Distribuera Azure DDoS Protection med hjälp av Azure-portalen
Distribuerad denial of service (DDoS)
DoS (Denial of Service Attack) är en attack som har som mål att förhindra åtkomst till tjänster eller system. Om attacken kommer från en plats kallas den doS. Om attacken kommer från flera nätverk och system kallas den distribuerad denial of service (DDoS).
DDoS-attacker (Distributed Denial of Service) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker tömma ett API:s eller programmets resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.
DDoS-implementering
Azure DDoS Protection, kombinerat med metodtips för programdesign, ger skydd mot DDoS-attacker. Azure DDoS Protection får du med följande tjänstnivåer:
Nätverksskydd
Tillhandahåller ytterligare åtgärdsfunktioner för DDoS-infrastrukturskydd som är specifikt anpassade till Azure Virtual Network-resurser. Azure DDoS Protection är enkelt att aktivera och kräver inga programändringar. Skyddsprinciperna justeras via särskilda algoritmer för trafikövervakning och maskininlärning. Principer tillämpas på offentliga IP-adresser som är associerade med resurser som distribueras i virtuella nätverk, till exempel Azure Load Balancer, Azure Application Gateway och Azure Service Fabric-instanser, men det här skyddet gäller inte för App Service-miljön. Telemetri i realtid är tillgängligt via Azure Monitor-vyer under en attack och för historik. Omfattande analys av attackreducering är tillgängliga via diagnostikinställningar. Skydd på programnivå kan läggas till via Azure Application Gateway-brandväggen för webbprogram eller genom att installera en brandvägg från tredje part från Azure Marketplace. Skydd tillhandahålls för offentliga IP-adresser för IPv4 och IPv6 Azure.
IP-skydd
DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i mervärdestjänster som DDoS snabbsvarssupport, kostnadsskydd och rabatter på WAF.
DDoS Protection skyddar resurser i ett virtuellt nätverk, inklusive offentliga IP-adresser som är associerade med virtuella datorer, lastbalanserare och programgatewayer. I kombination med Application Gateway-brandväggen för webbprogram eller en brandvägg från tredje part som distribuerats i ett virtuellt nätverk med en offentlig IP-adress, kan DDoS Protection tillhandahålla en fullständig skikt 3-till-lager 7-åtgärdsfunktion.
Varje egenskap i Azure skyddas av Azures DDoS-infrastrukturskydd (Basic) utan extra kostnad. Azure DDoS Protection är en betaltjänst som är utformad för tjänster som distribueras i ett virtuellt nätverk.
Typer av DDoS-attacker
DDoS Protection kan minimera följande typer av attacker:
Volymetriska attacker
Dessa attacker översvämmar nätverksskiktet med en betydande mängd till synes legitim trafik. De omfattar UDP-översvämningar, förstärkningsfloder och andra falska paketöversvämmningar. DDoS Protection minimerar dessa potentiella attacker med flera gigabyte genom att absorbera och rensa dem, med Azures globala nätverksskala, automatiskt.
Protokollattacker
De här attackerna renderar ett oåtkomligt mål genom att utnyttja en svaghet i lager 3 och lager 4-protokollstacken. De omfattar SYN-översvämningsattacker, reflektionsattacker och andra protokollattacker. DDoS Protection minimerar dessa attacker, skiljer mellan skadlig och legitim trafik, genom att interagera med klienten och blockera skadlig trafik.
Resursnivåattacker (program)
Dessa attacker riktar sig mot webbprogrampaket för att störa överföringen av data mellan värdar. De omfattar HTTP-protokollöverträdelser, SQL-inmatning, skript för flera platser och andra layer 7-attacker. Använd en brandvägg för webbprogram, till exempel Azure Application Gateway-brandväggen för webbprogram, och DDoS Protection för att skydda mot dessa attacker. Det finns även brandväggserbjudanden från tredje part på Azure Marketplace.
Azure DDoS-skyddsfunktioner
Några av Azure DDoS-skyddsfunktionerna är:
- Intern plattformsintegrering: Internt integrerad i Azure och konfigurerad via portalen.
- Nyckelfärdigt skydd: Förenklad konfiguration som skyddar alla resurser omedelbart.
- Alltid på trafikövervakning: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan och letar efter indikatorer för DDoS-attacker.
- Anpassningsbar justering: Profilering och anpassning till tjänstens trafik.
- Attackanalys: Få detaljerade rapporter i femminuterssteg under en attack och en fullständig sammanfattning när attacken har avslutats.
- Attackmått och aviseringar: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor. Aviseringar kan konfigureras i början och stoppet av en attack och under attackens varaktighet med hjälp av inbyggda attackmått.
- Skydd i flera lager: När det distribueras med en brandvägg för webbprogram (WAF) skyddar DDoS Protection både på nätverksskiktet (Layer 3 och 4, som erbjuds av Azure DDoS Protection) och på programskiktet (Layer 7, som erbjuds av en WAF).
Låt oss titta lite mer detaljerat på några av dessa viktiga funktioner.
Trafikövervakning med alltid igång
DDoS Protection övervakar den faktiska trafikanvändningen och jämför den ständigt med de tröskelvärden som definieras i DDoS-principen. När trafiktröskelvärdet överskrids initieras DDoS-begränsning automatiskt. När trafiken returnerar under tröskelvärdena stoppas åtgärden.
Under åtgärden omdirigeras trafik som skickas till den skyddade resursen av DDoS-skyddstjänsten och flera kontroller utförs, till exempel:
- Se till att paketen överensstämmer med Internetspecifikationerna och inte är felaktigt utformade.
- Interagera med klienten för att avgöra om trafiken kan vara ett förfalskat paket (t.ex. SYN Auth eller SYN Cookie eller genom att släppa ett paket för källan för att överföra det igen).
- Hastighetsbegränsningspaket om ingen annan tvingande metod kan utföras.
DDoS-skydd släpper attacktrafik och vidarebefordrar den återstående trafiken till det avsedda målet. Inom några minuter efter attackidentifieringen meddelas du med hjälp av Azure Monitor-mått. Genom att konfigurera loggning på DDoS Protection-telemetri kan du skriva loggarna till tillgängliga alternativ för framtida analys. Måttdata i Azure Monitor för DDoS Protection behålls i 30 dagar.
Anpassningsbar realtidsjustering
Azure DDoS Protection-tjänsten hjälper till att skydda kunder och förhindra påverkan på andra kunder. Om en tjänst till exempel etableras för en typisk volym av legitim inkommande trafik som är mindre än utlösarfrekvensen för den infrastrukturomfattande DDoS Protection-principen kan en DDoS-attack på kundens resurser gå obemärkt förbi. Mer allmänt kräver komplexiteten i de senaste attackerna (till exempel DDoS med flera vektorer) och klientorganisationens programspecifika beteenden anpassade skyddsprinciper per kund.
Tjänsten utför detta med hjälp av två insikter:
- Automatisk inlärning av trafikmönster per kund (per offentlig IP) för Layer 3 och 4.
- Minimera falska positiva identifieringar med tanke på att Azures skala gör att den kan absorbera en betydande mängd trafik.
Attackmått, aviseringar och loggar
DDoS Protection exponerar omfattande telemetri via Azure Monitor-verktyget. Du kan konfigurera aviseringar för något av de Azure Monitor-mått som DDoS Protection använder. Du kan integrera loggning med Splunk (Azure Event Hubs), Azure Monitor-loggar och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.
I Azure-portalen väljer du Övervaka > mått. I fönstret Mått väljer du resursgruppen, väljer en resurstyp med offentlig IP-adress och väljer din offentliga IP-adress i Azure. DDoS-mått visas i fönstret Tillgängliga mått .
DDoS Protection tillämpar tre principer för automatisk begränsning (SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen i det virtuella nätverk som har DDoS aktiverat. Du kan visa principtrösklarna genom att välja paketen Inkommande [SYN/TCP/UDP] för att utlösa DDoS-åtgärdsmått som du ser i exemplet nedan.
Principtrösklarna konfigureras automatiskt via maskininlärningsbaserad nätverkstrafikprofilering. DDoS-minskning sker endast för en IP-adress under attack när principtröskelvärdet överskrids.
Om den offentliga IP-adressen är under attack ändras värdet för under DDoS-attacken eller inte till 1 eftersom DDoS Protection utför åtgärder för attacktrafiken.
Vi rekommenderar att du konfigurerar en avisering för det här måttet eftersom du får ett meddelande om det finns en aktiv DDoS-åtgärd som utförs på din offentliga IP-adress.
Skydd i flera lager
Du bör konfigurera en brandvägg för webbprogram (WAF) för att skydda webbprogram som är specifika för resursattacker på programnivå. En WAF inspekterar inkommande webbtrafik för att blockera SQL-inmatningar, skript mellan webbplatser, DDoS och andra Layer 7-attacker. Azure tillhandahåller WAF som en funktion i Application Gateway för centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter. Det finns andra WAF-erbjudanden som är tillgängliga från Azure-partner som kan vara lämpligare för dina behov via Azure Marketplace.
Även brandväggar för webbprogram är mottagliga för volymtriska och tillståndsöverbelastningsattacker. Därför rekommenderar vi starkt att du aktiverar DDoS Protection i det virtuella WAF-nätverket för att skydda mot volym- och protokollattacker.
Distribuera en DDoS-skyddsplan
De viktigaste stegen i distributionen av en DDoS Protection-plan är följande:
- Skapa en resursgrupp
- Skapa en DDoS-skyddsplan
- Aktivera DDoS-skydd på ett nytt eller befintligt virtuellt nätverk eller IP-adress
- Konfigurera DDoS-telemetri
- Konfigurera DDoS-diagnostikloggar
- Konfigurera DDoS-aviseringar
- Kör en DDoS-testattack och övervaka resultatet.