Udostępnij za pośrednictwem


Samouczek: testowanie symulacji usługi Azure DDoS Protection

Dobrym rozwiązaniem jest przetestowanie założeń dotyczących reagowania usług na atak przez przeprowadzanie okresowych symulacji. Podczas testowania sprawdź, czy usługi lub aplikacje nadal działają zgodnie z oczekiwaniami i nie ma żadnych zakłóceń w środowisku użytkownika. Zidentyfikuj luki zarówno z punktu widzenia technologii, jak i procesu, i uwzględnij je w strategii reagowania DDoS. Zalecamy przeprowadzenie takich testów w środowiskach przejściowych lub w godzinach poza godzinami szczytu, aby zminimalizować wpływ na środowisko produkcyjne.

W tym samouczku utworzysz środowisko testowe obejmujące:

  • Plan ochrony przed atakami DDoS
  • Sieć wirtualna
  • Host usługi Azure Bastion
  • Moduł równoważenia obciążenia
  • Dwie maszyny wirtualne

Następnie skonfigurujesz dzienniki diagnostyczne i alerty, aby monitorować ataki i wzorce ruchu. Na koniec skonfigurujesz symulację ataku DDoS przy użyciu jednego z naszych zatwierdzonych partnerów testowych.

Diagram architektury środowiska testowego usługi DDoS Protection.

Symulacje ułatwiają:

  • Sprawdzić, jak usługa Azure DDoS Protection pomaga chronić zasoby platformy Azure przed atakami DDoS.
  • Zoptymalizować proces reagowania na zdarzenia w trakcie ataku DDoS.
  • Dokumentować zgodność z zasadami dotyczącymi ataków DDoS.
  • Szkolić zespoły ds. bezpieczeństwa sieci.

Zasady testowania symulacji usługi Azure DDoS

Ataki można symulować tylko przy użyciu naszych zatwierdzonych partnerów testowych:

  • BreakingPoint Cloud: generator ruchu samoobsługowego, w którym klienci mogą generować ruch z publicznymi punktami końcowymi obsługującymi ochronę przed atakami DDoS na potrzeby symulacji.
  • MazeBolt:Platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.
  • Czerwony przycisk: współpracuj z dedykowanym zespołem ekspertów w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.
  • RedWolf: samoobsługowy lub z przewodnikiem dostawca testowania DDoS z kontrolą w czasie rzeczywistym.

Środowiska symulacji naszych partnerów testowych są tworzone na platformie Azure. Przed rozpoczęciem testowania można symulować tylko publiczne adresy IP hostowane na platformie Azure należące do własnej subskrypcji platformy Azure, które zostaną zweryfikowane przez naszych partnerów. Ponadto te docelowe publiczne adresy IP muszą być chronione w usłudze Azure DDoS Protection. Testowanie symulacji pozwala ocenić bieżący stan gotowości, zidentyfikować luki w procedurach reagowania na zdarzenia i przeprowadzić cię podczas opracowywania odpowiedniej strategii reagowania DDoS.

Uwaga

Usługa BreakingPoint Cloud i Czerwony przycisk są dostępne tylko dla chmury publicznej.

Wymagania wstępne

Konfigurowanie metryk i alertów usługi DDoS Protection

W tym samouczku skonfigurujemy metryki i alerty usługi DDoS Protection w celu monitorowania ataków i wzorców ruchu.

Konfigurowanie dzienników diagnostycznych

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź ciąg Monitor. Wybierz pozycję Monitoruj w wynikach wyszukiwania.

  3. Wybierz pozycję Ustawienia diagnostyczne w obszarze Ustawienia w okienku po lewej stronie, a następnie wybierz następujące informacje na stronie Ustawienia diagnostyczne. Następnie wybierz pozycję Dodaj ustawienie diagnostyczne.

    Zrzut ekranu przedstawiający monitorowanie ustawień diagnostycznych.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
    Grupa zasobów Wybierz grupę zasobów zawierającą publiczny adres IP, który chcesz zarejestrować.
    Typ zasobu Wybierz pozycję Publiczne adresy IP.
    Zasób Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.
  4. Na stronie Ustawienia diagnostyczne w obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wprowadź następujące informacje, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający ustawienia diagnostyczne usługi DDoS na platformie Azure.

    Ustawienie Wartość
    Nazwa ustawienia diagnostycznego Wprowadź wartość myDiagnosticSettings.
    Dzienniki Wybierz wszystkieLogi.
    Metryki Wybierz pozycję Wszystkie metryki.
    Szczegóły miejsca docelowego Wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics.
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Obszar roboczy usługi Log Analytics Wybierz pozycję myLogAnalyticsWorkspace.

Konfigurowanie alertów metryk

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź alerty. Wybierz pozycję Alerty w wynikach wyszukiwania.

  3. Wybierz pozycję + Utwórz na pasku nawigacyjnym, a następnie wybierz pozycję Reguła alertu.

    Zrzut ekranu przedstawiający tworzenie alertów na platformie Azure.

  4. Na stronie Tworzenie reguły alertu wybierz pozycję + Wybierz zakres, a następnie wybierz następujące informacje na stronie Wybierz zasób.

    Zrzut ekranu przedstawiający wybieranie zakresu alertów ataków usługi DDoS Protection.

    Ustawienie Wartość
    Filtruj według subskrypcji Wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
    Filtruj według typu zasobu Wybierz pozycję Publiczne adresy IP.
    Zasób Wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki.
  5. Wybierz pozycję Gotowe, a następnie wybierz pozycję Dalej: Warunek.

  6. Na stronie Warunek wybierz pozycję + Dodaj warunek, a następnie w polu wyszukiwania Wyszukaj według nazwy sygnału wyszukaj i wybierz pozycję W obszarze Atak DDoS lub nie.

    Zrzut ekranu przedstawiający dodawanie warunku alertu ataku DDoS Protection.

  7. Na stronie Tworzenie reguły alertu wprowadź lub wybierz następujące informacje. Zrzut ekranu przedstawiający dodawanie sygnału alertu ataku DDoS Protection.

    Ustawienie Wartość
    Threshold Pozostaw wartość domyślną.
    Typ agregacji Pozostaw wartość domyślną.
    Operator Wybierz pozycję Większe niż lub równe.
    Jednostka Pozostaw wartość domyślną.
    Wartość progu Wprowadź wartość 1. W przypadku ataku DDoS lub nie metryki 0 oznacza, że nie atakujesz, a 1 oznacza, że atakujesz.
  8. Wybierz pozycję Dalej: Akcje , a następnie wybierz pozycję + Utwórz grupę akcji.

Tworzenie grupy akcji

  1. Na stronie Tworzenie grupy akcji wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Powiadomienia. Zrzut ekranu przedstawiający dodawanie podstaw grupy akcji ataków ochrony przed atakami DDoS Protection.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure zawierającą publiczny adres IP, który chcesz zarejestrować.
    Grupa zasobów Wybierz grupę zasobów.
    Region (Region) Pozostaw wartość domyślną.
    Grupa akcji Wprowadź wartość myDDoSAlertsActionGroup.
    Display name Wprowadź ciąg myDDoSAlerts.
  2. Na karcie Powiadomienia w obszarze Typ powiadomienia wybierz pozycję Wiadomość e-mail/wiadomość SMS/Wypychanie/głos. W obszarze Nazwa wprowadź wartość myUnderAttackEmailAlert.

    Zrzut ekranu przedstawiający dodawanie typu powiadomienia o ataku DDoS Protection.

  3. Na stronie Wiadomość e-mail/wiadomość SMS/Wypychanie/głos zaznacz pole wyboru Poczta e-mail, a następnie wprowadź wymaganą wiadomość e-mail. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający dodawanie strony powiadomień o ataku ataków DDoS Protection.

  4. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Kontynuuj konfigurowanie alertów za pośrednictwem portalu

  1. Wybierz pozycję Dalej: Szczegóły.

    Zrzut ekranu przedstawiający dodawanie strony szczegółów alertu ataku DDoS Protection.

  2. Na karcie Szczegóły w obszarze Szczegóły reguły alertu wprowadź następujące informacje.

    Ustawienie Wartość
    Ważność Wybierz pozycję 2 — Ostrzeżenie.
    Nazwa reguły alertu Wprowadź wartość myDDoSAlert.
  3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji.

Konfigurowanie symulacji ataku DDoS

BreakingPoint Cloud

BreakingPoint Cloud to generator ruchu samoobsługowego, w którym można wygenerować ruch z publicznymi punktami końcowymi obsługującymi ochronę przed atakami DDoS na potrzeby symulacji.

Oferty breakingPoint Cloud:

  • Uproszczony interfejs użytkownika i środowisko "gotowe do użycia".
  • Model płatności za użycie.
  • Wstępnie zdefiniowane profile określania rozmiaru i czasu trwania testu DDoS umożliwiają bezpieczniejsze walidacje, eliminując potencjalne błędy konfiguracji.
  • Bezpłatne konto próbne.

Uwaga

W przypadku aplikacji BreakingPoint Cloud należy najpierw utworzyć konto usługi BreakingPoint Cloud.

Przykładowe wartości ataku:

Przykład symulacji ataków DDoS: BreakingPoint Cloud.

Ustawienie Wartość
Docelowy adres IP Wprowadź jeden z publicznych adresów IP, które chcesz przetestować.
Numer portu Wprowadź wartość 443.
Profil ataków DDoS Możliwe wartości obejmują DNS Flood, NTPv2 FloodUDP 64B FloodUDP 512B FloodUDP 128B FloodTCP SYN FloodSSDP FloodUDP 1024B FloodUDP 1514B FloodUDP 256B Flood, . UDP MemcachedUDP Fragmentation
Rozmiar testu Możliwe wartości to 100K pps, 50 Mbps and 4 source IPs, , 400K pps, 200Mbps and 16 source IPs200K pps, 100 Mbps and 8 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Czas trwania testu Możliwe wartości obejmują 10 Minutes, , 20 Minutes15 Minutes, 25 Minutes, 30 Minutes.

Uwaga

  • Aby uzyskać więcej informacji na temat korzystania z usługi BreakingPoint Cloud w środowisku platformy Azure, zobacz ten blog BreakingPoint Cloud.
  • Aby zapoznać się z pokazem wideo przedstawiającym wykorzystanie usługi BreakingPoint Cloud, zobacz Symulacja ataków DDoS.

Czerwony przycisk

Pakiet usługi testowania DDoS red Button obejmuje trzy etapy:

  1. Sesja planowania: Eksperci z red Button spotykają się z zespołem, aby zrozumieć architekturę sieci, zebrać szczegóły techniczne i zdefiniować jasne cele i harmonogramy testowania. Obejmuje to planowanie zakresu i obiektów docelowych testów DDoS, wektorów ataków i ataków. Wspólne planowanie zostało szczegółowo opisane w dokumencie planu testów.
  2. Kontrolowany atak DDoS: na podstawie zdefiniowanych celów zespół Red Button uruchamia kombinację wielowektorowych ataków DDoS. Test zazwyczaj trwa od trzech do sześciu godzin. Ataki są bezpiecznie wykonywane przy użyciu dedykowanych serwerów i są kontrolowane i monitorowane przy użyciu konsoli zarządzania Red Button.
  3. Podsumowanie i zalecenia: zespół red button udostępnia napisany raport testowy DDoS przedstawiający skuteczność ograniczania ryzyka ataków DDoS. Raport zawiera podsumowanie wyników testów, pełny dziennik symulacji, listę luk w zabezpieczeniach w infrastrukturze oraz zalecenia dotyczące ich poprawiania.

Ponadto usługa Red Button oferuje dwa inne pakiety usług, DDoS 360 i DDoS Incident Response, które mogą uzupełniać pakiet usług testowania DDoS.

RedWolf

RedWolf oferuje łatwy w użyciu system testowania, który jest samoobsługowy lub prowadzony przez ekspertów RedWolf. System testowania RedWolf umożliwia klientom konfigurowanie wektorów ataków. Klienci mogą określać rozmiary ataków z kontrolą w czasie rzeczywistym na ustawieniach w celu symulowania rzeczywistych scenariuszy ataków DDoS w kontrolowanym środowisku.

Pakiet usług testowania DDoS firmy RedWolf obejmuje:

  • Wektory ataków: unikatowe ataki w chmurze zaprojektowane przez RedWolf. Aby uzyskać więcej informacji na temat wektorów ataków RedWolf, zobacz Szczegóły techniczne.
  • Usługa z przewodnikiem: wykorzystaj zespół RedWolf do uruchamiania testów. Aby uzyskać więcej informacji na temat usługi z przewodnikiem RedWolf, zobacz Usługa z przewodnikiem.
  • Samoobsługa: korzystaj z narzędzia RedWolf, aby samodzielnie uruchamiać testy. Aby uzyskać więcej informacji na temat samoobsługi redwolf, zobacz Samoobsługa.

MazeBolt

Platforma RADAR™ stale identyfikuje i umożliwia eliminację luk DDoS — proaktywnie i bez zakłóceń w operacjach biznesowych.

Następne kroki

Aby wyświetlić metryki ataku i alerty po ataku, przejdź do następnych samouczków.