Tutorial: Teste de simulação da Proteção contra DDoS do Azure

  • Artigo

É uma boa prática testar suas suposições sobre como seus serviços respondem a um ataque realizando simulações periódicas. Durante o teste, valide se seus serviços ou aplicativos continuam a funcionar conforme o esperado e se não há interrupção na experiência do usuário. Identificar lacunas do ponto de vista da tecnologia e do processo e incorporá-las na estratégia de resposta a DDoS. Recomendamos que você execute esses testes em ambientes de preparo ou fora do horário de pico para minimizar o impacto no ambiente de produção.

As simulações ajudam-no a:

  • Validar como o Azure DDoS Protection ajuda a proteger os recursos do Azure de ataques DDoS.
  • Otimizar o processo de resposta a incidentes sob ataque DDoS.
  • Documentar a conformidade do DDoS.
  • Preparar equipas de segurança de rede.

Política de teste de simulação de DDoS do Azure

Você só pode simular ataques usando nossos parceiros de teste aprovados:

  • BreakingPoint Cloud: um gerador de tráfego de autoatendimento onde seus clientes podem gerar tráfego contra endpoints públicos habilitados para Proteção contra DDoS para simulações.
  • MazeBolt: A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupções nas operações de negócios.
  • Botão Vermelho: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
  • RedWolf: um provedor de testes de DDoS guiado ou self-service com controle em tempo real.

Os ambientes de simulação dos nossos parceiros de teste são criados no Azure. Você só pode simular com endereços IP públicos hospedados no Azure que pertencem a uma assinatura própria do Azure, que será validada por nossos parceiros antes do teste. Além disso, esses endereços IP públicos de destino devem ser protegidos pela Proteção contra DDoS do Azure. Os testes de simulação permitem que você avalie seu estado atual de prontidão, identifique lacunas em seus procedimentos de resposta a incidentes e oriente você no desenvolvimento de uma estratégia de resposta DDoS adequada.

Nota

O BreakingPoint Cloud e o Red Button estão disponíveis apenas para a nuvem pública.

Para este tutorial, você criará um ambiente de teste que inclui:

  • Um plano de proteção contra DDoS
  • Uma rede virtual
  • Um host do Azure Bastion
  • Um balanceador de carga
  • Duas máquinas virtuais

Em seguida, você configurará logs de diagnóstico e alertas para monitorar ataques e padrões de tráfego. Finalmente, você configurará uma simulação de ataque DDoS usando um de nossos parceiros de teste aprovados.

Diagrama da arquitetura do ambiente de teste de Proteção contra DDoS.

Pré-requisitos

Configurar métricas e alertas de Proteção contra DDoS

Neste tutorial, vamos configurar métricas e alertas de Proteção contra DDoS para monitorar ataques e padrões de tráfego.

Configurar logs de diagnóstico

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, digite Monitor. Selecione Monitor nos resultados da pesquisa.

  3. Selecione Configurações de diagnóstico em Configurações no painel esquerdo e, em seguida, selecione as seguintes informações na página Configurações de diagnóstico . Em seguida, selecione Adicionar configuração de diagnóstico.

    Captura de ecrã das definições de diagnóstico do Monitor.

    Definição Value
    Subscrição Selecione a Subscrição que contém o endereço IP público que pretende registar.
    Grupo de recursos Selecione o grupo de recursos que contém o endereço IP público que você deseja registrar.
    Tipo de recurso Selecione Endereços IP públicos.
    Recurso Selecione o endereço IP público específico para o qual você deseja registrar as métricas.

  4. Na página Configuração de diagnóstico , em Detalhes de destino, selecione Enviar para o espaço de trabalho do Log Analytics, insira as seguintes informações e selecione Salvar.

    Captura de ecrã das definições de diagnóstico de DDoS.

    Definição Value
    Nome da definição de diagnóstico Insira myDiagnosticSettings.
    Registos Selecione allLogs.
    Métricas Selecione AllMetrics.
    Detalhes do destino Selecione Enviar para o espaço de trabalho do Log Analytics.
    Subscrição Selecione a subscrição do Azure.
    Área de trabalho do Log Analytics Selecione myLogAnalyticsWorkspace.

Configurar alertas de métricas

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, introduza Alertas. Selecione Alertas nos resultados da pesquisa.

  3. Selecione + Criar na barra de navegação e, em seguida, selecione Regra de alerta.

    Captura de ecrã a mostrar a criação de Alertas.

  4. Na página Criar uma regra de alerta, selecione + Selecionar escopo e selecione as seguintes informações na página Selecionar um recurso.

    Captura de ecrã a mostrar o âmbito do alerta de ataque da Proteção contra DDoS.

    Definição Value
    Filtrar por subscrição Selecione a Subscrição que contém o endereço IP público que pretende registar.
    Filtrar por tipo de recurso Selecione Endereços IP públicos.
    Recurso Selecione o endereço IP público específico para o qual você deseja registrar as métricas.

  5. Selecione Concluído e, em seguida, selecione Seguinte: Condição.

  6. Na página Condição, selecione + Adicionar Condição e, em seguida, na caixa de pesquisa Pesquisar por nome de sinal, pesquise e selecione Em Ataque DDoS ou não.

    Captura de ecrã a mostrar a adição da condição de alerta de ataque da Proteção contra DDoS.

  7. Na página Criar uma regra de alerta, insira ou selecione as seguintes informações. Captura de ecrã a mostrar a adição de um sinal de alerta de ataque à Proteção contra DDoS.

    Definição Value
    Threshold Não altere a predefinição.
    Tipo de agregação Não altere a predefinição.
    Operador Selecione Maior que ou igual a.
    Unit Não altere a predefinição.
    Valor do limiar Digite 1. Para a métrica Sob ataque DDoS ou não, 0 significa que você não está sob ataque, enquanto 1 significa que você está sob ataque.

  8. Selecione Seguinte: Ações e, em seguida, selecione + Criar grupo de ações.

Criar grupo de ações

  1. Na página Criar grupo de ações , insira as seguintes informações e selecione Avançar: Notificações. Captura de ecrã a mostrar a adição das noções básicas do grupo de ação de alertas de ataque da Proteção contra DDoS.

    Definição Value
    Subscrição Selecione sua assinatura do Azure que contém o endereço IP público que você deseja registrar.
    Grupo de Recursos Selecione seu grupo de recursos.
    País/Região Não altere a predefinição.
    Grupo de Ação Digite myDDoSAlertsActionGroup.
    Nome a apresentar Digite myDDoSAlerts.

  2. Na guia Notificações, em Tipo de notificação, selecione E-mail/Mensagem SMS/Push/Voz. Em Nome, digite myUnderAttackEmailAlert.

    Captura de ecrã a mostrar a adição do tipo de notificação de alerta de ataque da Proteção contra DDoS.

  3. Na página Email/SMS message/Push/Voice, marque a caixa de seleção Email e insira o e-mail necessário. Selecione OK.

    Captura de ecrã a mostrar a página de notificação de alerta de ataque à Proteção contra DDoS.

  4. Selecione Rever + criar e, em seguida, selecione Criar.

Continuar a configurar alertas através do portal

  1. Selecione Next: Details.

    Captura de ecrã a mostrar a página de detalhes do alerta de ataque da Proteção contra DDoS.

  2. Na guia Detalhes, em Detalhes da regra de alerta, insira as seguintes informações.

    Definição Value
    Gravidade Selecione 2 - Aviso.
    Nome da regra de alerta Digite myDDoSAlert.

  3. Selecione Rever + criar e, em seguida, selecione Criar após os passos de validação.

Configurar uma simulação de ataque DDoS

Nuvem BreakingPoint

O BreakingPoint Cloud é um gerador de tráfego de autoatendimento onde você pode gerar tráfego contra pontos de extremidade públicos habilitados para Proteção contra DDoS para simulações.

O BreakingPoint Cloud oferece:

  • Uma interface de usuário simplificada e uma experiência "pronta para uso".
  • Modelo de pagamento por utilização.
  • O dimensionamento do teste DDoS predefinido e os perfis de duração do teste permitem validações mais seguras, eliminando o potencial de erros de configuração.
  • Uma conta de avaliação gratuita.

Nota

Para o BreakingPoint Cloud, você deve primeiro criar uma conta do BreakingPoint Cloud.

Exemplos de valores de ataque:

Exemplo de simulação de ataque DDoS: BreakingPoint Cloud.

Definição Value
Endereço IP de destino Introduza um dos seus endereços IP públicos que pretende testar.
Número da Porta Digite 443.
Perfil DDoS Os valores possíveis incluem DNS Flood, NTPv2 Flood, SSDP Flood, , UDP 64B FloodTCP SYN Flood, UDP 128B Flood, UDP 256B Flood, UDP 512B Flood, UDP 1024B Flood, , UDP 1514B Flood, UDP MemcachedUDP Fragmentation.
Tamanho do teste Os valores possíveis incluem 100K pps, 50 Mbps and 4 source IPs, 200K pps, 100 Mbps and 8 source IPs, 400K pps, 200Mbps and 16 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Duração do Teste Os valores possíveis incluem 10 Minutes, 15 Minutes, 20 Minutes, 25 Minutes, 30 Minutes.

Nota

  • Para obter mais informações sobre como usar o BreakingPoint Cloud com seu ambiente do Azure, consulte este blog do BreakingPoint Cloud.
  • Para uma demonstração em vídeo da utilização do BreakingPoint Cloud, consulte Simulação de ataque DDoS.

Botão vermelho

O pacote de serviços de teste de DDoS da Red Button inclui três estágios:

  1. Sessão de planejamento: os especialistas do Botão Vermelho se reúnem com sua equipe para entender sua arquitetura de rede, montar detalhes técnicos e definir metas claras e cronogramas de testes. Isso inclui o planejamento do escopo e alvos do teste DDoS, vetores de ataque e taxas de ataque. O esforço de planeamento conjunto é detalhado num documento do plano de ensaio.
  2. Ataque DDoS controlado: Com base nos objetivos definidos, a equipe do Botão Vermelho lança uma combinação de ataques DDoS multivetoriais. O teste dura normalmente entre três a seis horas. Os ataques são executados com segurança usando servidores dedicados e são controlados e monitorados usando o console de gerenciamento do Botão Vermelho.
  3. Resumo e recomendações: A equipe do Botão Vermelho fornece um relatório de teste de DDoS escrito descrevendo a eficácia da mitigação de DDoS. O relatório inclui um resumo executivo dos resultados do teste, um registro completo da simulação, uma lista de vulnerabilidades em sua infraestrutura e recomendações sobre como corrigi-las.

Aqui está um exemplo de um relatório de teste DDoS do botão vermelho:

Exemplo de relatório de teste DDoS.

Além disso, o Red Button oferece dois outros pacotes de serviços, DDoS 360 e DDoS Incident Response, que podem complementar o pacote de serviços de teste DDoS.

Lobo Vermelho

A RedWolf oferece um sistema de teste fácil de usar que é autossuficiente ou guiado por especialistas da RedWolf. O sistema de testes RedWolf permite que os clientes configurem vetores de ataque. Os clientes podem especificar tamanhos de ataque com controle em tempo real nas configurações para simular cenários de ataque DDoS do mundo real em um ambiente controlado.

O pacote de serviços de teste de DDoS da RedWolf inclui:

  • Vetores de ataque: Ataques de nuvem exclusivos projetados pela RedWolf. Para obter mais informações sobre vetores de ataque RedWolf, consulte Detalhes técnicos.
  • Serviço guiado: Aproveite a equipe da RedWolf para executar testes. Para obter mais informações sobre o serviço guiado do RedWolf, consulte Serviço guiado.
  • Self Service: Aproveite o RedWol para executar testes você mesmo. Para obter mais informações sobre o autosserviço da RedWolf, consulte Self Service.

MazeBolt

A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupções nas operações de negócio.

Próximos passos

Para visualizar métricas de ataque e alertas após um ataque, continue para estes próximos tutoriais.

Ver alertas no defender for cloudExibir logs de diagnóstico no espaço de trabalhodo Log Analytic Envolva-se com o Azure DDoS Rapid Response