Onderdelen van een DDoS-reactiestrategie
Een DDoS-aanval die is gericht op Azure-resources, vereist meestal minimale tussenkomst vanuit het oogpunt van een gebruiker. Het integreren van DDoS-risicobeperking als onderdeel van een strategie voor het reageren op incidenten helpt de impact op bedrijfscontinuïteit te minimaliseren.
Bedreigingsinformatie van Microsoft
Microsoft heeft een uitgebreid netwerk voor bedreigingsinformatie. Dit netwerk maakt gebruik van de collectieve kennis van een uitgebreide beveiligingscommunity die ondersteuning biedt voor Microsoft onlineservices, Microsoft-partners en relaties binnen de internetbeveiligingscommunity.
Als essentiële infrastructuurprovider ontvangt Microsoft vroegtijdige waarschuwingen over bedreigingen. Microsoft verzamelt bedreigingsinformatie van zijn onlineservices en van het wereldwijde klantenbestand. Microsoft neemt al deze bedreigingsinformatie weer op in de Azure DDoS Protection-producten.
Daarnaast voert de Microsoft Digital Crimes Unit (DCU) aanstootgevende strategieën uit tegen botnets. Botnets zijn een veelvoorkomende bron van opdracht en beheer voor DDoS-aanvallen.
Risico-evaluatie van uw Azure-resources
Het is noodzakelijk om het bereik van uw risico van een DDoS-aanval continu te begrijpen. Vraag uzelf regelmatig het volgende af:
Welke nieuwe openbaar beschikbare Azure-resources hebben beveiliging nodig?
Is er een single point of failure in de service?
Hoe kunnen services worden geïsoleerd om de impact van een aanval te beperken terwijl er nog steeds services beschikbaar worden gesteld voor geldige klanten?
Zijn er virtuele netwerken waar DDoS Protection moet worden ingeschakeld, maar niet?
Zijn mijn services actief/actief met failover in meerdere regio's?
Het is essentieel dat u het normale gedrag van een toepassing begrijpt en zich voorbereidt om te handelen als de toepassing zich niet gedraagt zoals verwacht tijdens een DDoS-aanval. Zorg ervoor dat monitors zijn geconfigureerd voor uw bedrijfskritieke toepassingen die clientgedrag nabootsen en u op de hoogte stellen wanneer relevante afwijkingen worden gedetecteerd. Raadpleeg best practices voor bewaking en diagnose om inzicht te krijgen in de status van uw toepassing.
Azure-toepassing Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Gebruik Application Insights om uw live webtoepassing te bewaken. Er worden automatisch prestatieafwijkingen gedetecteerd. Het bevat analysehulpprogramma's om u te helpen bij het diagnosticeren van problemen en om te begrijpen wat gebruikers doen met uw app. De service is bedoeld om u te helpen de prestaties en bruikbaarheid van uw apps continu te verbeteren.
Antwoordteam van klant-DDoS
Het maken van een DDoS-antwoordteam is een belangrijke stap in het snel en effectief reageren op een aanval. Identificeer contactpersonen in uw organisatie die toezicht houden op zowel de planning als de uitvoering. Dit DDoS-antwoordteam moet de Azure DDoS Protection-service grondig begrijpen. Zorg ervoor dat het team een aanval kan identificeren en beperken door te coördineren met interne en externe klanten, waaronder het Microsoft-ondersteuningsteam.
We raden u aan simulatieoefeningen te gebruiken als een normaal onderdeel van uw servicebeschikbaarheid en continuïteitsplanning. Deze oefeningen moeten onder andere het testen van de schaal omvatten. Bekijk de test via simulaties om te leren hoe u DDoS-testverkeer simuleert op basis van uw openbare Azure-eindpunten.
Waarschuwingen tijdens een aanval
Azure DDoS Protection identificeert en beperkt DDoS-aanvallen zonder tussenkomst van de gebruiker. Als u een melding wilt ontvangen wanneer er een actieve beperking is voor een beveiligd openbaar IP-adres, kunt u waarschuwingen configureren.
Wanneer contact op te nemen met Microsoft-ondersteuning
Klanten van Azure DDoS Network Protection hebben toegang tot het DRR-team (DDoS Rapid Response), die kunnen helpen bij het onderzoeken van aanvallen tijdens een aanvals- en post-aanvalsanalyse. Zie DDoS Rapid Response voor meer informatie, waaronder wanneer u het DRR-team moet benaderen. Klanten van Azure DDoS IP Protection moeten een aanvraag maken om verbinding te maken met Microsoft-ondersteuning. Zie Een ondersteuningsaanvraag maken voor meer informatie.
Stappen na aanvallen
Het is altijd een goede strategie om na een aanval een postmortem uit te voeren en zo nodig de DDoS-responsstrategie aan te passen. Aandachtspunten:
Was er sprake van een onderbreking van de service of gebruikerservaring vanwege een gebrek aan schaalbare architectuur?
Welke toepassingen of services hebben het meeste geleden?
Hoe effectief was de DDoS-responsstrategie en hoe kan deze worden verbeterd?
Als u vermoedt dat u onder een DDoS-aanval zit, escaleert u via uw normale Azure-ondersteuningskanalen.
Volgende stappen
- Meer informatie over het configureren van waarschuwingen voor metrische gegevens via de portal.
- Leer hoe u DDoS Rapid Response inschakelt.