Udostępnij za pośrednictwem


Samouczek: testowanie symulacji usługi Azure DDoS Protection

Dobrym rozwiązaniem jest przetestowanie założeń dotyczących reagowania usług na atak przez przeprowadzanie okresowych symulacji. Podczas testowania sprawdź, czy usługi lub aplikacje nadal działają zgodnie z oczekiwaniami i nie ma żadnych zakłóceń w środowisku użytkownika. Zidentyfikuj luki zarówno z punktu widzenia technologii, jak i procesu, i uwzględnij je w strategii reagowania DDoS. Zalecamy przeprowadzenie takich testów w środowiskach testowych lub poza godzinami szczytu, aby zminimalizować wpływ na środowisko produkcyjne.

W tym samouczku stworzysz środowisko testowe, które obejmuje:

  • Plan ochrony przed atakami DDoS
  • Sieć wirtualna
  • Host usługi Azure Bastion
  • Moduł równoważenia obciążenia
  • Dwie maszyny wirtualne

Następnie skonfigurujesz dzienniki diagnostyczne i alerty, aby monitorować ataki i wzorce ruchu. Na koniec skonfigurujesz symulację ataku DDoS przy użyciu jednego z naszych zatwierdzonych partnerów testowych.

Diagram architektury środowiska testowego usługi DDoS Protection.

Symulacje ułatwiają:

  • Sprawdzić, jak usługa Azure DDoS Protection pomaga chronić zasoby platformy Azure przed atakami DDoS.
  • Zoptymalizować proces reagowania na zdarzenia w trakcie ataku DDoS.
  • Dokumentować zgodność z zasadami dotyczącymi ataków DDoS.
  • Szkolić zespoły ds. bezpieczeństwa sieci.

Zasady testowania symulacji usługi Azure DDoS

Ataki można symulować tylko przy użyciu naszych zatwierdzonych partnerów testowych:

  • BreakingPoint Cloud: samoobsługowy generator ruchu, w którym klienci mogą generować ruch w kierunku publicznych punktów końcowych obsługujących ochronę przed atakami DDoS na potrzeby symulacji.
  • MazeBolt: platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.
  • Czerwony przycisk: współpracuj z dedykowanym zespołem ekspertów w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.
  • RedWolf: dostawca testowania DDoS oferujący usługi samoobsługowe lub z przewodnikiem, z kontrolą w czasie rzeczywistym.

Środowiska symulacji naszych partnerów testowych są tworzone na platformie Azure. Można symulować działania tylko wobec publicznych adresów IP hostowanych na platformie Azure, które należą do własnej subskrypcji i zostaną zweryfikowane przez naszych partnerów przed rozpoczęciem testowania. Ponadto te docelowe publiczne adresy IP muszą być chronione w usłudze Azure DDoS Protection. Symulacyjne testowanie pozwala ocenić bieżący stan gotowości, zidentyfikować luki w procedurach reagowania na zdarzenia i pomóc w opracowywaniu odpowiedniej strategii reagowania DDoS.

Uwaga

Usługa BreakingPoint Cloud i Czerwony przycisk są dostępne tylko dla chmury publicznej.

Wymagania wstępne

Konfigurowanie metryk i alertów usługi DDoS Protection

W tym samouczku skonfigurujemy metryki i alerty usługi DDoS Protection w celu monitorowania ataków i wzorców ruchu.

Konfigurowanie dzienników diagnostycznych

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania u góry portalu wprowadź Monitor. Wybierz Monitor w wynikach wyszukiwania.

  3. Wybierz pozycję Ustawienia diagnostyczne w obszarze Ustawienia w okienku po lewej stronie, a następnie wybierz następujące informacje na stronie Ustawienia diagnostyczne. Następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
    Grupa zasobów Wybierz grupę zasobów zawierającą publiczny adres IP, który chcesz zarejestrować.
    Typ zasobu Wybierz pozycję Adresy IP publiczne.
    Zasób Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.
  4. Na stronie Ustawienia diagnostyczne w obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wprowadź następujące informacje, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający ustawienia diagnostyczne usługi DDoS na platformie Azure.

    Ustawienie Wartość
    Nazwa ustawienia diagnostycznego Wpisz myDiagnosticSettings.
    Dzienniki Wybierz wszystkie logi.
    Metryki Wybierz pozycję Wszystkie metryki.
    Szczegóły miejsca docelowego Wybierz Wyślij do obszaru roboczego Log Analytics.
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Obszar roboczy usługi Log Analytics Wybierz myLogAnalyticsWorkspace.

Skonfiguruj alerty metryk

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania u góry portalu wpisz Alerty. Wybierz pozycję Alerty w wynikach wyszukiwania.

  3. Wybierz pozycję + Utwórz na pasku nawigacyjnym, a następnie wybierz pozycję Reguła alertu.

  4. Na stronie Tworzenie reguły alertu wybierz pozycję + Wybierz zakres, a następnie wybierz następujące informacje na stronie Wybierz zasób.

    Ustawienie Wartość
    Filtruj według subskrypcji Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
    Filtruj według typu zasobu Wybierz pozycję Publiczne adresy IP.
    Zasób Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.
  5. Wybierz pozycję Gotowe, a następnie wybierz pozycję Dalej: Warunek.

  6. Na stronie Warunek wybierz pozycję + Dodaj warunek, a następnie w polu wyszukiwania Wyszukaj według nazwy sygnału wyszukaj i wybierz pozycję W obszarze ataków DDoS lub nie.

    Zrzut ekranu przedstawiający dodawanie warunku alertu ataku DDoS Protection.

  7. Na stronie Tworzenie reguły alertu wprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Threshold Pozostaw wartość domyślną.
    Typ agregacji Pozostaw wartość domyślną.
    Operator Wybierz pozycję Większe niż lub równe.
    Jednostka Pozostaw wartość domyślną.
    Wartość progu Wprowadź 1. Dla metryki Czy jest atak DDoS czy nie, 0 oznacza, że nie jesteś pod atakiem, a 1 oznacza, że jesteś pod atakiem.
  8. Wybierz pozycję Dalej: Akcje , a następnie wybierz pozycję + Utwórz grupę akcji.

Tworzenie grupy akcji

  1. Na stronie Tworzenie grupy akcji wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Powiadomienia.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure zawierającą publiczny adres IP, który chcesz zarejestrować.
    Grupa zasobów Wybierz grupę zasobów.
    Region Pozostaw wartość domyślną.
    Grupa akcji Wprowadź myDDoSAlertsActionGroup.
    Nazwa wyświetlana Wprowadź myDDoSAlerts.
  2. Na karcie Powiadomienia w obszarze Typ powiadomienia wybierz pozycję Wiadomość e-mail/wiadomość SMS/Wypychanie/głos. Pod Nazwa, wprowadź myUnderAttackEmailAlert.

  3. Na stronie Wiadomość e-mail/wiadomość SMS/Powiadomienia push/Głosowe zaznacz pole wyboru E-mail, a następnie wprowadź wymagany adres e-mail. Wybierz przycisk OK.

  4. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Kontynuuj konfigurowanie alertów za pośrednictwem portalu

  1. Wybierz pozycję Dalej: Szczegóły.

  2. Na karcie Szczegóły, w sekcji Szczegóły reguły alertu, wprowadź następujące informacje.

    Ustawienie Wartość
    Ważność Wybierz pozycję 2 — Ostrzeżenie.
    Nazwa reguły alertu Wprowadź myDDoSAlert.
  3. Wybierz Przejrzyj + utwórz, a następnie Utwórz po pomyślnej walidacji.

Konfigurowanie symulacji ataku DDoS

BreakingPoint Cloud

BreakingPoint Cloud to samoobsługowy generator ruchu, który pozwala na generowanie ruchu przeciwko publicznym punktom końcowym z włączoną ochroną przed atakami DDoS do celów symulacyjnych.

Oferty breakingPoint Cloud:

  • Uproszczony interfejs użytkownika i środowisko "gotowe do użycia".
  • Model płatności za użycie.
  • Wstępnie zdefiniowane profile określania rozmiaru i czasu trwania testu DDoS umożliwiają bezpieczniejsze walidacje, eliminując potencjalne błędy konfiguracji.
  • Bezpłatne konto próbne.

Uwaga

W przypadku aplikacji BreakingPoint Cloud należy najpierw utworzyć konto usługi BreakingPoint Cloud.

Przykładowe wartości ataku:

Przykład symulacji ataków DDoS: BreakingPoint Cloud.

Ustawienie Wartość
Docelowy adres IP Wprowadź jeden z publicznych adresów IP, które chcesz przetestować.
Numer portu Wprowadź 443.
Profil ataków DDoS Możliwe wartości obejmują DNS Flood, NTPv2 FloodSSDP FloodTCP SYN FloodUDP 64B FloodUDP 128B FloodUDP 256B FloodUDP 512B FloodUDP 1024B FloodUDP 1514B Flood, . UDP FragmentationUDP Memcached
Rozmiar testu Możliwe wartości to 100K pps, 50 Mbps and 4 source IPs, , 200K pps, 100 Mbps and 8 source IPs400K pps, 200Mbps and 16 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Czas trwania testu Możliwe wartości obejmują 10 Minutes, , 15 Minutes20 Minutes, 25 Minutes, 30 Minutes.

Uwaga

  • Aby uzyskać więcej informacji na temat korzystania z usługi BreakingPoint Cloud w środowisku platformy Azure, zobacz ten blog BreakingPoint Cloud.
  • Aby zapoznać się z pokazem wideo przedstawiającym wykorzystanie usługi BreakingPoint Cloud, zobacz Symulacja ataków DDoS.

Czerwony przycisk

Pakiet usług testowania DDoS Red Button obejmuje trzy etapy:

  1. Sesja planowania: Eksperci z red Button spotykają się z zespołem, aby zrozumieć architekturę sieci, zebrać szczegóły techniczne i zdefiniować jasne cele i harmonogramy testowania. Obejmuje to planowanie zakresu i celów testów DDoS, wektorów ataków i szybkości ataków. Wspólne planowanie zostało szczegółowo opisane w dokumencie planu testów.
  2. Kontrolowany atak DDoS: na podstawie zdefiniowanych celów zespół Red Button uruchamia kombinację wielowektorowych ataków DDoS. Test zazwyczaj trwa od trzech do sześciu godzin. Ataki są bezpiecznie wykonywane przy użyciu dedykowanych serwerów i są kontrolowane i monitorowane przy użyciu konsoli zarządzania Red Button.
  3. Podsumowanie i zalecenia: zespół red button udostępnia napisany raport testowy DDoS przedstawiający skuteczność ograniczania ryzyka ataków DDoS. Raport zawiera podsumowanie wyników testów, pełny dziennik symulacji, listę luk w zabezpieczeniach w infrastrukturze oraz zalecenia dotyczące ich poprawiania.

Ponadto usługa Red Button oferuje dwa inne pakiety usług, DDoS 360 i DDoS Incident Response, które mogą uzupełniać pakiet usług testowania DDoS.

RedWolf

RedWolf oferuje łatwy w użyciu system testowania, który jest samoobsługowy lub prowadzony przez ekspertów RedWolf. System testowania RedWolf umożliwia klientom konfigurowanie wektorów ataków. Klienci mogą określać rozmiary ataków z kontrolą w czasie rzeczywistym na ustawieniach w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.

Pakiet usług testowania DDoS firmy RedWolf obejmuje:

  • Wektory ataków: unikatowe ataki w chmurze zaprojektowane przez RedWolf. Aby uzyskać więcej informacji na temat wektorów ataków RedWolf, zobacz Szczegóły techniczne.
  • Usługa prowadzona: skorzystaj z zespołu RedWolf do uruchamiania testów. Aby uzyskać więcej informacji na temat usługi z przewodnikiem RedWolf, zobacz Usługa z przewodnikiem.
  • Samoobsługa: korzystaj z narzędzia RedWolf, aby samodzielnie uruchamiać testy. Aby uzyskać więcej informacji na temat samoobsługi RedWolf, zobacz Samoobsługa.

MazeBolt

Platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.

Następne kroki

Aby po zakończeniu ataku wyświetlić wskaźniki i alerty ataku, przejdź do kolejnych poradników.