Alkalmazás (7. réteg) DDoS-védelem

  • Cikk

Az Azure WAF számos védelmi mechanizmussal rendelkezik, amelyek segíthetnek megelőzni az elosztott szolgáltatásmegtagadási (DDoS-) támadásokat. A DDoS-támadások mindkét hálózati rétegre (L3/L4) vagy alkalmazásrétegre (L7) irányulhatnak. Az Azure DDoS védelmet nyújt az ügyfeleknek a nagy hálózati rétegbeli mennyiségi támadások ellen. A 7. rétegben működő Azure WAF védi a webalkalmazásokat az L7 DDoS-támadások, például a HTTP-árvizek ellen. Ezek a védelem megakadályozhatja, hogy a támadók elérjék az alkalmazást, és befolyásolják az alkalmazás rendelkezésre állását és teljesítményét.

Hogyan védheti meg szolgáltatásait?

Ezek a támadások a webalkalmazási tűzfal (WAF) hozzáadásával vagy a DDoS szolgáltatás elé helyezésével enyhíthetők a rossz kérések kiszűrése érdekében. Az Azure a hálózati peremhálózaton, az Azure Front Door és az Application Gateway adatközpontjaiban futó WAF-et kínál. Ezek a lépések egy általánosított lista, amelyet az alkalmazáskövetelmény-szolgáltatásnak megfelelően kell módosítani.

  • Az Azure Web Application Firewall (WAF) üzembe helyezése az Azure Front Door Premium vagy az Application Gateway WAF v2 termékváltozatával az L7-es alkalmazásréteg-támadások elleni védelem érdekében.
  • Skálázza fel a forráspéldányok számát, hogy elegendő szabad kapacitás legyen.
  • Engedélyezze az Azure DDoS Protectiont a forrásként szolgáló nyilvános IP-címeken, hogy megvédje a nyilvános IP-címeket a 3. réteg (L3) és a 4. réteg (L4) DDoS-támadásokkal szemben. Az Azure DDoS-ajánlatai automatikusan védik a legtöbb webhelyet az L3 és L4 kötetes támadásoktól, amelyek nagy mennyiségű csomagot küldenek egy webhely felé. Az Azure emellett az Azure-ban üzemeltetett összes hely infrastruktúraszintű védelmét is biztosítja alapértelmezés szerint.

Azure WAF és Azure Front Door

Az Azure WAF számos olyan funkcióval rendelkezik, amelyek számos különböző típusú támadás enyhítésére használhatók, például HTTP-árvizek, gyorsítótár-megkerülések, botnetek által indított támadások.

  • A robotvédelem felügyelt szabálykészletének használatával védheti az ismert rossz robotokat. További információ: Robotvédelem konfigurálása.

  • Sebességkorlátozások alkalmazásával megakadályozhatja, hogy az IP-címek túl gyakran hívják meg a szolgáltatást. További információ: Sebességkorlátozás.

  • Tiltsa le a rosszindulatúként azonosított IP-címeket és tartományokat. További információ: IP-korlátozások.

  • Letilthatja vagy átirányíthatja egy statikus weblapra egy meghatározott földrajzi régión kívülről vagy egy olyan meghatározott régióból érkező forgalmat, amely nem felel meg az alkalmazás forgalmi mintájának. További információ: Geoszűrés.

  • Egyéni WAF-szabályok létrehozásával automatikusan letilthatja és korlátozhatja az ismert aláírásokkal rendelkező HTTP- vagy HTTPS-támadásokat. Aláírás, például egy adott felhasználói ügynök vagy egy adott forgalmi minta, beleértve a fejléceket, a cookie-kat, a lekérdezési sztring paramétereit vagy több aláírás kombinációját.

A WAF-on kívül az Azure Front Door alapértelmezett Azure Infrastructure DDoS-védelmet is kínál az L3/4 DDoS-támadások elleni védelemhez. Az Azure Front Door gyorsítótárazásának engedélyezése segíthet elnyelni a hirtelen csúcsforgalmat a peremhálózaton, és védelmet nyújt a háttérrendszer támadásai ellen is.

Az Azure Front Door funkcióival és DDoS-védelmével kapcsolatos további információkért lásd: DDoS protection az Azure Front Dooron.

Azure WAF Azure-alkalmazás Gateway használatával

Javasoljuk, hogy az Application Gateway WAF v2 termékváltozatát használja, amely a legújabb funkciókkal rendelkezik, beleértve az L7 DDoS-kockázatcsökkentési funkciókat is az L7 DDoS-támadások elleni védelemhez.

Az Application Gateway WAF termékváltozatai számos L7 DDoS-támadás enyhítésére használhatók:

  • Állítsa be az Application Gatewayt automatikus vertikális felskálázásra, és ne kényszerítse ki a maximális példányok számát.

  • A robotvédelem felügyelt szabálykészletének használata védelmet nyújt az ismert rossz robotok ellen. További információ: Robotvédelem konfigurálása.

  • Sebességkorlátozások alkalmazásával megakadályozhatja, hogy az IP-címek túl gyakran hívják meg a szolgáltatást. További információ: Egyéni szabályok sebességkorlátozásának konfigurálása.

  • Tiltsa le a rosszindulatúként azonosított IP-címeket és tartományokat. További információkért tekintse meg a 2. verziós egyéni szabályok létrehozását és használatát ismertető példákat.

  • Letilthatja vagy átirányíthatja egy statikus weblapra egy meghatározott földrajzi régión kívülről vagy egy olyan meghatározott régióból érkező forgalmat, amely nem felel meg az alkalmazás forgalmi mintájának. További információkért tekintse meg a 2. verziós egyéni szabályok létrehozását és használatát ismertető példákat.

  • Egyéni WAF-szabályok létrehozásával automatikusan letilthatja és korlátozhatja az ismert aláírásokkal rendelkező HTTP- vagy HTTPS-támadásokat. Aláírások, például egy adott felhasználói ügynök vagy egy adott forgalmi minta, beleértve a fejléceket, a cookie-kat, a lekérdezési sztring paramétereit vagy több aláírás kombinációját.

Other considerations

  • Zárolja a nyilvános IP-címekhez való hozzáférést a forrásnál, és korlátozza a bejövő forgalmat, hogy csak az Azure Front Door vagy az Application Gateway felől érkező forgalmat engedélyezze a forráshoz. Tekintse meg az Azure Front Door útmutatását. Az Application Gatewayek virtuális hálózaton vannak üzembe helyezve, győződjön meg arról, hogy nincsenek nyilvánosan közzétett IP-címek.

  • Váltson WAF-szabályzatra a megelőzési módra. A szabályzat észlelési módban való üzembe helyezése csak a naplóban működik, és nem blokkolja a forgalmat. Miután ellenőrizte és tesztelte a WAF-szabályzatot éles forgalommal, és finomhangolást végzett a téves pozitív értékek csökkentése érdekében, a szabályzatot megelőzési módra (blokk/védelem mód) kell beállítania.

  • A forgalom figyelése az Azure WAF-naplók használatával bármilyen rendellenesség esetén. Létrehozhat egyéni szabályokat a jogsértő forgalom blokkolására – a gyanús IP-címek szokatlanul sok kérést küldenek, szokatlan felhasználói ügynök sztringet, rendellenes lekérdezési sztringmintákat stb.

  • Az ismert jogszerű forgalom waf-ját megkerülheti úgy, hogy az Egyéni szabályok egyeztetése művelettel engedélyezi a hamis pozitív értékek csökkentését. Ezeket a szabályokat magas prioritású (alacsonyabb numerikus értékkel) kell konfigurálni, mint más blokk- és sebességkorlátozási szabályokat.

  • Legalább olyan sebességkorlátozási szabvánnyal kell rendelkeznie, amely letiltja a kérések nagy arányát egyetlen IP-címről. Konfigurálhat például egy sebességkorlátozási szabályt, hogy egyetlen ügyfél IP-címe sem küldjön ablakonként xxx-nél nagyobb forgalmat a webhelyére. Az Azure WAF két ablakot támogat a kérelmek nyomon követéséhez, 1 és 5 perc. Javasoljuk, hogy az 5 perces időszakot használja a HTTP Flood-támadások jobb elhárításához. Ennek a szabálynak a legalacsonyabb prioritási szabálynak kell lennie (a prioritás sorrendje 1 a legmagasabb prioritás), így pontosabb sebességkorlátozási szabályok vagy egyező szabályok hozhatók létre a szabály előtt. Ha az Application Gateway WAF v2-t használja, további sebességkorlátozó konfigurációkat használhat az ügyfelek nyomon követésére és letiltására az ügyfél IP-címétől eltérő módszerekkel. Az Application Gateway waf sebességkorlátairól további információt a Sebességkorlátozás áttekintése című témakörben talál.

    Az alábbi Log Analytics-lekérdezés segíthet meghatározni a fenti szabályhoz használni kívánt küszöbértéket. Hasonló lekérdezés esetén, de az Application Gateway esetében cserélje le a "FrontdoorAccessLog" kifejezést az "ApplicationGatewayAccessLog" kifejezésre.

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • A felügyelt szabályok, amelyek nem közvetlenül a DDoS-támadások elleni védelemre irányulnak, védelmet nyújtanak más gyakori támadások ellen. További információ: Felügyelt szabályok (Azure Front Door) vagy felügyelt szabályok (Application Gateway) a különböző támadástípusokról, amelyek segíthetnek a védelemben.

WAF-naplóelemzés

A WAF-naplókat a Log Analyticsben az alábbi lekérdezéssel elemezheti.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

További információ: Azure WAF és Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

További információ: Azure WAF és Azure-alkalmazás Gateway.

Következő lépések