Procedure consigliate fondamentali per Protezione DDoS di Azure

  • Articolo

Le sezioni seguenti forniscono indicazioni specifiche per la compilazione di servizi resilienti contro gli attacchi DDoS in Azure.

Progettare per la sicurezza

Assicurarsi che la sicurezza sia una priorità durante l'intero ciclo di vita di un'applicazione, dalle fasi di progettazione e implementazione alla fase di distribuzione e a quella operativa. Le applicazioni possono contenere bug che consentono a un volume relativamente basso di richieste di usare una quantità troppo elevata di risorse, provocando un'interruzione del servizio.

Per proteggere un servizio in esecuzione in Microsoft Azure, i clienti devono avere una buona conoscenza dell'architettura delle applicazioni e concentrarsi sui cinque punti chiave della qualità del software. I clienti devono conoscere i volumi di traffico tipici, il modello di connettività tra l'applicazione e le altre applicazioni e gli endpoint di servizio esposti a Internet pubblico.

Garantire che un'applicazione sia abbastanza resiliente da riuscire a gestire un attacco Denial of Service destinato all'applicazione stessa è di fondamentale importanza. Sicurezza e privacy sono integrate direttamente nella piattaforma di Azure, a partire dal processo Security Development Lifecycle (SDL). SDL si rivolge alla sicurezza in ogni fase di sviluppo e assicura che Azure sia continuamente aggiornato per renderlo ancora più sicuro. Per altre informazioni sull'ottimizzazione dell'efficacia con protezione DDoS, vedere Ottimizzare l'efficacia: Procedure consigliate per la protezione DDoS di Azure e la resilienza delle applicazioni.

Progettazione per la scalabilità

La scalabilità è la capacità di un sistema di gestire carichi elevati. progettare le applicazioni con scalabilità orizzontale per soddisfare la richiesta di un carico amplificato, in particolare in caso di attacco DDoS. Se l'applicazione dipende da una singola istanza di un servizio, crea un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.

Per Servizio app di Azure selezionare un piano di servizio app che offra più istanze. Per Servizi cloud di Azure, configurare ognuno dei ruoli in modo da usare più istanze. Per Macchine virtuali di Microsoft Azure verificare che l'architettura VM includa più macchine virtuali e che ogni macchina virtuale sia inclusa in un set di disponibilità. Si consiglia di usare set di scalabilità di macchine virtuali per le funzionalità di scalabilità automatica.

Difesa avanzata

L'idea che sta dietro alla difesa in profondità consiste nel gestire i rischi con diverse strategie difensive. La disposizione delle difese su più livelli in un'applicazione riduce le probabilità di riuscita degli attacchi. È consigliabile implementare progettazioni sicure per le applicazioni tramite le funzionalità integrate della piattaforma di Azure.

Ad esempio, il rischio di attacco aumenta con le dimensioni o la superficie di attacco dell'applicazione. È possibile ridurre la superficie di attacco usando un elenco di approvazione per chiudere lo spazio indirizzi IP esposto e le porte di ascolto non necessarie nei servizi di bilanciamento del carico (Azure Load Balancer e app Azure lication Gateway). I gruppi di sicurezza di rete (NSG) rappresentano un altro modo per ridurre la superficie di attacco. È possibile usare tag di servizio e gruppi di sicurezza dell'applicazione per ridurre la complessità per la creazione della regola di sicurezza e configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione. Inoltre, è possibile usare la soluzione Azure DDoS per Microsoft Sentinel per individuare le origini DDoS incriminate e bloccare l'avvio di altri attacchi sofisticati, ad esempio il furto di dati.

Distribuire i servizi di Azure in una rete virtuale, laddove possibile. Ciò consente alle risorse del servizio di comunicare attraverso indirizzi IP privati. Il traffico del servizio di Azure da una rete virtuale usa indirizzi IP pubblici come indirizzi IP di origine per impostazione predefinita. Tramite gli endpoint di servizio, il traffico del servizio passerà all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale.

Le risorse locali dei clienti che vengono spesso attaccate insieme alle risorse in Azure. Se si connette un ambiente locale ad Azure, è consigliabile ridurre al minimo l'esposizione delle risorse locali alla rete Internet pubblica. È possibile usare la scalabilità e le funzionalità di protezione DDoS avanzate di Azure distribuendo le entità pubbliche note in Azure. Poiché queste entità pubblicamente accessibili sono spesso una destinazione per gli attacchi DDoS, mettendole in Azure si riduce l'impatto sulle risorse locali.

Passaggi successivi