分享方式:


DDoS 回應策略的元件

從使用者的觀點來看,以 Azure 資源為目標的 DDoS 攻擊所需的介入最少。 儘管如此,仍要將 DDoS 風險降低納入為事件回應策略的一部分,如此有助於盡可能降低對營運能否持續運作的影響。

Microsoft 威脅情報

Microsoft 擁有廣大的威脅情報網路。 此網路會使用延伸安全性社群的共同知識,來支援 Microsoft 線上服務、Microsoft 合作夥伴,以及網際網路安全性社群內的關聯性。

Microsoft 身為重要的基礎結構提供者,會最先收到威脅的警告。 Microsoft 會從自己的線上服務及全球的客戶群收集威脅情報。 Microsoft 會將所有的威脅情報整併回其 Azure DDoS 保護產品中。

此外,Microsoft 數位犯罪防治中心 (DCU) 會對殭屍網路採取進攻策略。 殭屍網路是一種常見的 DDoS 攻擊指揮與控制來源。

Azure 資源的風險評估

請務必持續不斷地了解遭受 DDoS 攻擊的風險範圍。 請定期自問:

  • 有哪些公開使用的 Azure 新資源需要保護?

  • 服務中有單一失敗點嗎?

  • 如何將服務隔離以限制攻擊所產生的影響,同時仍能讓有效的客戶可以使用服務?

  • 是否有虛擬網路應啟用 DDoS 保護,但尚未啟用?

  • 我的服務是否會在跨多個區域進行容錯移轉時處於主動/主動狀態?

請務必了解應用程式的正常行為,並準備在 DDoS 攻擊期間應用程式未如預期般運作時採取行動。 已針對模擬用戶端行為的業務關鍵應用程式設定監視器,並在偵測到相關異常時通知您。 請參閱監視和診斷最佳做法,以深入解析應用程式的健康情況。

Azure Application Insights 是多個平台上的 Web 開發人員所適用的可延伸應用程式效能管理 (APM) 服務。 使用 Application Insights 監視您的即時 Web 應用程式。 它會自動偵測效能異常。 其中包括分析工具可協助您診斷問題,並了解使用者如何運用您的應用程式。 它是設計來協助您持續改善效能和可用性。

客戶 DDoS 回應小組

成立 DDoS 回應小組是快速有效回應攻擊的關鍵步驟。 請找出組織中應負責監督規劃與執行的連絡人。 此 DDoS 回應小組應徹底了解 Azure DDoS 保護服務。 請確保小組能與內部和外部客戶 (包括 Microsoft 支援小組) 同心協力找出攻擊並降低風險。

建議在您的服務可用性與持續性計劃中,常態納入模擬練習,而且這些練習應該包含測試。 請參閱透過模擬進行測試,以了解如何針對您的 Azure 公用端點模擬 DDoS 測試流量。

攻擊時的警示

Azure DDoS 保護會識別 DDoS 攻擊並降低風險,無須使用者介入。 若要在受保護的公用 IP 具有主動式風險降低措施時收到通知,您可以設定警示

何時連絡 Microsoft 支援

Azure DDoS 網路保護客戶可以存取 DDoS 快速回應 (DRR) 小組,該小組可在攻擊期間協助調查攻擊,以及進行攻擊後分析。 如需更多資訊,包括何時應與 DRR 小組互動,請參閱 DDoS 快速回應。 Azure DDoS IP 保護客戶應建立與 Microsoft 支援連線的要求。 如需深入了解,請參閱建立支援要求

攻擊發生後的步驟

遭受攻擊之後進行事後檢討,並視需要重新調整 DDoS 回應策略,永遠都是個不錯的策略。 需考量的事項:

  • 是否因為缺少可調整規模的架構而使得服務或使用者體驗發生任何中斷?

  • 哪些應用程式或服務發生最多?

  • DDoS 回應策略的有效性如何,以及如何加以改善?

如果您懷疑遭到 DDoS 攻擊,請透過一般的 Azure 支援管道呈報。

下一步