama arabirimi aracılığıyla gelişmiş analiz için splunk (Azure Event Hubs), Azure İzleyici günlükleri ve Azure Depolama ile günlüğe kaydetmeyi tümleştirebilirsiniz.
Azure portalında Ölçümleri İzle'yi > seçin. Ölçümler bölmesinde kaynak grubunu seçin, Genel IP Adresi kaynak türünü seçin ve Azure genel IP adresinizi seçin. DDoS ölçümleri Kullanılabilir ölçümler bölmesinde görünür.
DDoS Koruması, DDoS'un etkinleştirildiği sanal ağda korunan kaynağın her genel IP'sine üç otomatik ayarlı azaltma ilkesi (SYN, TCP ve UDP) uygular. Aşağıdaki örnek ekran görüntüsünde gösterildiği gibi DDoS azaltma ölçümlerini tetikleyen Gelen [SYN/TCP/UDP] paketlerini seçerek ilke eşiklerini görüntüleyebilirsiniz.
İlke eşikleri, makine öğrenmesi tabanlı ağ trafiği profili oluşturma yoluyla otomatik olarak yapılandırılır. DDoS azaltma, saldırı altındaki bir IP adresi için yalnızca ilke eşiği aşıldığında gerçekleşir.
Genel IP adresi saldırı altındaysa, DDoS Koruması saldırı trafiğinde azaltma gerçekleştirirken DDoS saldırısının değeri 1 olarak değişir.
Daha sonra genel IP adresinizde etkin bir DDoS azaltma işlemi gerçekleştiriliyorsa size bildirildiğinden bu ölçümde bir uyarı yapılandırmanız önerilir.
Çok katmanlı koruma
Uygulama katmanındaki kaynak saldırılarına özgü olarak, web uygulamalarının güvenliğini sağlamaya yardımcı olmak için bir web uygulaması güvenlik duvarı (WAF) yapılandırmanız gerekir. WAF, SQL eklemelerini, siteler arası betik oluşturmayı, DDoS'yi ve diğer Katman 7 saldırılarını engellemek için gelen web trafiğini inceler. Azure, web uygulamalarınızın yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunması için Application Gateway'in bir özelliği olarak WAF sağlar. Azure iş ortaklarının Azure Market aracılığıyla ihtiyaçlarınıza daha uygun olabilecek başka WAF teklifleri de vardır.
Web uygulaması güvenlik duvarları bile hacimli ve durum tükenme saldırılarına açıktır. Bu nedenle, hacim ve protokol saldırılarından korunmaya yardımcı olmak için WAF sanal ağında DDoS Koruması'nın etkinleştirilmesi kesinlikle önerilir.
DDoS koruma planı dağıtma
DDoS Koruması planı dağıtmanın temel aşamaları şunlardır:
- Kaynak grubu oluşturma
- DDoS Koruma Planı Oluşturma
- Yeni veya mevcut bir sanal ağda veya IP adresinde DDoS korumasını etkinleştirme
- DDoS telemetrisi yapılandırma
- DDoS tanılama günlüklerini yapılandırma
- DDoS uyarılarını yapılandırma
- Test DDoS saldırısı çalıştırın ve sonuçları izleyin.