Компоненты стратегии реагирования на атаки DDoS
Атака DDoS, нацеленная на ресурсы Azure, обычно требует минимального вмешательства пользователя. Тем не менее включение устранения атак DDoS в рамках стратегии реагирования на инциденты минимизирует влияние на непрерывность бизнес-процессов.
Анализ угроз корпорации Майкрософт
Корпорация Майкрософт имеет обширную сеть интеллектуальных угроз. Эта сеть использует общий набор знаний расширенного сообщества по безопасности, поддерживающее веб-службы и партнеров Майкрософт, а также отношения в сообществе по интернет-безопасности.
Как поставщик ключевой инфраструктуры корпорация Майкрософт первой получает предупреждения об угрозах. Мы собираем аналитику угроз, полученную от своих веб-служб и глобальной клиентской базы Майкрософт. Корпорации Майкрософт включает всю эту аналитику угроз в продукты защиты от атак DDoS Azure.
Кроме того, команда Microsoft Digital Crimes Unit (DCU) реализует наступательные стратегии против ботнетов. Ботнеты – распространенный источник управления и контроля для атак DDoS.
Оценка риска ресурсов Azure
Необходимо определить область риска от атаки DDoS на постоянной основе. Периодически задавайтесь вопросами:
Какие новые общедоступные ресурсы Azure нуждаются в защите?
Существует ли в службе единая точка отказа?
Как изолировать службы, чтобы ограничить влияние атаки, и по-прежнему предоставлять услуги допустимым клиентам?
Существуют ли виртуальные сети, в которых должна быть включена защита от атак DDoS?
Активны ли службы с отработкой отказа в нескольких регионах?
Важно понимать нормальное поведение приложения и подготовиться к действиям, если приложение не работает должным образом во время атаки DDoS. Настройте для всех критически важных для бизнеса приложений мониторы, которые имитируют поведение клиента и оповещают при обнаружении важных аномалий. Изучите рекомендации по мониторингу и диагностике, которые помогут вам получать сведения о работоспособности приложения.
Azure Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте Application Insights для мониторинга веб-приложения в реальном времени. Она автоматически обнаруживает аномалии производительности. Эта служба включает аналитические средства, которые помогут вам диагностировать проблемы и понять, что пользователи делают в вашем приложении. Эта служба помогает постоянно улучшать производительность и удобство использования.
Команда реагирования на атаки DDoS
Создание команды реагирования на атаки DDoS является ключевым шагом эффективного и быстрого реагирования на атаку. Определите контакты в организации, которые будут контролировать планирование и выполнение. Эта группа реагирования на DDoS должна тщательно изучить службу Защиты от атак DDoS Azure. Убедитесь, что команда может выявлять и устранять атаку, взаимодействуя с внутренними и внешними клиентами, включая группу поддержки Майкрософт.
Мы рекомендуем добавить в обычный процесс планирования доступности служб и непрерывной работы задачи моделирования, которые включают нагрузочное тестирование. См. статью о тестировании через моделирования, чтобы получить сведения об имитации трафика атак DDoS на общедоступные конечные точки Azure.
Предупреждения во время атаки
Защита от атак DDoS обнаруживает и устраняет атаки DDoS без вмешательства пользователя. Настройте оповещения, чтобы получать информацию о применении мер устранения рисков для защищенного общедоступного IP-адреса.
Обращаться в службу поддержки Майкрософт необходимо в следующих случаях:
Клиенты защиты от атак DDoS Azure имеют доступ к команде быстрого реагирования на атаки DDoS (DRR), которая может помочь с исследованием атак во время атаки, а также анализом после атаки. Дополнительные сведения, в том числе о том, когда следует привлечь команду DRR, см. в разделе Быстрое реагирование на DDoS. Клиенты защиты от атак DDoS Azure должны создать запрос на подключение к службе поддержки Майкрософт. Дополнительные сведения см. в статье Создание запроса на поддержку.
Действия после атаки
Рекомендуем после атаки выполнить итоговый анализ и при необходимости изменить стратегию реагирования на атаки DDoS. Необходимо учитывать следующее:
Было ли обнаружено какое-либо нарушение работы службы или пользователя из-за отсутствия масштабируемой архитектуры?
Какие приложения или службы пострадали больше всего?
Насколько эффективна стратегия реагирования на атаки DDoS и как ее можно улучшить?
Если вы подозреваете, что находитесь под атакой DDoS, используйте обычные каналы поддержки Azure.
Следующие шаги
- Узнайте, как настроить оповещения метрик на портале.
- Узнайте, как использовать быстрое реагирование на DDoS.