Hoe Azure DDoS Protection werkt

Voltooid

Nadat u het vorige hoofdstuk hebt bekeken, hebt u vastgesteld dat Contoso profiteert van de aanvullende beveiligingsmaatregelen die de DDoS Protection-service biedt via de Infrastructuurbeveiligingsservice. In deze les krijgt u informatie over de functies van DDoS Protection en hoe dit werkt.

Functies van DDoS Protection

Zoals beschreven in de vorige les, biedt Azure DDoS Protection meer mogelijkheden dan Infrastructuurbeveiliging.

DDoS-beveiliging

Bij het inschakelen van DDoS Protection moet u eerst virtuele netwerken of IP-adressen koppelen aan DDoS Protection. Alleen services met een openbaar IP-adres op de virtuele netwerken worden beveiligd. Het openbare IP-adres van een Azure Web Application Firewall die beschikbaar is in Azure-toepassing Gateway en geïmplementeerd voor laag 7-beveiliging is bijvoorbeeld beveiligd. Systemen die niet-routeerbare IP-adressen in het beveiligde virtuele netwerk gebruiken, worden niet opgenomen in het beveiligingsplan. Dit is een klantvoordeel, omdat deze systemen niet internetgericht zijn en er geen kosten in rekening worden gebracht voor hun beveiliging.

Notitie

Ter vereenvoudiging van de implementatie kunt u DDOS-netwerkbeveiliging configureren voor uw organisatie en virtuele netwerken van meerdere abonnementen koppelen aan hetzelfde abonnement.

Nadat u DDoS-netwerkbeveiliging hebt geconfigureerd, moet u beveiligde resources toevoegen. U kunt de services selecteren die DDoS Protection krijgen met behulp van uw door de gebruiker gedefinieerde Azure-resourcegroepen, beheergroepen of abonnementen. U kunt ook DDoS IP-beveiliging inschakelen op een enkel IP-adres. Dit is handig als u beveiliging nodig hebt voor minder dan 100 IP-adressen of als u DDoS Protection in uw omgeving test.

Uw DDoS-beleid wordt gegenereerd wanneer u DDoS Protection inschakelt. Het is automatisch geconfigureerd en geoptimaliseerd door machine learning-algoritmen toe te passen en specifieke bewaking van netwerkverkeer te gebruiken.

DDoS Protection bewaakt netwerkverkeer en vergelijkt dit voortdurend met de limieten die zijn gedefinieerd in het DDoS-beleid. Wanneer uw verkeer de maximumlimiet overschrijdt, wordt DDoS-beperking automatisch gestart. Tijdens de beperking worden pakketten die naar een beveiligde resource worden verzonden, omgeleid door de DDoS-beveiligingsservice. Er worden verschillende controles uitgevoerd op dit verkeer, om ervoor te zorgen dat pakketten voldoen aan internetspecificaties en niet onjuist zijn ingedeeld. Geldig IP-verkeer wordt doorgestuurd naar de beoogde service. DDoS Protection past drie automatisch afgestemde beperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres dat is gekoppeld aan een beveiligde resource.

Wanneer het verkeer afneemt tot minder dan de toepasselijke drempelwaarde, wordt de beperking onderbroken. Deze beveiliging is niet van toepassing op App Service-omgevingen.

In het volgende diagram ziet u de gegevensstroom via DDoS Protection.

Diagram of a customer subscribing to DDoS Protection, which triggers a DDoS protection policy.

In het volgende diagram is DDoS-netwerkbeveiliging ingeschakeld op het virtuele netwerk van de Load Balancer van Azure (internet) waaraan het openbare IP-adres is gekoppeld.

Diagram of data traffic anomalies activate DDoS Protection for attack mitigation.

In het volgende diagram is DDoS IP Protection ingeschakeld op het openbare IP-adres van de front-end van een openbare load balancer.

Screenshot of data traffic anomalies activate DDoS Protection for attack mitigation.

Adaptieve afstemming van Azure DDoS Protection

Elke Azure-toepassing heeft een eigen verkeerspatroon, dat uniek is als een menselijke vingerafdruk. In DDoS-beveiliging is het proces om de aanval te detecteren en vervolgens de aanval te stoppen. DDoS Protection maakt gebruik van een eigen machine learning-algoritme, waarmee het verkeerspatroon (vingerafdruk) voor uw toepassing wordt geïdentificeerd en dat patroon wordt gebruikt om een toepassingsverkeersprofiel te bouwen.

In het geval dat deze toepassing verkeer buiten het standaardbereik ontvangt, wordt de bovengrens van het beperkingsbeleid voor DDoS Protection verhoogd om te ondersteunen wat een seizoensgebonden piek kan zijn.

Als iemand uw toepassing probeert te DDoS, blijft het verkeer groeien. Op dat moment activeert DDoS Protection waarschuwingen, omdat er iets afwijkends lijkt met het verkeer. Het binnenkomende verkeer naar de toepassing wordt in realtime geïnspecteerd om te testen op geldige pakketten. Ongeldige pakketten worden verwijderd, zodat ze geen invloed hebben op de beschikbaarheid en prestaties van uw toepassing.

Metrische gegevens van DDoS Protection

In het vorige voorbeeld, kort na de detectie van een aanval, verzendt DDoS Protection meldingen met behulp van metrische gegevens van Azure Monitor en eventuele DDoS-beveiligingswaarschuwingen. U moet de aanval analyseren met behulp van de gegevens die tijdens die aanval zijn geregistreerd. U kunt hiervoor Microsoft Sentinel, SIEM-hulpprogramma's van partners, Azure Monitor-logboeken en andere diagnostische services gebruiken. De vastgelegde gegevens worden 30 dagen bewaard.

Uw DDoS-beveiliging testen

Testen en valideren is van cruciaal belang om te begrijpen hoe een systeem presteert tijdens een DDoS-aanval. Azure-klanten kunnen onze goedgekeurde testpartners gebruiken om de prestaties van uw beveiligde services te testen tijdens een DDoS-aanval:

  • BreakingPoint Cloud: een selfserviceverkeersgenerator waar uw klanten verkeer kunnen genereren op basis van openbare DDoS Protection-eindpunten voor simulaties.
  • Rode knop: werk samen met een speciaal team van experts om echte DDoS-aanvalsscenario's in een gecontroleerde omgeving te simuleren.
  • RedWolf een selfservice- of begeleide DDoS-testprovider met realtime controle.

U kunt aanvalssimulators gebruiken om het volgende te doen:

  • Controleer of uw sleutelservices zijn beveiligd tijdens een DDoS-aanval.

  • Oefen uw incidentrespons op een DDoS-aanval.

  • Help uw beveiligingspersoneel te trainen.

U vindt meer informatie over deze services door de referentiekoppelingen in de samenvattingseenheid te bekijken.