Základní osvědčené postupy služby Azure DDoS Protection

  • Článek

Následující části poskytují preskriptivní pokyny k vytváření služeb odolných proti útoky DDoS v Azure.

Navrhování s důrazem na zabezpečení

Zajistěte, aby zabezpečení bylo prioritou po celý životní cyklus aplikace, od návrhu a implementace až po nasazení a provoz. Aplikace můžou mít chyby, které umožňují relativně nízkému objemu požadavků, aby používaly dinalitu množství prostředků, což vede k výpadku služby.

Abyste mohli chránit službu běžící v Microsoft Azure, měli byste dobře porozumět architektuře aplikací a zaměřit se na pět pilířů kvality softwaru. Měli byste znát typické objemy přenosů, model připojení mezi aplikací a jinými aplikacemi a koncové body služby, které jsou vystavené veřejnému internetu.

Nejdůležitější je zajistit, aby aplikace byla dostatečně odolná, aby zvládla odepření služby, která je cílem samotné aplikace. Zabezpečení a ochrana osobních údajů jsou integrované na platformě Azure, počínaje životním cyklem SDL (Security Development Lifecycle). SDL řeší zabezpečení v každé fázi vývoje a zajišťuje, že se Azure průběžně aktualizuje, aby byla ještě bezpečnější. Další informace o maximalizaci efektivity pomocí ochrany před útoky DDoS najdete v tématu Maximalizace efektivity: Osvědčené postupy pro ochranu před útoky Azure DDoS Protection a odolnost aplikací.

Návrh pro zajištění škálovatelnosti

Škálovatelnost je to, jak dobře dokáže systém zvládnout zvýšené zatížení. Navrhněte své aplikace tak, aby horizontálně škálovali tak, aby splňovaly požadavky na zesílené zatížení, konkrétně v případě útoku DDoS. Pokud vaše aplikace závisí na jedné instanci služby, vytvoří jediný bod selhání. Zřizování více instancí zvyšuje odolnost a škálovatelnost vašeho systému.

V Aplikace Azure Service vyberte plán služby App Service, který nabízí více instancí. Pro Azure Cloud Services nakonfigurujte každou z vašich rolí tak, aby používala více instancí. V případě virtuálních počítačů Azure se ujistěte, že architektura virtuálního počítače zahrnuje více než jeden virtuální počítač a že každý virtuální počítač je součástí skupiny dostupnosti. Pro možnosti automatického škálování doporučujeme používat škálovací sady virtuálních počítačů.

Hloubková ochrana

Myšlenkou hloubkové obrany je řídit riziko pomocí různých defenzivních strategií. Vrstvení ochrany zabezpečení v aplikaci snižuje pravděpodobnost úspěšného útoku. Doporučujeme implementovat zabezpečené návrhy pro vaše aplikace pomocí integrovaných funkcí platformy Azure.

Například riziko útoku se zvyšuje s velikostí (povrchovou oblastí) aplikace. Povrchovou oblast můžete snížit tak, že pomocí seznamu schválení zavřete vystavený adresní prostor IP adres a naslouchají porty, které nejsou potřeba v nástrojích pro vyrovnávání zatížení (Azure Load Balancer a Aplikace Azure Gateway). Skupiny zabezpečení sítě (NSG) představují další způsob, jak snížit prostor pro útoky. Značky služeb a skupiny zabezpečení aplikací můžete použít k minimalizaci složitosti vytváření pravidel zabezpečení a konfiguraci zabezpečení sítě jako přirozeného rozšíření struktury aplikace. Kromě toho můžete pomocí řešení Azure DDoS pro Microsoft Sentinel určit přesměrování zdrojů DDoS a zablokovat jim spouštění dalších sofistikovaných útoků, jako je krádež dat.

Služby Azure byste měli nasadit ve virtuální síti , kdykoli je to možné. Tento postup umožňuje prostředkům služby komunikovat prostřednictvím privátních IP adres. Provoz služeb Azure z virtuální sítě ve výchozím nastavení používá veřejné IP adresy jako zdrojové IP adresy. Při použití koncových bodů služby se přenosy služeb převedou tak, aby používaly privátní adresy virtuální sítě jako zdrojové IP adresy, když přistupují ke službě Azure z virtuální sítě.

Často vidíme, že místní prostředky zákazníků se společně s jejich prostředky v Azure napadají. Pokud připojujete místní prostředí k Azure, doporučujeme minimalizovat vystavení místních prostředků veřejnému internetu. Škálovací a pokročilé možnosti ochrany před útoky DDoS v Azure můžete využít nasazením známých veřejných entit v Azure. Vzhledem k tomu, že tyto veřejně přístupné entity jsou často cílem útoků DDoS, jejich umístění v Azure snižuje dopad na vaše místní prostředky.

Další kroky