Komponenten einer DDoS-Reaktionsstrategie
DDoS-Angriffe, die Azure-Ressourcen als Ziel haben, erfordern aus Sicht des Benutzers normalerweise nur minimales Eingreifen. Dennoch können Sie durch Integrieren der DDoS-Entschärfung im Rahmen der Reaktionsstrategie auf Incidents minimale Auswirkungen auf die Geschäftskontinuität sicherstellen.
Microsoft Threat Intelligence
Microsoft bietet ein umfassendes Threat Intelligence-Netzwerk (Informationen zu Bedrohungen). Dieses Netzwerk verwendet die gesammelten Kenntnisse einer großen Sicherheitscommunity, die Onlinedienste und Microsoft-Partner sowie Beziehungen in der Internet-Sicherheitscommunity unterstützt.
Als wichtiger Anbieter von Infrastruktur empfängt Microsoft frühzeitig Warnungen zu Bedrohungen. Microsoft sammelt Threat Intelligence (Informationen zu Bedrohungen) aus Onlinediensten und dem weltweiten Kundenstamm. Die gesamte Threat Intelligence von Microsoft wird wieder in die Azure DDoS Protection-Produkte integriert.
Außerdem führt die Microsoft Digital Crimes Unit (DCU) offensive Strategien gegen Botnets durch. Botnets sind eine häufige Quelle für Befehle und Steuerung von DDoS-Angriffen.
Risikobewertung für Ihre Azure-Ressourcen
Es ist zwingend notwendig, dass Sie durchgehend Ihr Risiko für DDoS-Angriffe einschätzen können. Stellen Sie sich in regelmäßigen Abständen die folgenden Fragen:
Welche neuen, öffentlich verfügbaren Azure-Ressourcen benötigen Schutz?
Gibt es Single Points of Failure im Dienst?
Wie können Dienste isoliert werden, um die Auswirkungen eines Angriffs einzuschränken, aber die Dienste legitimen Kunden weiterhin verfügbar zu machen?
Gibt es virtuelle Netzwerke, in denen DDoS Protection aktiviert werden sollte, aber noch nicht aktiviert ist?
Sind meine Dienste mehrere Regionen übergreifend aktiv / aktiv mit Failover?
Es ist von entscheidender Bedeutung, das normale Verhalten einer Anwendung zu kennen und sich auf den Fall vorzubereiten, dass sich die Anwendung während eines DDoS-Angriffs nicht erwartungsgemäß verhält. Sie sollten Monitore für Ihre unternehmenskritischen Anwendungen konfigurieren, die das Clientverhalten imitieren und Sie benachrichtigen, wenn relevante Anomalien erkannt werden. Unter Bewährte Methoden für Überwachung und Diagnose erfahren Sie, wie Sie Erkenntnisse über die Integrität Ihrer Anwendung erhalten.
Azure Application Insights ist ein erweiterbarer, für Webentwickler konzipierter Dienst zur Verwaltung der Anwendungsleistung (Application Performance Management, APM) auf mehreren Plattformen. Sie können mit Application Insights Ihre Live-Web-App überwachen. Der Dienst erkennt automatisch Leistungsanomalien. Er verfügt über Analysetools, mit denen Sie Probleme diagnostizieren und nachvollziehen können, wie Ihre App von Benutzern verwendet wird. Der Dienst unterstützt Sie bei der kontinuierlichen Verbesserung der Leistung und Benutzerfreundlichkeit Ihrer App.
Kunden-DDoS-Reaktionsteam
Das Erstellen eines DDoS-Reaktionsteams ist ein wichtiger Schritt, um eine effiziente und schnelle Reaktion auf einen Angriff zu gewährleisten. Geben Sie verschiedene Kontakte in Ihrer Organisation an, die Planung und Ausführung leiten. Dieses DDoS-Reaktionsteam sollte sehr gut mit dem Azure DDoS Protection-Dienst vertraut sein. Stellen Sie sicher, dass Ihr Team einen Angriff identifizieren und entschärfen kann, indem es in Koordination mit internen und externen Kunden und dem Microsoft-Supportteam arbeitet.
Es wird empfohlen, Simulationsübungen als normalen Bestandteil Ihrer Planung zur Dienstverfügbarkeit und Kontinuität durchzuführen und in diese Tests auch die Skalierung mit einzubeziehen. Weitere Informationen zum Simulieren von Tests des DDoS-Datenverkehrs Ihrer öffentlichen Azure-Endpunkte finden Sie unter Durchführen von Simulationstests.
Warnungen während eines Angriffs
Azure DDoS Protection identifiziert und entschärft DDoS-Angriffe ohne jegliches Eingreifen des Benutzers. Um benachrichtigt zu werden, wenn eine Entschärfung für eine geschützte öffentliche IP-Adresse aktiv ist, können Sie Warnungen konfigurieren.
Wann Sie den Microsoft-Support kontaktieren sollten
Kund*innen mit Azure DDoS-Netzwerkschutz können sich an das DRR-Team (DDoS Rapid Response) wenden, das sie bei der Untersuchung während eines Angriffs und bei der Analyse nach Angriffen unterstützen kann. Weitere Informationen finden Sie unter DDoS Rapid Response. Dort erfahren Sie auch, wann Sie das DRR-Team einbeziehen sollten. Kund*innen mit Azure DDoS IP-Schutz sollten eine Anfrage erstellen, um sich mit dem Microsoft-Support zu verbinden. Weitere Informationen finden Sie unter Erstellen einer Supportanfrage.
Schritte nach dem Angriff
Nach einem Angriff sollten Sie immer Bilanz ziehen und ggf. die DDoS-Reaktionsstrategie anpassen. Ziehen Sie Folgendes in Betracht:
Traten aufgrund mangelnder skalierbarer Architektur Unterbrechungen des Dienstes bzw. Unterbrechungen für den Benutzer auf?
Welche Anwendungen oder Dienste waren am meisten betroffen?
Wie effektiv war die DDoS-Reaktionsstrategie, und wie kann sie verbessert werden?
Wenn Sie vermuten, dass Sie einem DDoS-Angriff ausgesetzt sind, eskalieren Sie dies über die normalen Supportkanäle von Azure.
Nächste Schritte
- Erfahren Sie, wie Sie Metrikwarnungen über das Portal konfigurieren.
- Erfahren Sie, wie Sie DDoS Rapid Response einbinden.