Podstawowe rozwiązania dotyczące usługi Azure DDoS Protection
W poniższych sekcjach przedstawiono normatywne wskazówki dotyczące tworzenia usług DDoS odpornych na błędy na platformie Azure.
Projektowanie pod kątem zabezpieczeń
Upewnij się, że bezpieczeństwo jest priorytetem w całym cyklu życia aplikacji, od projektowania i implementacji po wdrażanie i operacje. Aplikacje mogą zawierać usterki, które umożliwiają stosunkowo małą ilość żądań do używania niesprzedajnej ilości zasobów, co powoduje awarię usługi.
Aby ułatwić ochronę usługi działającej na platformie Microsoft Azure, należy dobrze zrozumieć architekturę aplikacji i skupić się na pięciu filarach jakości oprogramowania. Należy znać typowe woluminy ruchu, model łączności między aplikacją i innymi aplikacjami oraz punkty końcowe usługi, które są widoczne dla publicznego Internetu.
Zapewnienie, że aplikacja jest wystarczająco odporna, aby obsługiwać odmowę usługi, która jest przeznaczona dla samej aplikacji, jest najważniejsza. Zabezpieczenia i prywatność są wbudowane w platformę Azure, począwszy od cyklu projektowania zabezpieczeń (SDL). SDL zajmuje się zabezpieczeniami w każdej fazie programowania i zapewnia, że platforma Azure jest stale aktualizowana, aby była jeszcze bezpieczniejsza. Aby dowiedzieć się więcej na temat maksymalizacji skuteczności przy użyciu usługi DDoS Protection, zobacz Maksymalizowanie skuteczności: najlepsze rozwiązania dotyczące usługi Azure DDoS Protection i odporności aplikacji.
Projektowanie pod kątem skalowalności
Skalowalność to, jak dobrze system może obsłużyć zwiększone obciążenie. Zaprojektuj aplikacje pod kątem skalowania w poziomie , aby zaspokoić zapotrzebowanie na zwiększone obciążenie, w szczególności w przypadku ataku DDoS. Jeśli aplikacja zależy od pojedynczego wystąpienia usługi, tworzy pojedynczy punkt awarii. Aprowizowanie wielu wystąpień sprawia, że system jest bardziej odporny i bardziej skalowalny.
W przypadku usługi aplikacja systemu Azure wybierz plan usługi App Service, który oferuje wiele wystąpień. W przypadku usług Azure Cloud Services skonfiguruj każdą z ról, aby używać wielu wystąpień. W przypadku usługi Azure Virtual Machines upewnij się, że architektura maszyny wirtualnej zawiera więcej niż jedną maszynę wirtualną i że każda maszyna wirtualna jest uwzględniona w zestawie dostępności. Zalecamy używanie zestawów skalowania maszyn wirtualnych na potrzeby możliwości skalowania automatycznego.
Ochrona w głębi systemu
Ideą obrony w głębi systemu jest zarządzanie ryzykiem przy użyciu różnych strategii obronnych. Warstwowanie ochrony zabezpieczeń w aplikacji zmniejsza prawdopodobieństwo pomyślnego ataku. Zalecamy zaimplementowanie bezpiecznych projektów dla aplikacji przy użyciu wbudowanych możliwości platformy Azure.
Na przykład ryzyko ataku zwiększa się wraz z rozmiarem (obszarem powierzchniowym) aplikacji. Obszar powierzchni można zmniejszyć przy użyciu listy zatwierdzeń, aby zamknąć udostępnioną przestrzeń adresów IP i porty nasłuchiwania, które nie są potrzebne w modułach równoważenia obciążenia (Azure Load Balancer i aplikacja systemu Azure Gateway). Sieciowe grupy zabezpieczeń to kolejny sposób na zmniejszenie obszaru ataków. Tagi usług i grupy zabezpieczeń aplikacji umożliwiają zminimalizowanie złożoności tworzenia reguł zabezpieczeń i konfigurowania zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji. Ponadto możesz użyć rozwiązania Azure DDoS Solution for Microsoft Sentinel , aby wskazać obraźliwe źródła DDoS i zablokować im uruchamianie innych, zaawansowanych ataków, takich jak kradzież danych.
Usługi platformy Azure należy wdrożyć w sieci wirtualnej, gdy jest to możliwe. Dzięki temu zasoby usługi mogą komunikować się za pośrednictwem prywatnych adresów IP. Ruch usługi platformy Azure z sieci wirtualnej domyślnie używa publicznych adresów IP jako źródłowych adresów IP. Użycie punktów końcowych usługi spowoduje przełączenie ruchu usługi w celu używania prywatnych adresów sieci wirtualnej jako źródłowych adresów IP podczas uzyskiwania dostępu do usługi platformy Azure z sieci wirtualnej.
Często widzimy, że zasoby lokalne klientów są atakowane wraz z ich zasobami na platformie Azure. Jeśli łączysz środowisko lokalne z platformą Azure, zalecamy zminimalizowanie narażenia zasobów lokalnych na publiczny Internet. Możesz użyć możliwości skalowania i zaawansowanej ochrony przed atakami DDoS platformy Azure, wdrażając dobrze znane jednostki publiczne na platformie Azure. Ponieważ te publicznie dostępne jednostki są często celem ataków DDoS, umieszczenie ich na platformie Azure zmniejsza wpływ na zasoby lokalne.
Następne kroki
- Dowiedz się więcej o ciągłości działalności biznesowej.