Tutorial: Teste de simulação da Proteção contra DDoS do Azure

É uma prática recomendada testar suas suposições sobre como os serviços respondem a um ataque realizando simulações periódicas. Durante o teste, valide se os serviços ou aplicativos continuam funcionando conforme esperado e se não há interrupções na experiência do usuário. Identifique lacunas do ponto de vista de tecnologia e de processo, e incorpore-as à estratégia de resposta de DDoS. Recomendamos que realize esses testes em ambientes de preparo ou fora do horário de pico para minimizar o impacto no ambiente de produção.

As simulações ajudam a:

• Validar como a Proteção contra DDoS do Azure ajuda a proteger seus recursos do Azure contra ataques de DDoS.
• Otimize o processo de resposta a incidentes durante ataques de DDoS.
• Documente a conformidade de DDoS.
• Treine suas equipes de segurança de rede.

Política de teste de simulação de DDoS do Azure

Você só pode simular ataques usando nossos parceiros de teste aprovados:

• BreakingPoint Cloud: um gerador de tráfego de autoatendimento no qual os clientes podem gerar tráfego contra os pontos de extremidade públicos habilitados para Proteção contra DDoS para fins de simulação.
• MazeBolt:A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupção das operações comerciais.
• Red Button: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
• RedWolf: um provedor de autoatendimento ou teste DDoS guiado com controle em tempo real.

Os ambientes de simulação de nossos parceiros de teste são criados no Azure. Você só pode simular em endereços IP públicos hospedados no Azure que pertencem a uma assinatura do Azure própria, que será validada por nossos parceiros antes do teste. Além disso, esses endereços IP públicos de destino devem ser protegidos na Proteção contra DDoS do Azure. O teste de simulação permite avaliar seu estado atual de prontidão, identificar lacunas em seus procedimentos de resposta a incidentes e orientá-lo no desenvolvimento de uma estratégia de resposta de DDoS adequada.

Observação

O BreakingPoint Cloud e o Red Button só estão disponíveis para a nuvem pública.

Neste tutorial, você criará um ambiente de teste que inclui:

• Um plano de proteção contra DDoS
• Uma rede virtual
• Um host do Azure Bastion
• Um balanceador de carga
• Duas máquinas virtuais

Em seguida, você vai configurar logs de diagnóstico e alertas para monitorar ataques e padrões de tráfego. Por fim, você vai configurar uma simulação de ataque de negação de serviço distribuído usando um de nossos parceiros de teste aprovados.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa.
• Para usar o log de diagnósticos, primeiro crie um workspace do Log Analytics com as configurações de diagnóstico habilitadas.
• Para este tutorial, você precisará implantar um Load Balancer, um endereço IP público, o Bastion e duas máquinas virtuais. Para obter mais informações, consulte Implantar o Load Balancer com a Proteção contra DDoS. Ignore a etapa do Gateway de NAT no tutorial Implantar o Load Balancer com a Proteção contra DDoS.

Configurar as métricas e os alertas da Proteção contra DDoS

Neste tutorial, configuraremos as métricas e alertas da Proteção contra DDoS para monitorar ataques e padrões de tráfego.

Configurar logs de diagnóstico

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Monitoramento. Selecione Monitoramento nos resultados da pesquisa.

3. Selecione Configurações de Diagnóstico em Configurações no painel esquerdo e, em seguida, selecione as informações a seguir na página Configurações de diagnóstico. Em seguida, selecione Adicionar configuração de diagnóstico.

   

   Configuração	Valor
   Subscription	Escolha a Assinatura que contém o endereço IP público para o qual você deseja registrar.
   Resource group	Selecione o Grupo de recursos que contém o endereço IP público para o qual você deseja registrar.
   Tipo de recurso	Selecione Endereços IP públicos.
   Recurso	Selecione o Endereço IP público do qual você deseja ter métricas.

4. Na página Configuração de diagnóstico, em Detalhes do destino, selecione Enviar para o workspace do Log Analytics, depois, insira as informações a seguir e selecione Salvar.

   

   Configuração	Valor
   Nome da configuração de diagnóstico	Insira myDiagnosticSettings.
   Logs	Selecione allLogs.
   Métricas	Selecione AllMetrics.
   Detalhes do destino	Selecione Enviar para o workspace do Log Analytics.
   Subscription	Selecione sua assinatura do Azure.
   Workspace do Log Analytics	Selecione myLogAnalyticsWorkspace.

Configurar alertas de métrica

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Alertas. Selecione Alertas nos resultados da pesquisa.

3. Selecione + Criar na barra de navegação e selecione Regra de alerta.

   

4. Na página Criar uma regra de alerta, selecione + Selecionar escopo e selecione as informações a seguir na página Selecionar um recurso.

   

   Configuração	Valor
   Filtrar por assinatura	Escolha a Assinatura que contém o endereço IP público para o qual você deseja registrar.
   Filtrar por tipo de recurso	Selecione Endereços IP públicos.
   Recurso	Selecione o Endereço IP público do qual você deseja ter métricas.

5. Selecione Concluídoe selecione Avançar: Condição.

6. Na página Condição, selecione + Adicionar Condiçãoe, na caixa de pesquisa Pesquisar por nome de sinal, pesquise e selecione Sob ataque de DDoS ou não.

   

7. Na página Criar uma regra de alerta , insira ou selecione as informações a seguir.

   Configuração	Valor
   Limite	Mantenha o padrão.
   Tipo de agregação	Mantenha o padrão.
   Operador	Selecione Maior ou igual a.
   Unidade	Mantenha o padrão.
   Valor limite	Insira 1. Para a métrica Sob ataque de DDoS ou não, 0 significa que você não está sob ataque, enquanto 1 significa que você está sob ataque.

8. Selecione Avançar: Ações e selecione + Criar grupo de ações.

Criar grupo de ações

1. Na página Criar grupo de ações, insira as seguintes informações e selecione Avançar: Notificações.

   Configuração	Valor
   Subscription	Escolha sua assinatura do Azure que contém o endereço IP público para o qual você deseja registrar.
   Grupo de recursos	Selecione o grupo de recursos.
   Região	Mantenha o padrão.
   Grupo de ações	Insira myDDoSAlertsActionGroup.
   Nome de exibição	Insira myDDoSAlerts.

2. Na guia Notificações, em Tipo de notificação, selecione Email/mensagem SMS/Push/Voz. Em Nome, insira myUnderAttackEmailAlert.

   

3. Na página Email/Mensagem SMS/Push/Voz, marque a caixa de seleção Email e insira o email necessário. Selecione OK.

   

4. Selecione Examinar + criar e Criar.

Continuar configurando alertas por meio do portal

1. Selecione Avançar: Detalhes.

   

2. Na guia Detalhes, em Detalhes da regra de alerta, insira as informações a seguir.

   Configuração	Valor
   Severidade	Selecione 2 – Aviso.
   Nome da regra de alerta	Insira myDDoSAlert.

3. Selecione Examinar + criar e escolha Criar depois que a validação for aprovada.

Configurar uma simulação de ataque de negação de serviço distribuído

BreakingPoint Cloud

O BreakingPoint Cloud é um gerador de tráfego de autoatendimento no qual você pode gerar o tráfego nos pontos de extremidade públicos habilitados para a Proteção contra DDoS para fins de simulação.

O BreakingPoint Cloud oferece:

• Uma interface do usuário simplificada e uma experiência “pronta para uso”.
• Modelo de pagamento por uso.
• Os perfis de duração de teste e dimensionamento de DDoS predefinidos permitem validações mais seguras eliminando o potencial de erros de configuração.
• Uma conta de avaliação gratuita.

Observação

No caso do BreakingPoint Cloud, primeiro você precisa criar uma conta do BreakingPoint Cloud.

Exemplos de valores de ataque:

Configuração	Valor
Endereço IP de destino	Insira um endereço IP público que você deseja testar.
Número da porta	Inserir 443.
Perfil de DDoS	Os valores possíveis incluem DNS Flood, NTPv2 Flood, SSDP Flood, TCP SYN Flood, UDP 64B Flood, UDP 128B Flood, UDP 256B Flood, UDP 512B Flood, UDP 1024B Flood, UDP 1514B Flood, UDP Fragmentation, UDP Memcached.
Tamanho do teste	Os valores possíveis incluem 100K pps, 50 Mbps and 4 source IPs, 200K pps, 100 Mbps and 8 source IPs, 400K pps, 200Mbps and 16 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Duração do teste	Os valores possíveis incluem 10 Minutes, 15 Minutes, 20 Minutes, 25 Minutes, 30 Minutes.

Observação

• Para obter mais informações sobre como usar o BreakingPoint Cloud com seu ambiente do Azure, confira este blog do BreakingPoint Cloud.
• Para ver uma demonstração em vídeo da utilização do BreakingPoint Cloud, confira Simulação de ataque de negação de serviço distribuído.

Red Button

O pacote de serviços de Teste de DDoS do Red Button inclui três fases:

1. Sessão de planejamento: especialistas do Red Button se reúnem com sua equipe para entender sua arquitetura de rede, reunir detalhes técnicos e definir metas claras e agendamentos de teste. Isso inclui o planejamento de destinos e escopo de teste do DDoS, vetores de ataque e taxas de ataque. O esforço de planejamento conjunto é detalhado em um documento de plano de teste.
2. Ataque DDoS controlado: com base nas metas definidas, a equipe do Red Button inicia uma combinação de ataques de DDoS multi-vetor. O teste normalmente dura entre três a seis horas. Os ataques são executados com segurança usando servidores dedicados e são controlados e monitorados usando o console de gerenciamento do Red Button.
3. Resumo e recomendações: a equipe do Red Button fornece um relatório de teste de DDoS escrito que descreve a eficácia da mitigação de DDoS. O relatório inclui um resumo executivo dos resultados do teste, um log completo da simulação, uma lista de vulnerabilidades em sua infraestrutura e recomendações sobre como corrigi-los.

Aqui está um exemplo de um relatório de teste de DDoS do Red Button:

Além disso, o Red Button oferece dois outros conjuntos de serviços, DDoS 360 e DDoS Incident Response, que podem complementar o pacote de serviços de Teste de DDoS.

RedWolf

A RedWolf oferece um sistema de teste fácil de usar que é autoatendido ou guiado por especialistas da RedWolf. O sistema de teste da RedWolf permite que os clientes configurem vetores de ataque. Os clientes podem especificar tamanhos de ataque com controle em tempo real nas configurações para simular cenários de DDoS do mundo real em um ambiente controlado.

O conjunto de serviços de Teste de DDoS da RedWolf inclui:

• Vetores de ataque: ataques de nuvem exclusivos projetados pela RedWolf. Para obter mais informações sobre os vetores de ataque do RedWolf, confira Detalhes técnicos.
• Serviço guiado: aproveite a equipe do RedWolf para executar testes. Para obter mais informações sobre o serviço guiado do RedWolf, confira Serviço guiado.
• Autoatendimento: aproveite o RedWolf para executar testes por conta própria. Para obter mais informações sobre o autoatendimento do RedWolf, confira Autoatendimento.

MazeBolt

A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupção das operações comerciais.

Próximas etapas

Para visualizar as métricas e os alertas de ataque após um ataque, prossiga para os próximos tutoriais.

Exibir alertas no Defender para NuvemExibir logs de diagnóstico no workspace do Log AnalyticsInteragir com a Resposta Rápida contra DDoS do Azure