Protection DDoS d’application (couche 7)

Azure WAF offre plusieurs mécanismes de défense qui peuvent contribuer à empêcher les attaques par déni de service distribué (DDoS). Les attaques DDoS peuvent cibler à la fois la couche réseau (L3/L4) ou la couche Application (L7). Azure DDoS protège le client contre les attaques volumétriques de la couche réseau de grande ampleur. Azure WAF fonctionnant au niveau de la couche 7 protège les applications web contre les attaques DDoS L7 telles que les saturations HTTP. Ces défenses peuvent empêcher les attaquants d’atteindre votre application et de nuire à la disponibilité et au niveau de performance de celle-ci.

Comment pouvez-vous protéger vos services ?

Ces attaques peuvent être atténuées en ajoutant Web Application Firewall (WAF) ou en plaçant DDoS devant le service pour filtrer les demandes incorrectes. Azure propose un WAF s’exécutant en périphérie du réseau avec Azure Front Door et dans des centres de données avec Application Gateway. Ces étapes sont une liste généralisée et doivent être ajustées pour répondre aux besoins de votre service d’application.

• Déployez Azure Web Application Firewall (WAF) avec Azure Front Door Premium ou référence SKU Application Gateway WAF v2 pour vous protéger contre les attaques de la couche Application L7.
• Effectuez un scale-up de votre nombre d’instances d’origine afin de disposer d’une capacité inutilisée suffisante.
• Activez Azure DDoS Protection sur les adresses IP publiques d’origine pour protéger vos adresses IP publiques contre les attaques DDoS de couche 3(L3) et de couche 4(L4). Les offres DDoS d’Azure peuvent protéger automatiquement la plupart des sites contre les attaques volumétriques L3 et L4 qui envoient un grand nombre de paquets vers un site web. Azure offre également une protection au niveau de l’infrastructure à tous les sites hébergés sur Azure par défaut.

Azure WAF avec Azure Front Door

Azure WAF dispose de nombreuses fonctionnalités qui peuvent être utilisées pour atténuer de nombreux types d’attaques, tels que des inondations HTTP, des contournements du cache, des attaques lancées par des botnets.

• Utilisez un ensemble de règles managées de protection bot pour vous protéger contre des bots malveillants connus. Pour plus d’informations, consultez Configurer la protection des bots.

• Appliquez des limitations du débit pour empêcher les adresses IP d’appeler votre service trop fréquemment. Pour plus d’informations, consultez Limitation des tarifs.

• Bloquez les adresses IP et les plages que vous identifiez comme malveillantes. Pour plus d'informations, consultez Restrictions sur les IP.

• Bloquez ou redirigez vers une page web statique tout trafic provenant de l’extérieur d’une région géographique définie ou d’une région définie qui ne correspond pas au modèle de trafic d’application. Pour plus d’informations, consultez Géo-filtrage.

• Créez des règles WAF personnalisées pour automatiquement bloquer et limiter le débit des attaques HTTP ou HTTPS aux signatures connues. Signature telle qu’un agent-utilisateur spécifique ou un modèle de trafic spécifique comprenant des en-têtes, des cookies, des paramètres de chaîne de requête ou une combinaison de plusieurs signatures.

Au-delà du WAF, Azure Front Door offre également une protection DDoS d’infrastructure Azure par défaut pour vous protéger contre les attaques DDoS L3/4. L’activation de la mise en cache sur Azure Front Door peut vous permettre d’absorber des pics soudains de trafic en périphérie et de protéger également les origines du back-end contre des attaques.

Pour plus d’informations sur les fonctionnalités et la protection DDoS sur Azure Front Door, consultez Protection DDoS sur Azure Front Door.

Azure WAF avec Azure Application Gateway

Nous vous recommandons d’utiliser la référence SKU Application Gateway référence WAF v2 fournie avec les dernières fonctionnalités, y compris les fonctionnalités d’atténuation DDoS L7, pour se défendre contre des attaques par déni de service (DDoS) L7.

Les références SKU Application Gateway WAF peuvent être utilisées pour atténuer de nombreuses attaques DDoS L7 :

• Définissez votre Application Gateway pour effectuer un scale-up automatique et ne pas appliquer le nombre maximal d’instances.

• Utilisez l’ensemble de règles managées de protection bot fournit une protection contre les bots malveillants connus. Pour plus d’informations, consultez Configurer la protection des bots.

• Appliquez des limitations du débit pour empêcher les adresses IP d’appeler votre service trop fréquemment. Pour plus d’informations, consultez Configuration de règles de limitation du débit personnalisées.

• Bloquez les adresses IP et les plages que vous identifiez comme malveillantes. Pour plus d’informations, consultez les exemples dans Créer et utiliser des règles personnalisées v2.

• Bloquez ou redirigez vers une page web statique tout trafic provenant de l’extérieur d’une région géographique définie ou d’une région définie qui ne correspond pas au modèle de trafic d’application. Pour plus d’informations, consultez les exemples dans Créer et utiliser des règles personnalisées v2.

• Créez des règles WAF personnalisées pour automatiquement bloquer et limiter le débit des attaques HTTP ou HTTPS aux signatures connues. Signatures telles qu’un agent-utilisateur spécifique ou un modèle de trafic spécifique comprenant des en-têtes, des cookies, des paramètres de chaîne de requête ou une combinaison de plusieurs signatures.

Autres éléments à prendre en compte

• Verrouillez l’accès aux adresses IP publiques sur l’origine et limitez le trafic entrant pour autoriser uniquement le trafic provenant d’Azure Front Door ou d’Application Gateway vers l’origine. Reportez-vous aux conseils sur Azure Front Door. Les passerelles Application Gateway sont déployées dans un réseau virtuel. Vérifiez qu’il n’y a pas d’adresses IP publiquement exposées.

• Basculez une stratégie WAF vers le mode de prévention. Le déploiement de la stratégie en mode de détection fonctionne dans le mode journal uniquement et ne bloque pas le trafic. Après avoir vérifié et testé votre stratégie WAF avec le trafic de production et le réglage précis pour réduire les faux positifs, vous devez passer la stratégie en mode Prévention (mode bloquer/défendre).

• Supervisez le trafic à l’aide des journaux d’activité Azure WAF pour détecter toute anomalie. Vous pouvez créer des règles personnalisées pour bloquer tout trafic incriminé : adresses IP suspectes envoyant un nombre anormalement élevé de demandes, chaîne d’agent utilisateur inhabituelle, modèles de chaîne de requête anormaux, etc.

• Vous pouvez contourner le WAF pour le trafic légitime connu en créant des règles de correspondance personnalisées avec l’action Autoriser pour réduire les faux positifs. Ces règles doivent être configurées avec une priorité élevée (valeur numérique inférieure) par rapport aux autres règles de limitation du débit et de bloc.

• Vous avez besoin au minimum d’une règle de limitation du débit qui bloque le taux élevé de requêtes provenant de toute adresse IP unique. Par exemple, vous pouvez configurer une règle de limitation du débit pour ne pas autoriser une seule adresse IP du client à envoyer plus de XXX trafic par fenêtre à votre site. Azure WAF prend en charge deux fenêtres pour le suivi des demandes : 1 et 5 minutes. Il est recommandé d’utiliser la fenêtre de 5 minutes pour une meilleure atténuation des attaques par saturation HTTP. Cette règle doit être la règle de priorité la plus basse (la priorité est ordonnée avec 1 étant la priorité la plus élevée), afin que des règles de limitation du débit ou des règles de correspondance plus spécifiques puissent être créées pour correspondre avant cette règle. Si vous utilisez le pare-feu d’applications web (WAF) d’Application Gateway v2, vous pouvez utiliser des configurations de limitation du débit supplémentaires pour suivre et bloquer les clients par des méthodes autres que l’adresse IP du client. Pour plus d’informations sur les limitations du débit sur le pare-feu d’applications web (WAF) sur Application Gateway, consultez Vue d’ensemble de la limitation du débit.

  La requête Log Analytics suivante peut être utile pour déterminer le seuil que vous devez utiliser pour la règle ci-dessus. Pour une requête similaire avec Application Gateway, remplacez « FrontdoorAccessLog » par « ApplicationGatewayAccessLog ».

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• Les règles managées qui ne sont pas directement ciblées pour des défenses contre des attaques DDoS fournissent une protection contre d’autres attaques courantes. Si vous souhaitez obtenir plus d’informations, consultez Règles managées (Azure Front Door) ou Règles managées (Application Gateway) pour en savoir plus sur les différents types d’attaques contre lesquelles ces règles peuvent vous protéger.

Analyse du journal SMA

Vous pouvez analyser les journaux WAF dans Log Analytics avec la requête qui suit.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Pour plus d’informations, consultez Azure WAF avec Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Pour plus d’informations, consultez Azure WAF avec Azure Application Gateway.

Étapes suivantes

• Créez une stratégie WAF pour Azure Front Door.

• Créez une passerelle d’application avec un pare-feu d’applications web.

• Découvrez comment Azure Front Door peut vous aider à vous protéger contre les attaques DDoS.

• Protégez votre passerelle applicative avec la Protection réseau Azure DDoS.

• Découvrez le service Azure DDoS Protection.