Perlindungan DDoS Aplikasi (Lapisan 7)

  • Artikel

Azure WAF memiliki beberapa mekanisme pertahanan yang dapat membantu mencegah serangan penolakan layanan terdistribusi (DDoS). Serangan DDoS dapat menargetkan pada lapisan jaringan (L3/L4) atau lapisan aplikasi (L7). Azure DDoS melindungi pelanggan dari serangan volumetrik lapisan jaringan besar. Azure WAF yang beroperasi di lapisan 7 melindungi aplikasi web dari serangan L7 DDoS seperti HTTP Floods. Pertahanan ini dapat mencegah penyerang menjangkau aplikasi Anda dan memengaruhi ketersediaan dan performa aplikasi Anda.

Bagaimana Anda dapat melindungi layanan Anda?

Serangan ini dapat dimitigasi dengan menambahkan Web Application Firewall (WAF) atau menempatkan DDoS di depan layanan untuk memfilter permintaan buruk. Azure menawarkan WAF yang berjalan di tepi jaringan dengan Azure Front Door dan di pusat data dengan Application Gateway. Langkah-langkah ini adalah daftar umum dan perlu disesuaikan agar sesuai dengan layanan persyaratan aplikasi Anda.

  • Sebarkan Azure Web Application Firewall (WAF) dengan Azure Front Door Premium atau Application Gateway WAF v2 SKU untuk melindungi dari serangan lapisan aplikasi L7.
  • Tingkatkan jumlah instans asal Anda sehingga ada kapasitas cadangan yang memadai.
  • Aktifkan Azure DDoS Protection pada IP publik asal untuk melindungi IP publik Anda dari serangan DDoS lapisan 3(L3) dan lapisan 4(L4). Penawaran DDoS Azure dapat secara otomatis melindungi sebagian besar situs dari serangan volumetrik L3 dan L4 yang mengirim sejumlah besar paket ke situs web. Azure juga menawarkan perlindungan tingkat infrastruktur ke semua situs yang dihosting di Azure secara default.

Azure WAF dengan Azure Front Door

Azure WAF memiliki banyak fitur yang dapat digunakan untuk mengurangi berbagai jenis serangan, seperti banjir HTTP, bypass Cache, serangan yang diluncurkan oleh botnet.

  • Gunakan aturan terkelola perlindungan bot yang ditetapkan untuk melindungi dari bot buruk yang diketahui. Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan bot.

  • Terapkan batas tarif untuk mencegah alamat IP memanggil layanan Anda terlalu sering. Untuk informasi selengkapnya, lihat Pembatasan tarif.

  • Blokir alamat IP, dan rentang yang Anda identifikasi sebagai berbahaya. Untuk informasi selengkapnya, lihat Pembatasan IP.

  • Blokir atau alihkan ke halaman web statis lalu lintas apa pun dari luar wilayah geografis yang ditentukan, atau dalam wilayah yang ditentukan yang tidak sesuai dengan pola lalu lintas aplikasi. Untuk informasi selengkapnya, lihat Pemfilteran lokasi geografis.

  • Buat aturan WAF kustom untuk memblokir dan membatasi serangan HTTP atau HTTPS secara otomatis yang memiliki tanda tangan yang diketahui. Tanda tangan seperti agen pengguna tertentu, atau pola lalu lintas tertentu termasuk header, cookie, parameter string kueri, atau kombinasi beberapa tanda tangan.

Selain WAF, Azure Front Door juga menawarkan perlindungan DDoS Infrastruktur Azure default untuk melindungi dari serangan DDoS L3/4. Mengaktifkan penembolokan di Azure Front Door dapat membantu menyerap volume lalu lintas puncak mendadak di tepi dan melindungi asal backend dari serangan juga.

Untuk informasi selengkapnya tentang fitur dan perlindungan DDoS di Azure Front Door, lihat Perlindungan DDoS di Azure Front Door.

Azure WAF dengan Azure Application Gateway

Sebaiknya gunakan Application Gateway WAF v2 SKU yang dilengkapi dengan fitur terbaru, termasuk fitur mitigasi L7 DDoS, untuk bertahan dari serangan L7 DDoS.

SKU WAF Application Gateway dapat digunakan untuk mengurangi banyak serangan DDoS L7:

  • Atur Application Gateway Anda untuk meningkatkan skala otomatis dan tidak memberlakukan jumlah instans maks.

  • Gunakan kumpulan aturan terkelola perlindungan bot memberikan perlindungan terhadap bot buruk yang diketahui. Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan bot.

  • Terapkan batas tarif untuk mencegah alamat IP memanggil layanan Anda terlalu sering. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan kustom pembatasan tarif.

  • Blokir alamat IP, dan rentang yang Anda identifikasi sebagai berbahaya. Untuk informasi selengkapnya, lihat contoh di Membuat dan menggunakan aturan kustom v2.

  • Blokir atau alihkan ke halaman web statis lalu lintas apa pun dari luar wilayah geografis yang ditentukan, atau dalam wilayah yang ditentukan yang tidak sesuai dengan pola lalu lintas aplikasi. Untuk informasi selengkapnya, lihat contoh di Membuat dan menggunakan aturan kustom v2.

  • Buat aturan WAF kustom untuk memblokir dan membatasi serangan HTTP atau HTTPS secara otomatis yang memiliki tanda tangan yang diketahui. Tanda tangan seperti agen pengguna tertentu, atau pola lalu lintas tertentu termasuk header, cookie, parameter string kueri, atau kombinasi beberapa tanda tangan.

Pertimbangan lain

  • Kunci akses ke IP publik di asal dan batasi lalu lintas masuk untuk hanya mengizinkan lalu lintas dari Azure Front Door atau Application Gateway ke asal. Lihat panduan tentang Azure Front Door. Application Gateway disebarkan dalam jaringan virtual, pastikan tidak ada IP yang diekspos secara publik.

  • Alihkan kebijakan WAF ke mode pencegahan. Menyebarkan kebijakan dalam mode deteksi hanya beroperasi di log dan tidak memblokir lalu lintas. Setelah memverifikasi dan menguji kebijakan WAF Anda dengan lalu lintas produksi dan menyempurnakan penyetelan untuk mengurangi positif palsu, Anda harus mengubah kebijakan ke mode Pencegahan (mode blok/pertahankan).

  • Pantau lalu lintas menggunakan log Azure WAF untuk anomali apa pun. Anda dapat membuat aturan kustom untuk memblokir lalu lintas yang menyinggung – IP yang dicurigai mengirim jumlah permintaan yang luar biasa tinggi, string agen pengguna yang tidak biasa, pola string kueri anomali, dll.

  • Anda dapat melewati WAF untuk lalu lintas yang sah yang diketahui dengan membuat Cocokkan Aturan Kustom dengan tindakan Izinkan untuk mengurangi positif palsu. Aturan ini harus dikonfigurasi dengan prioritas tinggi (nilai numerik yang lebih rendah) daripada aturan batas blok dan tarif lainnya.

  • Minimal, Anda harus memiliki aturan batas tarif yang memblokir tingkat permintaan yang tinggi dari satu alamat IP apa pun. Misalnya, Anda dapat mengonfigurasi aturan batas tarif untuk tidak mengizinkan satu alamat IP Klien untuk mengirim lebih dari lalu lintas XXX per jendela ke situs Anda. Azure WAF mendukung dua jendela untuk melacak permintaan, 1 dan 5 menit. Disarankan untuk menggunakan jendela 5 menit untuk mitigasi serangan BANJIR HTTP yang lebih baik. Aturan ini harus menjadi aturan prioritas terendah (prioritas diurutkan dengan 1 menjadi prioritas tertinggi), sehingga aturan Batas Tarif atau aturan Kecocokan yang lebih spesifik dapat dibuat agar sesuai sebelum aturan ini. Jika Anda menggunakan Application Gateway WAF v2, Anda dapat menggunakan konfigurasi pembatasan tarif tambahan untuk melacak dan memblokir klien dengan metode selain IP Klien. Informasi selengkapnya tentang Batas Tarif pada waf Application Gateway dapat ditemukan pada gambaran umum pembatasan tarif.

    Kueri Analitik Log berikut dapat membantu dalam menentukan ambang batas yang harus Anda gunakan untuk aturan di atas. Untuk kueri serupa tetapi dengan Application Gateway, ganti "FrontdoorAccessLog" dengan "ApplicationGatewayAccessLog".

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • Aturan terkelola meskipun tidak secara langsung ditargetkan untuk pertahanan terhadap serangan DDoS memberikan perlindungan terhadap serangan umum lainnya. Untuk informasi selengkapnya, lihat Aturan terkelola (Azure Front Door) atau Aturan terkelola (Application Gateway) untuk mempelajari selengkapnya tentang berbagai jenis serangan yang dapat membantu dilindungi aturan ini.

Analisis log WAF

Anda dapat menganalisis log WAF di Analitik Log dengan kueri berikut.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Untuk informasi selengkapnya, lihat Azure WAF dengan Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Untuk informasi selengkapnya, lihat Azure WAF dengan Azure Application Gateway.

Langkah berikutnya