DDoS-beveiliging voor toepassingen (laag 7)

Azure WAF heeft verschillende verdedigingsmechanismen die kunnen helpen bij het voorkomen van DDoS-aanvallen (Distributed Denial of Service). De DDoS-aanvallen kunnen zich richten op zowel netwerklaag (L3/L4) als toepassingslaag (L7). Azure DDoS beschermt de klant tegen volumetrische aanvallen op grote netwerklagen. Azure WAF-bewerkingen op laag 7 beschermt webtoepassingen tegen L7 DDoS-aanvallen zoals HTTP-overstromingen. Deze beveiliging kan voorkomen dat aanvallers uw toepassing bereiken en de beschikbaarheid en prestaties van uw toepassing beïnvloeden.

Hoe kunt u uw services beveiligen?

Deze aanvallen kunnen worden beperkt door Web Application Firewall (WAF) toe te voegen of DDoS vóór de service te plaatsen om onjuiste aanvragen te filteren. Azure biedt WAF die wordt uitgevoerd aan de netwerkrand met Azure Front Door en in datacenters met Application Gateway. Deze stappen zijn een gegeneraliseerde lijst en moeten worden aangepast aan uw toepassingsvereistenservice.

• Implementeer Azure Web Application Firewall (WAF) met Azure Front Door Premium of Application Gateway WAF v2 SKU om te beschermen tegen aanvallen op de L7-toepassingslaag.
• Schaal het aantal oorspronkelijke instanties omhoog, zodat er voldoende reservecapaciteit is.
• Schakel Azure DDoS Protection in op de openbare IP-adressen van oorsprong om uw openbare IP-adressen te beschermen tegen DDoS-aanvallen van laag 3(L3) en laag 4(L4). De DDoS-aanbiedingen van Azure kunnen de meeste sites automatisch beschermen tegen L3- en L4-volumetrische aanvallen die grote aantallen pakketten naar een website verzenden. Azure biedt standaard ook beveiliging op infrastructuurniveau voor alle sites die in Azure worden gehost.

Azure WAF met Azure Front Door

Azure WAF heeft veel functies die kunnen worden gebruikt om veel verschillende soorten aanvallen te beperken, zoals HTTP-overstromingen, cache-bypass, aanvallen die worden gestart door botnets.

• Gebruik beheerde regelset voor botbeveiliging om te beschermen tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.

• Frequentielimieten toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Snelheidsbeperking voor meer informatie.

• IP-adressen en bereiken blokkeren die u identificeert als schadelijk. Zie IP-beperkingen voor meer informatie.

• Blokkeer of omleid naar een statische webpagina verkeer van buiten een gedefinieerde geografische regio of binnen een gedefinieerde regio die niet past bij het toepassingsverkeerspatroon. Zie Geofiltering voor meer informatie.

• Maak aangepaste WAF-regels om HTTP- of HTTPS-aanvallen met bekende handtekeningen automatisch te blokkeren en frequentie te beperken. Handtekening zoals een specifieke gebruikersagent of een specifiek verkeerspatroon, waaronder headers, cookies, queryreeksparameters of een combinatie van meerdere handtekeningen.

Naast WAF biedt Azure Front Door ook standaard DDoS-beveiliging voor Azure Infrastructure om te beschermen tegen DDoS-aanvallen met L3/4. Door caching in te schakelen op Azure Front Door kan het plotselinge piekverkeersvolume aan de rand worden opgenomen en back-end-oorsprongen tegen aanvallen worden beschermd.

Zie DDoS-beveiliging op Azure Front Door voor meer informatie over functies en DDoS-beveiliging op Azure Front Door.

Azure WAF met Azure-toepassing Gateway

We raden u aan Application Gateway WAF v2 SKU te gebruiken die wordt geleverd met de nieuwste functies, waaronder L7 DDoS-risicobeperkingsfuncties, om bescherming te bieden tegen DDoS-aanvallen met L7.

WAF-SKU's van Application Gateway kunnen worden gebruikt om veel DDoS-aanvallen met L7 te beperken:

• Stel uw Application Gateway in om automatisch op te schalen en het aantal maximaal aantal exemplaren niet af te dwingen.

• Beheerde regelset voor botbeveiliging gebruiken biedt bescherming tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.

• Frequentielimieten toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Frequentiebeperking configureren voor aangepaste regels voor meer informatie.

• IP-adressen en bereiken blokkeren die u identificeert als schadelijk. Zie voorbeelden in Aangepaste v2-regels maken en gebruiken voor meer informatie.

• Blokkeer of omleid naar een statische webpagina verkeer van buiten een gedefinieerde geografische regio of binnen een gedefinieerde regio die niet past bij het toepassingsverkeerspatroon. Zie voorbeelden in Aangepaste v2-regels maken en gebruiken voor meer informatie.

• Maak aangepaste WAF-regels om HTTP- of HTTPS-aanvallen met bekende handtekeningen automatisch te blokkeren en frequentie te beperken. Handtekeningen zoals een specifieke gebruikersagent of een specifiek verkeerspatroon, waaronder headers, cookies, queryreeksparameters of een combinatie van meerdere handtekeningen.

Overige overwegingen

• Vergrendel de toegang tot openbare IP-adressen op oorsprong en beperk inkomend verkeer om alleen verkeer van Azure Front Door of Application Gateway naar oorsprong toe te staan. Raadpleeg de richtlijnen voor Azure Front Door. Application Gateways worden geïmplementeerd in een virtueel netwerk, zorg ervoor dat er geen openbaar beschikbaar gemaakte IP-adressen zijn.

• Schakel WAF-beleid over naar de preventiemodus. Het implementeren van het beleid in de detectiemodus werkt alleen in het logboek en blokkeert geen verkeer. Na het verifiëren en testen van uw WAF-beleid met productieverkeer en het afstemmen om fout-positieven te verminderen, moet u beleid omzetten in de preventiemodus (blok-/verdedigingsmodus).

• Bewaak verkeer met behulp van Azure WAF-logboeken voor afwijkingen. U kunt aangepaste regels maken om eventuele offendingsverkeer te blokkeren: vermoedelijke IP-adressen die ongebruikelijk veel aanvragen verzenden, ongebruikelijke gebruikersagenttekenreeksen, afwijkende querytekenreekspatronen, enzovoort.

• U kunt de WAF voor bekend legitiem verkeer omzeilen door aangepaste regels te maken met de actie Toestaan om fout-positief te verminderen. Deze regels moeten worden geconfigureerd met een hoge prioriteit (lagere numerieke waarde) dan andere regels voor blok- en frequentielimieten.

• U moet minimaal een frequentielimietregel hebben waarmee een hoge frequentie van aanvragen van één IP-adres wordt geblokkeerd. U kunt bijvoorbeeld een frequentielimietregel configureren om niet toe te staan dat één CLIENT-IP-adres meer dan XXX-verkeer per venster naar uw site verzendt. Azure WAF ondersteunt twee vensters voor het bijhouden van aanvragen, 1 en 5 minuten. Het is raadzaam om het venster van 5 minuten te gebruiken voor een betere beperking van HTTP Flood-aanvallen. Deze regel moet de laagste prioriteitsregel zijn (prioriteit wordt geordend met 1 de hoogste prioriteit), zodat er meer specifieke regels voor snelheidslimiet of overeenkomstregels kunnen worden gemaakt om te voldoen vóór deze regel. Als u Application Gateway WAF v2 gebruikt, kunt u gebruikmaken van aanvullende frequentiebeperkingsconfiguraties om clients bij te houden en te blokkeren op andere methoden dan client-IP. Meer informatie over frequentielimieten in Application Gateway waf vindt u in het overzicht van snelheidsbeperking.

  De volgende Log Analytics-query kan handig zijn bij het bepalen van de drempelwaarde die u voor de bovenstaande regel moet gebruiken. Voor een vergelijkbare query, maar met Application Gateway, vervangt u FrontdoorAccessLog door ApplicationGatewayAccessLog.

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• Beheerde regels, terwijl ze niet rechtstreeks zijn gericht op verdediging tegen DDoS-aanvallen, bieden bescherming tegen andere veelvoorkomende aanvallen. Zie Beheerde regels (Azure Front Door) of beheerde regels (Application Gateway) voor meer informatie over verschillende aanvalstypen die door deze regels kunnen worden beschermd.

WAF-logboekanalyse

U kunt WAF-logboeken analyseren in Log Analytics met de volgende query.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Zie Azure WAF met Azure Front Door voor meer informatie.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Zie Azure WAF met Azure-toepassing Gateway voor meer informatie.

Volgende stappen

• Een WAF-beleid maken voor Azure Front Door.

• Maak een Application Gateway met een Web Application Firewall.

• Meer informatie over hoe Azure Front Door kan helpen beschermen tegen DDoS-aanvallen.

• Beveilig uw toepassingsgateway met Azure DDoS Network Protection.

• Meer informatie over Azure DDoS Protection.