Azure DDoS 保護基本最佳做法 (部分機器翻譯)

下一節提供在 Azure 上建置 DDoS 復原服務的規範性指引。

安全性設計

優先確保應用程式整個生命週期中的安全性，從設計和實作到部署與作業。 應用程式可能存在一些錯誤 (bug)，可允許數量相對較低的要求過度使用大量資源，因而導致服務中斷。

若要協助保護在 Microsoft Azure 上執行的服務，您應該對您應用程式架構有良好的了解，而且必須專注於軟體品質的五大要素。 您應該了解一般流量、應用程式與其他應用程式之間的連線模型，以及公開至公用網際網路的服務端點。

確保應用程式有足夠的彈性，能夠處理以應用程式本身為目標的阻斷服務，至關重要。 從安全性開發週期 (SDL) 開始，安全性和隱私權便會內建於 Azure 平台之中。 SDL 會解決每個開發階段的安全性，並確保 Azure 持續更新，使其更加安全。 如需深入了解使用 DDoS 保護將效率最大化，請參閱最大化有效性: Azure DDoS 保護和應用程式復原的最佳做法。

延展性設計

延展性是指系統能夠處理負載增加的能力。 將您的應用程式設計為可水平調整以滿足放大負載的需求，遭遇 DDoS 攻擊時尤其需要。 如果您的應用程式相依於服務的單一執行個體，它會建立單一失敗點。 佈建多個執行個體可讓系統更有彈性且更具延展性。

對於 Azure App Service，請選擇可提供多個執行個體的 App Service 方案。 對於 Azure 雲端服務，設定您的每個角色以使用多個執行個體。 對於 Azure 虛擬機器，確保虛擬機器 (VM) 架構包含多個 VM，而且每個 VM 都包含於可用性設定組中。 建議您使用虛擬機器擴展集，自動調整功能。

深層防禦

深層防禦背後的概念是使用各種不同的防禦策略來管理風險。 將應用程式中的安全性防禦分層，可降低成功攻擊的機會。 建議您使用 Azure 平台的內建功能，為您的應用程式實作安全設計。

例如，攻擊的風險會隨著應用程式大小 (介面區) 而提高。 您可以使用核准清單來關閉負載平衡器 (Azure Load Balancer 和 Azure 應用程式閘道) 上不需要的公開 IP 位址空間和接聽連接埠，以減少介面區。 網路安全性群組 (NSG) 是減少攻擊面的另一種方法。 您可以使用服務標記和應用程式安全性群組，將建立安全性規則與設定網路安全性的複雜性近可能降低，直到成為應用程式結構的自然延伸。 此外，您可以使用適用於 Microsoft Sentinel 的 Azure DDoS 解決方案來找出冒犯 DDoS 來源，並阻止它們啟動其他複雜的攻擊，例如資料竊取。

應盡可能將 Azure 服務部署於虛擬網路上。 此種做法可讓服務資源透過私人 IP 位址進行通訊。 根據預設，來自虛擬網路的 Azure 服務流量會使用公用 IP 位址作為來源 IP 位址。 使用服務端點，會在從虛擬網路存取 Azure 服務時，將服務流量切換為使用虛擬網路私人位址作為來源 IP 位址。

我們通常會看到客戶的內部部署資源連同其在 Azure 中的資源遭受攻擊。 如果您將內部部署環境連線到 Azure，建議盡量少讓內部部署資源暴露於公用網際網路上。 您可以藉由在 Azure 中部署已知的公用實體，來使用縮放和進階的 DDoS 保護功能。 由於這些可公開存取的實體通常是 DDoS 攻擊的目標，因此，將它們放置於 Azure，可降低對您內部部署資源的影響。

下一步

• 深入了解商務持續性。