praktik-praktik terbaik yang mendasar dari Azure DDoS Protection

Artikel ini menyediakan praktik terbaik untuk membangun layanan tangguh DDoS di Azure. Gunakan panduan ini untuk melindungi aplikasi Anda dengan Azure DDoS Protection di seluruh area pemilihan tingkat, desain keamanan, skalabilitas, pertahanan berlapis, pemantauan, pengujian, dan perencanaan respons.

Pilih tingkat perlindungan yang tepat

Azure DDoS Protection menawarkan dua tingkatan agar sesuai dengan kebutuhan perlindungan yang berbeda:

• DDoS IP Protection: Per-IP perlindungan untuk sejumlah kecil alamat IP publik. Terbaik untuk penyebaran kecil yang membutuhkan perlindungan DDoS inti tanpa fitur canggih.
• DDoS Network Protection: Perlindungan yang ditingkatkan untuk sumber daya jaringan virtual dengan fitur tambahan termasuk dukungan DDoS Rapid Response (DRR), jaminan perlindungan biaya, dan diskon firewall aplikasi web (WAF).

Evaluasi persyaratan Anda berdasarkan jumlah sumber daya IP publik, kebutuhan akan dukungan DDoS Rapid Response, dan kebutuhan perlindungan biaya. Untuk perbandingan terperinci tentang fitur, batasan, dan harga antara dua tingkatan, lihat Perbandingan tingkat Azure DDoS Protection.

Desain untuk keamanan

Pastikan bahwa keamanan merupakan prioritas di seluruh siklus hidup aplikasi, mulai dari desain dan implementasi hingga penyebaran dan operasi. Aplikasi dapat memiliki bug yang memungkinkan volume permintaan yang relatif rendah untuk menggunakan sejumlah besar sumber daya, yang mengakibatkan pemadaman layanan.

Untuk melindungi layanan Anda di Azure:

• Memahami arsitektur aplikasi Anda: Fokus pada lima pilar kualitas perangkat lunak. Ketahui volume lalu lintas khas Anda, model konektivitas antara aplikasi Anda dan aplikasi lain, dan titik akhir layanan yang terekspos ke internet publik.
• Rencanakan penolakan layanan: Pastikan bahwa aplikasi cukup tangguh untuk menangani penolakan layanan yang ditargetkan pada lapisan aplikasi, seperti banjir HTTP.
• Praktik pengembangan keamanan: Keamanan dan privasi dibangun ke dalam platform Azure, dimulai dengan Security Development Lifecycle (SDL). SDL membahas keamanan di setiap fase pengembangan dan memastikan bahwa Azure terus diperbarui untuk membuatnya lebih aman.
• Ikuti dasar keamanan Azure: Tinjau dasar keamanan Azure untuk DDoS Protection guna menyelaraskan konfigurasi Anda dengan tolok ukur keamanan cloud Microsoft.

Desain untuk skalabilitas

Skalabilitas adalah seberapa baik sistem dapat menangani peningkatan beban. Desain aplikasi Anda untuk menskalakan secara horizontal guna memenuhi permintaan beban yang meningkat, khususnya jika terjadi serangan DDoS. Jika aplikasi Anda bergantung pada satu instans layanan, itu akan membuat satu titik kegagalan. Penyediaan beberapa instans membuat sistem Anda lebih tangguh dan lebih terukur.

Pertimbangkan strategi skalabilitas berikut:

• Azure App Service: Pilih paket App Service yang menawarkan beberapa instans. Konfigurasikan aturan skala otomatis untuk menskalakan secara otomatis berdasarkan metrik seperti penggunaan CPU atau jumlah permintaan.
• Azure Virtual Machines: Pastikan arsitektur komputer virtual Anda mencakup lebih dari satu komputer virtual dan setiap komputer virtual disertakan dalam set ketersediaan . Gunakan Virtual Machine Scale Sets untuk kemampuan penskalaan otomatis.
• Caching dan distribusi beban: Gunakan Azure Front Door untuk penyeimbangan beban global, pelepasan beban SSL, dan penembolokan konten statis. Cache mengurangi beban pada sumber daya backend dan meminimalkan dampak lonjakan lalu lintas.
• Azure Load Balancer: Menyeimbangkan lalu lintas di beberapa instans dengan untuk mencegah sumber daya tunggal dibebani secara berlebihan.

Untuk arsitektur perlindungan DDoS yang direkomendasikan untuk jenis beban kerja umum, lihat Arsitektur referensi DDoS Protection.

Menerapkan pertahanan multilapis

Strategi pertahanan mendalam menggunakan beberapa lapisan keamanan untuk mengurangi risiko serangan yang berhasil. Gunakan kemampuan bawaan platform Azure untuk menerapkan desain aman untuk aplikasi Anda.

Mengurangi permukaan serangan

Kurangi paparan Anda dengan meminimalkan area permukaan yang dapat diakses publik:

• Gunakan Azure Private Link untuk mengakses layanan PaaS Azure melalui titik akhir privat di jaringan virtual Anda, menghilangkan paparan internet publik.
• Gunakan daftar izinkan untuk membatasi ruang alamat IP yang diekspos dan port mendengarkan yang tidak diperlukan pada load balancer (Azure Load Balancer dan Azure Application Gateway).
• Gunakan kelompok keamanan jaringan (NSG) untuk membatasi lalu lintas.
• Gunakan tag layanan dan kelompok keamanan aplikasi untuk menyederhanakan pembuatan aturan keamanan dan mengonfigurasi keamanan jaringan sebagai ekstensi alami dari struktur aplikasi.
• Sebarkan layanan Azure dalam jaringan virtual jika memungkinkan sehingga sumber daya layanan berkomunikasi melalui alamat IP privat. Gunakan titik akhir layanan untuk mengalihkan lalu lintas layanan untuk menggunakan alamat privat jaringan virtual sebagai alamat IP sumber.

Melindungi lapisan jaringan (L3/L4)

Azure DDoS Protection memberikan perlindungan otomatis terhadap serangan volumetrik lapisan jaringan (L3/L4), protokol, dan lapisan sumber daya. Kemampuan utama meliputi:

• Pemantauan lalu lintas yang selalu aktif: DDoS Protection memantau pola lalu lintas aplikasi Anda untuk mendeteksi anomali. Perlindungan diaktifkan secara otomatis saat lalu lintas melebihi ambang batas.
• Penyesuaian waktu nyata adaptif: DDoS Protection memantau lalu lintas aplikasi Anda seiring waktu dan memilih profil mitigasi yang paling cocok untuk layanan Anda.
• integrasi Azure Firewall: Menggabungkan Azure Firewall dengan DDoS Protection dalam jaringan virtual untuk menyediakan pemfilteran lapisan jaringan tambahan dan inteligensi ancaman. Untuk panduan arsitektur, lihat arsitektur referensi Azure Firewall dan DDoS Protection.

Melindungi lapisan aplikasi (L7)

Azure DDoS Protection berfokus pada serangan lapisan jaringan (L3/L4). Untuk serangan lapisan aplikasi (L7) seperti banjir HTTP dan slowloris, gabungkan DDoS Protection dengan firewall aplikasi web (WAF):

• Sebarkan Azure Web Application Firewall pada Azure Front Door atau Azure Application Gateway untuk melindungi dari serangan L7.
• Gunakan aturan kustom WAF untuk pembatasan tarif untuk mendeteksi dan memblokir lalu lintas berbahaya secara otomatis.
• Aktifkan perlindungan bot untuk memblokir bot berbahaya yang diketahui.
• Gunakan pemfilteran geografis untuk membatasi lalu lintas dari wilayah tempat Anda tidak mengharapkan pengguna yang sah.

Untuk panduan terperinci tentang strategi pertahanan DDoS lapisan aplikasi, lihat Perlindungan DDoS Aplikasi.

Integrasikan dengan Microsoft Sentinel

Gunakan Azure DDoS Solution untuk Microsoft Sentinel untuk mengidentifikasi sumber DDoS yang menyinggung, menghubungkan data serangan dengan peristiwa keamanan lainnya, dan mencegah penyerang melakukan pivot ke jenis serangan lainnya, seperti penyelundupan data.

Melindungi lingkungan hibrid

Jika Anda menghubungkan lingkungan lokal ke Azure, minimalkan paparan sumber daya lokal ke internet publik. Gunakan skala dan kemampuan perlindungan DDoS tingkat lanjut Azure dengan menyebarkan entitas publik terkenal Anda di Azure. Karena entitas yang dapat diakses publik ini sering menjadi target serangan DDoS, menempatkannya di Azure mengurangi dampak pada sumber daya lokal Anda.

Mengonfigurasi pemantauan dan pemberitahuan

Siapkan pemantauan dan pemberitahuan untuk mendeteksi serangan DDoS dengan cepat dan memahami status perlindungan Anda:

• Mengonfigurasi peringatan metrik: Membuat peringatan pada metrik utama DDoS Protection, seperti Apakah sedang diserang oleh DDoS atau tidak, Paket masuk yang diblokir DDoS, dan paket SYN masuk untuk memicu mitigasi DDoS. Pemberitahuan segera memberi tahu Anda ketika serangan terdeteksi. Untuk instruksi langkah demi langkah, lihat Konfigurasi pemberitahuan metrik DDoS Protection Azure.
• Tampilkan pemberitahuan di Microsoft Defender for Cloud: DDoS Protection secara otomatis mengirim pemberitahuan mitigasi ke Microsoft Defender for Cloud saat serangan terdeteksi. Gunakan Defender untuk Cloud untuk mendapatkan tampilan terpadu pemberitahuan DDoS bersama pemberitahuan keamanan lainnya. Untuk informasi selengkapnya, lihat Tampilkan pemberitahuan DDoS Protection Azure di Microsoft Defender for Cloud.
• Aktifkan pembuatan log diagnostik: Aktifkan log diagnostik untuk mengambil laporan mitigasi DDoS, log alur, dan pemberitahuan. Gunakan log ini untuk analisis pasca serangan dan audit kepatuhan.
• Tinjau telemetri DDoS Protection: Gunakan metrik dan log diagnostik untuk memahami pola lalu lintas selama serangan dan mengevaluasi efektivitas mitigasi. Untuk panduan pemantauan terperinci, lihat Monitor Azure DDoS Protection.
• performa aplikasi Monitor: Gunakan Azure Application Insights untuk memantau aplikasi web Anda dan mendeteksi anomali performa. Memahami perilaku normal aplikasi Anda membantu Anda mengidentifikasi degradasi selama serangan DDoS. Untuk panduan terperinci, lihat strategi respons DDoS.

Menguji dan memvalidasi perlindungan Anda

Uji perlindungan DDoS Anda secara teratur untuk memvalidasi bahwa aplikasi Anda dan pemberitahuan berfungsi seperti yang diharapkan selama serangan:

• Jalankan pengujian simulasi: Gunakan mitra pengujian yang disetujui Microsoft untuk mensimulasikan serangan DDoS terhadap titik akhir Azure Anda. Simulasi membantu memvalidasi konfigurasi perlindungan, penyiapan pemberitahuan, dan prosedur respons Anda.
• Tinjau hasil pengujian: Setelah simulasi, tinjau metrik DDoS Protection dan log diagnostik untuk mengonfirmasi bahwa kebijakan mitigasi dipicu dengan benar.

Untuk mitra pengujian, prasyarat, dan instruksi langkah demi langkah, lihat Menguji melalui simulasi.

Merencanakan strategi respons DDoS Anda

Tetapkan rencana respons yang jelas sebelum serangan terjadi untuk memastikan respons yang cepat dan efektif:

• Membangun tim respons DDoS: Tetapkan anggota tim yang bertanggung jawab untuk mengoordinasikan respons terhadap serangan. Sertakan anggota dari tim jaringan, aplikasi, dan operasi.
• Libatkan DDoS Rapid Response (DRR): Dengan DDoS Network Protection, Anda dapat melibatkan tim DDoS Rapid Response selama serangan aktif untuk analisis investigasi dan pasca-serangan.
• Dokumen dan latihan: Buat runbook, tentukan jalur eskalasi, dan latihan respons Anda terhadap serangan DDoS. Tinjau dan perbarui paket respons Anda secara teratur.

Untuk panduan terperinci tentang membangun strategi respons Anda, lihat Strategi respons DDoS.

Langkah berikutnya

• Tentang perbandingan lapisan Azure DDoS Protection
• Arsitektur referensi Perlindungan DDoS
• Monitor Azure DDoS Protection
• Mengonfigurasi pemberitahuan metrik untuk Azure DDoS Protection
• Menguji melalui simulasi
• Strategi respons DDoS
• Perlindungan DDoS aplikasi
• Pengoptimalan biaya DDoS Protection