Esercitazione: Test di simulazione della protezione DDoS di Azure

  • Articolo

È consigliabile testare i presupposti relativi al modo in cui i servizi rispondono a un attacco eseguendo simulazioni periodiche. Durante il test, verificare che i servizi o le applicazioni continuino a funzionare come previsto e che non ci siano interruzioni nell'esperienza dell'utente finale. Identificare le lacune sia dal punto di vista tecnologico che da quello dei processi e integrarle nella strategia di risposta DDoS. È consigliabile eseguire tali test in ambienti di staging o in ore non di punta per ridurre al minimo l'impatto sull'ambiente di produzione.

Le simulazioni consentono di:

  • Convalidare il modo in cui Protezione DDoS di Azure contribuisce a proteggere le risorse di Azure dagli attacchi DDoS.
  • Ottimizzare il processo di risposta agli eventi imprevisti durante un attacco DDoS.
  • Documentare la conformità DDoS.
  • Eseguire il training dei team di sicurezza di rete.

Criteri di test di simulazione DDoS di Azure

È possibile simulare solo gli attacchi usando i partner di test approvati:

  • BreakingPoint Cloud: generatore di traffico self-service in cui è possibile generare traffico contro endpoint pubblici con Protezione DDoS abilitata per le simulazioni.
  • MazeBolt:La piattaforma RADAR™ identifica continuamente e consente l'eliminazione delle vulnerabilità DDoS, in modo proattivo e senza interruzioni per le operazioni aziendali.
  • Red Button: team dedicato di esperti con cui collaborare per simulare scenari di attacco DDoS reali in un ambiente controllato.
  • RedDevice: un provider di test DDoS self-service o guidato con controllo in tempo reale.

Gli ambienti di simulazione dei partner di test vengono creati all'interno di Azure. È possibile simulare solo gli indirizzi IP pubblici ospitati in Azure che appartengono a una sottoscrizione di Azure personalizzata, che verranno convalidati dai partner prima del test. Inoltre, questi indirizzi IP pubblici di destinazione devono essere protetti in Protezione DDoS di Azure. Il test di simulazione consente di valutare lo stato corrente di idoneità, identificare le lacune nelle procedure di risposta agli eventi imprevisti e guidare l'utente nello sviluppo di una strategia di risposta DDoS appropriata.

Nota

BreakingPoint Cloud e Red Button sono disponibili solo per il cloud pubblico.

Per questa esercitazione si creerà un ambiente di test che include:

  • Un piano di protezione DDoS
  • Una rete virtuale
  • Un host Azure Bastion
  • Un servizio di bilanciamento del carico
  • Due macchine virtuali

Verranno quindi configurati i log di diagnostica e gli avvisi per monitorare gli attacchi e i modelli di traffico. Infine, si configurerà una simulazione di attacchi DDoS usando uno dei partner di test approvati.

Diagramma dell'architettura dell'ambiente di test di Protezione DDoS.

Prerequisiti

Configurare metriche e avvisi di Protezione DDoS

In questa esercitazione verranno configurate le metriche e gli avvisi di Protezione DDoS per monitorare gli attacchi e i modelli di traffico.

Configurare i log di diagnostica

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere Monitoraggio. Selezionare Monitoraggio nei risultati della ricerca.

  3. Selezionare Diagnostica Impostazioni in Impostazioni nel riquadro sinistro e quindi selezionare le informazioni seguenti nella pagina Impostazioni di diagnostica. Selezionare quindi Aggiungi impostazione di diagnostica.

    Screenshot delle impostazioni di diagnostica di monitoraggio.

    Impostazione Valore
    Subscription Selezionare la sottoscrizione che contiene l'indirizzo IP pubblico da registrare.
    Gruppo di risorse Selezionare il gruppo di risorse che contiene l'indirizzo IP pubblico da registrare.
    Tipo di risorsa Selezionare Indirizzi IP pubblici.
    Conto risorse Selezionare l'indirizzo IP pubblico specifico per cui registrare le metriche.

  4. Nella pagina Impostazioni di diagnostica, in Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics, quindi immettere le informazioni seguenti e quindi selezionare Salva.

    Screenshot delle impostazioni di diagnostica DDoS.

    Impostazione Valore
    Nome impostazioni di diagnostica Immettere myDiagnostic Impostazioni.
    Registri Selezionare allLogs.
    Metriche Selezionare AllMetrics.
    Dettagli destinazione Selezionare Invia all'area di lavoro Log Analytics.
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Area di lavoro Log Analytics Selezionare myLogAnalyticsWorkspace.

Configurare avvisi per le metriche

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere Avvisi. Selezionare Avvisi nei risultati della ricerca.

  3. Selezionare + Crea sulla barra di spostamento e quindi selezionare Regola di avviso.

    Screenshot della creazione di avvisi.

  4. Nella pagina Crea una regola di avviso selezionare + Selezionare l'ambito e quindi selezionare le informazioni seguenti nella pagina Selezionare una risorsa .

    Screenshot della selezione dell'ambito di avviso di attacco DDoS Protection.

    Impostazione Valore
    Filtra per sottoscrizione Selezionare la sottoscrizione che contiene l'indirizzo IP pubblico da registrare.
    Filtra per tipo di risorsa Selezionare Indirizzi IP pubblici.
    Conto risorse Selezionare l'indirizzo IP pubblico specifico per cui registrare le metriche.

  5. Selezionare Fine e quindi Avanti : Condizione.

  6. Nella pagina Condizione selezionare + Aggiungi condizione, quindi nella casella di ricerca Cerca per nome segnale cercare e selezionare In Attacco DDoS o meno.

    Screenshot dell'aggiunta della condizione di avviso di attacco DDoS Protection.

  7. Nella pagina Crea una regola di avviso immettere o selezionare le informazioni seguenti. Screenshot dell'aggiunta del segnale di avviso di attacco DDoS Protection.

    Impostazione Valore
    Threshold Lasciare il valore predefinito.
    Tipo di aggregazione Lasciare il valore predefinito.
    Operatore Selezionare Maggiore o uguale a.
    Unità Lasciare il valore predefinito.
    Valore soglia Immettere 1. Per la metrica Under DDoS attack (Sotto attacco DDoS) significa che 0 indica che non si è sotto attacco mentre 1 significa che si è sotto attacco.

  8. Selezionare Avanti: Azioni e quindi + Crea gruppo di azioni.

Creare gruppo di azioni

  1. Nella pagina Crea gruppo di azioni immettere le informazioni seguenti, quindi selezionare Avanti: Notifiche. Screenshot dell'aggiunta di nozioni di base sul gruppo di azioni di avviso di attacco protezione DDoS.

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure che contiene l'indirizzo IP pubblico che si vuole registrare.
    Gruppo di risorse Selezionare il gruppo di risorse.
    Paese Lasciare il valore predefinito.
    Gruppo di azioni Immettere myDDoSAlertsActionGroup.
    Nome visualizzato Immettere myDDoSAlerts.

  2. Nella scheda Notifiche, in Tipo di notifica, selezionare Messaggio di posta elettronica/SMS/Push/Voce. In Nome immettere myUnderAttackEmailAlert.

    Screenshot dell'aggiunta del tipo di notifica dell'avviso di attacco DDoS Protection.

  3. Nella pagina Messaggio di posta elettronica/SMS/Push/Voce selezionare la casella di controllo Posta elettronica e quindi immettere il messaggio di posta elettronica richiesto. Seleziona OK.

    Screenshot dell'aggiunta della pagina di notifica degli avvisi di attacco DDoS Protection.

  4. Selezionare Rivedi e crea e quindi Crea.

Continuare a configurare gli avvisi tramite il portale

  1. Selezionare Avanti: Dettagli.

    Screenshot dell'aggiunta della pagina dei dettagli dell'avviso di attacco DDoS Protection.

  2. Nella scheda Dettagli, in Dettagli regola di avviso immettere le informazioni seguenti.

    Impostazione Valore
    Gravità Selezionare 2 - Avviso.
    Nome regola di avviso Immettere myDDoSAlert.

  3. Selezionare Rivedi e crea e quindi crea dopo il passaggio della convalida.

Configurare una simulazione di attacchi DDoS

BreakingPoint Cloud

BreakingPoint Cloud è un generatore di traffico self-service in cui è possibile generare traffico sugli endpoint pubblici abilitati per protezione DDoS per le simulazioni.

BreakingPoint Cloud offre:

  • Un'interfaccia utente semplificata e un'esperienza predefinita.
  • Modello con pagamento in base al consumo.
  • I profili di ridimensionamento e durata dei test DDoS predefiniti consentono convalide più sicure eliminando il potenziale di errori di configurazione.
  • Un account di valutazione gratuito.

Nota

Per BreakingPoint Cloud, è prima necessario creare un account BreakingPoint Cloud.

Valori di attacco di esempio:

Esempio di simulazione di attacchi DDoS: BreakingPoint Cloud.

Impostazione Valore
Indirizzo IP di destinazione Immettere uno degli indirizzi IP pubblici da testare.
Numero porta Immettere 443.
Profilo DDoS I valori possibili includono DNS Flood, SSDP FloodNTPv2 Flood, TCP SYN Flood, UDP 64B Flood, UDP 128B Flood, UDP 256B Flood, UDP 1024B Flood. UDP 1514B FloodUDP MemcachedUDP 512B FloodUDP Fragmentation
Dimensioni test I valori possibili includono 100K pps, 50 Mbps and 4 source IPs, 200K pps, 100 Mbps and 8 source IPs, 400K pps, 200Mbps and 16 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Durata test I valori possibili includono 10 Minutes, 15 Minutes, 20 Minutes25 Minutes, , 30 Minutes.

Nota

  • Per altre informazioni sull'uso di BreakingPoint Cloud con l'ambiente Azure, vedere questo blog di BreakingPoint Cloud.
  • Per una dimostrazione video sull'uso di BreakingPoint Cloud, vedere DDoS Attack Simulation.For a video demo of utilizing BreakingPoint Cloud, see DDoS Attack Simulation.

Pulsante rosso

La suite di servizi DDoS Testing di Red Button include tre fasi:

  1. Sessione di pianificazione: gli esperti di Red Button si incontrano con il team per comprendere l'architettura di rete, assemblare i dettagli tecnici e definire obiettivi chiari e pianificazioni di test. Sono inclusi la pianificazione dell'ambito e degli obiettivi di test DDoS, dei vettori di attacco e dei tassi di attacco. Lo sforzo di pianificazione congiunta è dettagliato in un documento di piano di test.
  2. Attacco DDoS controllato: in base agli obiettivi definiti, il team di Pulsante rosso avvia una combinazione di attacchi DDoS a più vettori. Il test dura in genere da tre a sei ore. Gli attacchi vengono eseguiti in modo sicuro usando server dedicati e vengono controllati e monitorati tramite la console di gestione di Red Button.
  3. Riepilogo e raccomandazioni: il team del pulsante rosso fornisce un report di test DDoS scritto che delinea l'efficacia della mitigazione DDoS. Il report include un riepilogo esecutivo dei risultati dei test, un log completo della simulazione, un elenco di vulnerabilità all'interno dell'infrastruttura e consigli su come correggerli.

Di seguito è riportato un esempio di report di test DDoS dal pulsante rosso:

Esempio di report di test DDoS.

Inoltre, Red Button offre due altre suite di servizi, DDoS 360 e DDoS Incident Response, che possono integrare la suite di servizi DDoS Testing.

Redwolf

Red Carpet offre un sistema di test facile da usare che è self-service o guidato da esperti RedRoute. Il sistema di test Red Carpet consente ai clienti di configurare vettori di attacco. I clienti possono specificare dimensioni di attacco con controllo in tempo reale sulle impostazioni per simulare scenari di attacco DDoS reali in un ambiente controllato.

La suite di servizi di test DDoS di RedDevice include:

  • Vettori di attacco: attacchi cloud univoci progettati da RedDevice. Per altre informazioni sui vettori di attacco Red Wolf, vedere Dettagli tecnici.
  • Servizio guidato: sfruttare il team di RedDevice per eseguire i test. Per altre informazioni sul servizio guidato di Red Wolf, vedere Servizio guidato.
  • Self-service: sfruttare RedWol per eseguire i test manualmente. Per altre informazioni sul self-service di Red Wolf, vedere Self-service.

MazeBolt

La piattaforma RADAR™ identifica e abilita continuamente l'eliminazione delle vulnerabilità DDoS, in modo proattivo e senza interruzioni per le operazioni aziendali.

Passaggi successivi

Per visualizzare le metriche di attacco e gli avvisi dopo un attacco, continuare con queste esercitazioni successive.

Visualizzare gli avvisi in Defender per cloudVisualizzare i log di diagnostica nell'area di lavoroLog Analytics Interagire con Azure DDoS Rapid Response