Share via

Onderdelen van een DDoS-reactiestrategie

  • Artikel

Een DDoS-aanval die gericht is op Azure-resources, vereist meestal minimale interventie vanuit het oogpunt van een gebruiker. Toch helpt het opnemen van DDoS-beperking als onderdeel van een strategie voor incidentrespons de impact op de bedrijfscontinuïteit te minimaliseren.

Bedreigingsinformatie van Microsoft

Microsoft heeft een uitgebreid netwerk voor bedreigingsinformatie. Dit netwerk maakt gebruik van de collectieve kennis van een uitgebreide beveiligingscommunity die ondersteuning biedt voor Microsoft onlineservices, Microsoft-partners en relaties binnen de internetbeveiligingscommunity.

Als provider van kritieke infrastructuur ontvangt Microsoft vroegtijdige waarschuwingen over bedreigingen. Microsoft verzamelt bedreigingsinformatie van zijn onlineservices en van het wereldwijde klantenbestand. Microsoft neemt al deze bedreigingsinformatie weer op in de Azure DDoS Protection-producten.

Ook voert de Microsoft DCU (Digital Crimes Unit) aanstootgevende strategieën uit tegen botnets. Botnets zijn een algemene bron van opdrachten en controle voor DDoS-aanvallen.

Risico-evaluatie van uw Azure-resources

Het is belangrijk om continu inzicht te hebben in de omvang van uw risico van een DDoS-aanval. Stel uzelf regelmatig de volgende vragen:

  • Welke nieuwe openbaar beschikbare Azure-resources moeten worden beveiligd?

  • Is er een Single Point of Failure in de service?

  • Hoe kunnen services worden geïsoleerd om de impact van een aanval te beperken en toch services beschikbaar te maken voor geldige klanten?

  • Zijn er virtuele netwerken waarvoor DDoS-beveiliging moet worden ingeschakeld, maar niet?

  • Zijn mijn services actief/actief met failover in meerdere regio's?

Het is essentieel dat u het normale gedrag van een toepassing begrijpt en u voorbereidt op actie als de toepassing zich niet gedraagt zoals verwacht tijdens een DDoS-aanval. U hebt monitors geconfigureerd voor uw bedrijfskritieke toepassingen die clientgedrag nabootsen en u waarschuwen wanneer er relevante afwijkingen worden gedetecteerd. Raadpleeg best practices voor bewaking en diagnostische gegevens om inzicht te krijgen in de status van uw toepassing.

Azure-toepassing Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Gebruik Application Insights om uw live webtoepassing te bewaken. Er worden automatisch prestatieafwijkingen gedetecteerd. Het bevat analysehulpprogramma's om u te helpen bij het diagnosticeren van problemen en om te begrijpen wat gebruikers met uw app doen. Het is bedoeld om u te helpen de prestaties en bruikbaarheid continu te verbeteren.

DDoS-antwoordteam van klanten

Het maken van een DDoS-antwoordteam is een belangrijke stap bij het snel en effectief reageren op een aanval. Identificeer contactpersonen in uw organisatie die toezicht houden op zowel de planning als de uitvoering. Dit DDoS-antwoordteam moet de Azure DDoS Protection-service grondig begrijpen. Zorg ervoor dat het team een aanval kan identificeren en beperken door te coördineren met interne en externe klanten, waaronder het Ondersteuningsteam van Microsoft.

We raden u aan simulatieoefeningen te gebruiken als een normaal onderdeel van uw servicebeschikbaarheid en continuïteitsplanning. Deze oefeningen moeten ook schaaltests omvatten. Zie Testen via simulaties voor meer informatie over het simuleren van DDoS-testverkeer op basis van uw openbare Azure-eindpunten.

Waarschuwingen tijdens een aanval

Azure DDoS Protection identificeert en beperkt DDoS-aanvallen zonder tussenkomst van de gebruiker. Als u een melding wilt ontvangen wanneer er een actieve beperking is voor een beveiligd openbaar IP-adres, kunt u waarschuwingen configureren.

Wanneer neemt u contact op met Microsoft-ondersteuning

Klanten van Azure DDoS Network Protection hebben toegang tot het DDoS Rapid Response (DRR)-team, dat kan helpen met aanvalsonderzoek tijdens een aanval en na een aanvalsanalyse. Zie DDoS Rapid Response voor meer informatie, waaronder wanneer u het DRR-team moet benaderen. Azure DDoS IP Protection-klanten moeten een aanvraag indienen om verbinding te maken met Microsoft-ondersteuning. Zie Een ondersteuningsaanvraag maken voor meer informatie.

Stappen na een aanval

Het is altijd een goede strategie om een postmortem uit te voeren na een aanval en de DDoS-antwoordstrategie zo nodig aan te passen. Aandachtspunten:

  • Was er een onderbreking in de service of gebruikerservaring vanwege een gebrek aan schaalbare architectuur?

  • Welke toepassingen of services hebben het meest geleden?

  • Hoe effectief was de DDoS-antwoordstrategie en hoe kan deze worden verbeterd?

Als u vermoedt dat u te maken hebt met een DDoS-aanval, escaleert u via uw normale Azure-ondersteuningskanalen.

Volgende stappen