Поделиться через


Компоненты стратегии реагирования на атаки DDoS

Атака DDoS, нацеленная на ресурсы Azure, обычно требует минимального вмешательства пользователя. Тем не менее включение устранения атак DDoS в рамках стратегии реагирования на инциденты минимизирует влияние на непрерывность бизнес-процессов.

Анализ угроз корпорации Майкрософт

Корпорация Майкрософт имеет обширную сеть интеллектуальных угроз. Эта сеть использует общий набор знаний расширенного сообщества по безопасности, поддерживающее веб-службы и партнеров Майкрософт, а также отношения в сообществе по интернет-безопасности.

Как поставщик ключевой инфраструктуры корпорация Майкрософт первой получает предупреждения об угрозах. Мы собираем аналитику угроз, полученную от своих веб-служб и глобальной клиентской базы Майкрософт. Корпорации Майкрософт включает всю эту аналитику угроз в продукты защиты от атак DDoS Azure.

Кроме того, команда Microsoft Digital Crimes Unit (DCU) реализует наступательные стратегии против ботнетов. Ботнеты – распространенный источник управления и контроля для атак DDoS.

Оценка риска ресурсов Azure

Необходимо определить область риска от атаки DDoS на постоянной основе. Периодически задавайтесь вопросами:

  • Какие новые общедоступные ресурсы Azure нуждаются в защите?

  • Существует ли в службе единая точка отказа?

  • Как изолировать службы, чтобы ограничить влияние атаки, и по-прежнему предоставлять услуги допустимым клиентам?

  • Существуют ли виртуальные сети, в которых должна быть включена защита от атак DDoS, но это не так?

  • Активны ли службы с отработкой отказа в нескольких регионах?

Важно понимать нормальное поведение приложения и подготовиться к действиям, если приложение не работает должным образом во время атаки DDoS. Настройте для всех критически важных для бизнеса приложений мониторы, которые имитируют поведение клиента и оповещают при обнаружении важных аномалий. Изучите рекомендации по мониторингу и диагностике, которые помогут вам получать сведения о работоспособности приложения.

Azure Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте Application Insights для мониторинга веб-приложения в реальном времени. Она автоматически обнаруживает аномалии производительности. Эта служба включает аналитические средства, которые помогут вам диагностировать проблемы и понять, что пользователи делают в вашем приложении. Эта служба помогает постоянно улучшать производительность и удобство использования.

Команда реагирования на атаки DDoS

Создание команды реагирования на атаки DDoS является ключевым шагом эффективного и быстрого реагирования на атаку. Определите контакты в организации, которые будут контролировать планирование и выполнение. Эта группа ответов DDoS должна тщательно понимать службу защиты от атак DDoS Azure. Убедитесь, что команда может выявлять и устранять атаку, взаимодействуя с внутренними и внешними клиентами, включая группу поддержки Майкрософт.

Мы рекомендуем добавить в обычный процесс планирования доступности служб и непрерывной работы задачи моделирования, которые включают нагрузочное тестирование. См. статью о тестировании через моделирования, чтобы получить сведения об имитации трафика атак DDoS на общедоступные конечные точки Azure.

Предупреждения во время атаки

Защита от атак DDoS обнаруживает и устраняет атаки DDoS без вмешательства пользователя. Настройте оповещения, чтобы получать информацию о применении мер устранения рисков для защищенного общедоступного IP-адреса.

Обращаться в службу поддержки Майкрософт необходимо в следующих случаях:

Клиенты Защиты сети DDoS Azure имеют доступ к группе DDoS Rapid Response (DRR), которая может помочь в расследовании атак во время анализа атак и после атаки. Дополнительные сведения, включая участие в команде DRR, см. в разделе "Быстрый ответ DDoS". Клиенты защиты IP-адресов Azure DDoS должны создать запрос на подключение к службе поддержки Майкрософт. Дополнительные сведения см. в статье "Создание запроса на поддержку".

Действия после атаки

Рекомендуем после атаки выполнить итоговый анализ и при необходимости изменить стратегию реагирования на атаки DDoS. Необходимо учитывать следующее:

  • Было ли обнаружено какое-либо нарушение работы службы или пользователя из-за отсутствия масштабируемой архитектуры?

  • Какие приложения или службы пострадали больше всего?

  • Насколько эффективна стратегия реагирования на атаки DDoS и как ее можно улучшить?

Если вы подозреваете, что находитесь под атакой DDoS, используйте обычные каналы поддержки Azure.

Следующие шаги