Basisprocedures voor Azure DDoS Protection

  • Artikel

De volgende secties geven prescriptieve richtlijnen voor het bouwen van DDoS-tolerante services in Azure.

Ontwerpen voor beveiliging

Zorg ervoor dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing, van ontwerp en implementatie tot implementatie en bewerkingen. Toepassingen kunnen fouten hebben waardoor een relatief laag aantal aanvragen een coördinerende hoeveelheid resources kan gebruiken, wat resulteert in een servicestoring.

Als u een service wilt beveiligen die wordt uitgevoerd op Microsoft Azure, moet u een goed begrip hebben van uw toepassingsarchitectuur en zich richten op de vijf pijlers van softwarekwaliteit. U moet typische verkeersvolumes kennen, het connectiviteitsmodel tussen de toepassing en andere toepassingen en de service-eindpunten die beschikbaar zijn voor het openbare internet.

Het is belangrijk om ervoor te zorgen dat een toepassing flexibel genoeg is om een Denial of Service af te handelen die is gericht op de toepassing zelf. Beveiliging en privacy zijn ingebouwd in het Azure-platform, te beginnen met de SDL (Security Development Lifecycle). De SDL richt zich in elke ontwikkelingsfase op beveiliging en zorgt ervoor dat Azure voortdurend wordt bijgewerkt om deze nog veiliger te maken. Voor meer informatie over het maximaliseren van uw effectiviteit met behulp van DDoS Protection, raadpleegt u De effectiviteit maximaliseren: Aanbevolen procedures voor Azure DDoS Protection en Toepassingstolerantie.

Ontwerpen voor schaalbaarheid

Schaalbaarheid is hoe goed een systeem meer belasting kan verwerken. Ontwerp uw toepassingen om horizontaal te schalen om te voldoen aan de vraag naar een versterkte belasting, met name in het geval van een DDoS-aanval. Als uw toepassing afhankelijk is van één exemplaar van een service, wordt er één storingspunt gemaakt. Door meerdere exemplaren in te richten, is uw systeem toleranter en schaalbaarder.

Selecteer voor Azure-app Service een App Service-plan dat meerdere exemplaren biedt. Configureer voor Azure Cloud Services elk van uw rollen voor het gebruik van meerdere exemplaren. Zorg ervoor dat de architectuur van uw virtuele machine (VM) meer dan één VM bevat en dat elke VIRTUELE machine is opgenomen in een beschikbaarheidsset voor Azure Virtual Machines. U wordt aangeraden virtuele-machineschaalsets te gebruiken voor mogelijkheden voor automatisch schalen.

Diepgaande verdediging

Het idee achter diepgaande verdediging is het beheren van risico's met behulp van diverse defensieve strategieën. Door beveiligingsbeveiliging in een toepassing gelaagd te maken, vermindert u de kans op een geslaagde aanval. U wordt aangeraden veilige ontwerpen voor uw toepassingen te implementeren met behulp van de ingebouwde mogelijkheden van het Azure-platform.

Het risico op aanvallen neemt bijvoorbeeld toe met de grootte (oppervlakte) van de toepassing. U kunt het oppervlakgebied verminderen met behulp van een goedkeuringslijst om de beschikbare IP-adresruimte te sluiten en poorten te beluisteren die niet nodig zijn voor de load balancers (Azure Load Balancer en Azure-toepassing Gateway). Netwerkbeveiligingsgroepen (NSG's) zijn een andere manier om de kwetsbaarheid voor aanvallen te verminderen. U kunt servicetags en toepassingsbeveiligingsgroepen gebruiken om de complexiteit voor het maken van beveiligingsregels te minimaliseren en netwerkbeveiliging te configureren als een natuurlijke uitbreiding van de structuur van een toepassing. Daarnaast kunt u Azure DDoS Solution voor Microsoft Sentinel gebruiken om DDoS-bronnen aan te geven en te voorkomen dat ze andere, geavanceerde aanvallen starten, zoals gegevensdiefstal.

U moet Waar mogelijk Azure-services implementeren in een virtueel netwerk . Met deze procedure kunnen servicebronnen communiceren via privé-IP-adressen. Azure-serviceverkeer van een virtueel netwerk maakt standaard gebruik van openbare IP-adressen als bron-IP-adressen. Als u service-eindpunten gebruikt, verandert het serviceverkeer om privéadressen van een virtueel netwerk te gebruiken als de bron-IP-adressen wanneer ze toegang hebben tot de Azure-service vanuit een virtueel netwerk.

De on-premises resources van klanten worden vaak samen met hun resources in Azure aangevallen. Als u een on-premises omgeving verbindt met Azure, raden we u aan de blootstelling van on-premises resources aan het openbare internet te minimaliseren. U kunt de schaal en geavanceerde DDoS-beveiligingsmogelijkheden van Azure gebruiken door uw bekende openbare entiteiten in Azure te implementeren. Omdat deze openbaar toegankelijke entiteiten vaak een doelwit zijn voor DDoS-aanvallen, vermindert het plaatsen ervan in Azure de impact op uw on-premises resources.

Volgende stappen