Grundlegende bewährte Methoden für Azure DDoS Protection

Die folgenden Abschnitte enthalten eine ausführliche Anleitung zum Erstellen DDoS-resilienter Dienste in Azure.

Sicherheitsorientiertes Design

Stellen Sie sicher, dass die Sicherheit im gesamten Lebenszyklus einer Anwendung Priorität hat – von Entwurf und Implementierung bis hin zu Bereitstellung und Betrieb. Anwendungen können Fehler enthalten, die einer relativ geringen Anzahl Anforderungen die übermäßige Verwendung von Ressourcen erlauben. Dies führt zu einem Dienstausfall.

Um einen in Microsoft Azure ausgeführten Dienst zu schützen, sollten Sie Ihre Anwendungsarchitektur verstehen und sich auf die five pillars of software quality (Fünf Säulen der Softwarequalität) konzentrieren. Sie sollten Folgendes kennen: das typische Datenverkehrsvolumen, das Modell der Konnektivität zwischen der Anwendung und anderen Anwendungen, sowie die Dienstendpunkte, die dem öffentlichen Internet verfügbar gemacht werden.

Es ist von größter Wichtigkeit sicherzustellen, dass eine Anwendung stabil genug ist, um mit einem Denial-of-Service-Angriff fertig zu werden. Sicherheit und Datenschutz sind direkt in der Azure-Plattform integriert, beginnend mit Security Development Lifecycle (SDL). Die SDL spricht Sicherheit in jeder Entwicklungsphase an und sorgt dafür, dass Azure kontinuierlich aktualisiert wird, um noch sicherer zu sein. Weitere Informationen zur Maximierung Ihrer Effektivität mithilfe von DDoS Protection finden Sie unter Maximierung der Effektivität: Bewährte Methoden für Azure DDoS Protection und Anwendungsresilienz.

Skalierbarkeitsorientiertes Design

Die Skalierbarkeit zeigt, wie gut ein System eine höhere Last verarbeiten kann. Entwerfen der Anwendungen für eine horizontale Skalierung, um die Anforderungen einer verstärkten Auslastung zu erfüllen – insbesondere im Falle eines DDoS-Angriffs. Wenn Ihre Anwendung von einer einzelnen Instanz eines Diensts abhängig ist, entsteht dadurch ein Single Point of Failure. Durch Bereitstellen mehrerer Instanzen wird Ihr System stabiler und besser skalierbar.

Wählen Sie für Azure App Service einen App Service-Plan aus, der mehrere Instanzen bietet. Konfigurieren Sie für Azure Cloud Services alle Rollen so, dass sie mehrere Instanzen verwenden. Stellen Sie für Azure Virtual Machines (VMs) sicher, dass die VM-Architektur mehr als eine VM enthält und dass jede VM zu einer Verfügbarkeitsgruppe gehört. Sie sollten Virtual Machine Scale Sets für Funktionen zur automatischen Skalierung verwenden.

Tiefgehende Verteidigung

Hinter der tiefgehenden Verteidigung steht die Idee, dem Risiko mit verschiedenen Verteidigungsstrategien zu begegnen. Abwehrmaßnahmen in die Schichten einer Anwendung zu integrieren reduziert die Wahrscheinlichkeit eines erfolgreichen Angriffs. Sie sollten sichere Entwürfe für Ihre Anwendungen mithilfe der integrierten Funktionen der Azure-Plattform implementieren.

Das Risiko von Angriffen steigt z.B. mit der Größe (Oberflächenbereich) der Anwendung. Sie können den Oberflächenbereich durch Verwendung einer Genehmigungsliste verringern, um den verfügbar gemachten IP-Adressraum und die Überwachungsports zu schließen, die im Lastenausgleichsmodul (Azure Load Balancer und Azure Application Gateway) nicht mehr benötigt werden. Durch Netzwerksicherheitsgruppen (NSGs) kann die angreifbare Oberfläche ebenfalls reduziert werden. Sie können mit Diensttags und Anwendungssicherheitsgruppen das Erstellen von Sicherheitsregeln weniger komplex machen und Netzwerksicherheit als natürliche Erweiterung der Struktur einer Anwendung konfigurieren. Darüber hinaus können Sie Azure DDoS-Lösung für Microsoft Sentinel verwenden, um auslösende DDoS-Quellen zu lokalisieren und sie daran zu hindern, andere, komplexe Angriffe wie Datendiebstahl zu starten.

Sie sollten Azure-Dienste nach Möglichkeit in einem virtuellen Netzwerk bereitstellen. Mit dieser Methode können Dienstressourcen über private IP-Adressen kommunizieren. Standardmäßig werden für Datenverkehr von Azure-Diensten aus einem virtuellen Netzwerk öffentliche IP-Adressen als Quell-IP-Adressen verwendet. Bei Verwendung von Dienstendpunkten wechselt der Dienstdatenverkehr zu privaten Adressen im virtuellen Netzwerk als Quell-IP-Adressen, wenn aus einem virtuellen Netzwerk auf den Azure-Dienst zugegriffen wird.

Häufig werden lokale Ressourcen von Kunden zusammen mit ihren Azure-Ressourcen angegriffen. Wenn Sie die Verbindung einer lokalen Umgebung mit Azure herstellen, sollten Sie dem öffentlichen Internet lokale Ressourcen so wenig wie möglich verfügbar machen. Sie können die Skalierungsfunktionen und erweiterten Funktionen zum DDoS-Schutz von Azure durch Bereitstellung Ihrer gut bekannten öffentlichen Entitäten in Azure verwenden. Da diese öffentlich zugänglichen Entitäten häufig ein Ziel von DDoS-Angriffen sind, reduziert ihre Unterbringung in Azure die Auswirkungen auf Ihre lokalen Ressourcen.

Nächste Schritte

• Weitere Informationen zur Geschäftskontinuität.