Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены рекомендации по созданию устойчивых служб DDoS на Azure. Используйте это руководство для защиты приложений с помощью Azure защиты от атак DDoS в областях выбора уровней, проектирования безопасности, масштабируемости, многоуровневой защиты, мониторинга, тестирования и планирования реагирования.
Выбор правильного уровня защиты
Azure Защита от атак DDoS предоставляет два уровня для соответствия различным потребностям защиты:
- Защита IP-адресов DDoS: Per-IP защиту для небольшого количества общедоступных IP-адресов. Лучше всего подходит для небольших развертываний, требующих защиты от атак DDoS без дополнительных функций.
- Защита сети DDoS: расширенная защита ресурсов виртуальной сети с дополнительными функциями, включая поддержку быстрого реагирования DDoS (DRR), гарантии защиты затрат и скидки брандмауэра веб-приложений (WAF).
Оцените требования на основе количества ресурсов общедоступного IP-адреса, необходимости в поддержке быстрого реагирования DDoS и требованиях к защите затрат. Подробное сравнение функций, ограничений и цен между двумя уровнями см. в разделе >Azure Сравнение уровня защиты от атак DDoS.
Проектирование для безопасности
Убедитесь, что безопасность является приоритетом на протяжении всего жизненного цикла приложения — от проектирования и реализации до развертывания и эксплуатации. Приложения могут иметь ошибки, позволяющие относительно низкому объему запросов использовать чрезмерное количество ресурсов, что приводит к сбою службы.
Чтобы защитить службу в Azure:
- Общие сведения об архитектуре приложения: сосредоточьтесь на пяти основных аспектах качества программного обеспечения. Узнайте об объемах трафика, модели подключения между вашим приложением и другими приложениями, а также о конечных точках службы, доступных через общедоступный Интернет.
- План устойчивости при отказах в обслуживании: Убедитесь, что приложение достаточно устойчиво, чтобы справиться с отказами в обслуживании, направленными на уровень приложений, такими как HTTP-флуды.
- Методики разработки безопасностиApply: безопасность и конфиденциальность встроены на платформу Azure, начиная с жизненного цикла разработки Security Development Lifecycle (SDL). SDL обращается к безопасности на каждом этапе разработки и гарантирует, что Azure постоянно обновляется, чтобы сделать его еще более безопасным.
- Следуйте основным требованиям безопасности Azure: Просмотрите основные требования безопасности Azure для защиты от DDoS-атак, чтобы согласовать вашу конфигурацию с эталоном безопасности облака Microsoft.
Проектирование для масштабируемости
Масштабируемость — это способность системы успешно обрабатывать повышенную нагрузку. Проектируйте свои приложения таким образом, чтобы они поддерживали горизонтальное масштабирование в случае усиления нагрузки, особенно в случае атаки DDoS. Если приложение зависит от одного экземпляра службы, создается единая точка отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.
Рассмотрим следующие стратегии масштабируемости:
- Azure App Service: выберите план App Service, который поддерживает несколько экземпляров. Настройте правила автомасштабирования для автоматического масштабирования на основе метрик, таких как использование ЦП или количество запросов.
- Azure Virtual Machines. Убедитесь, что архитектура виртуальной машины включает несколько виртуальных машин и что каждая виртуальная машина включена в набор доступности. Используйте Virtual Machine Scale Sets для автомасштабирования возможностей.
- Кэширование и распределение нагрузки: используйте Azure Front Door для глобальной балансировки нагрузки, разгрузки SSL и кэширования статического контента. Кэширование снижает нагрузку на внутренние ресурсы и сокращает влияние пиков трафика.
- Azure Load Balancer: распределяйте трафик между несколькими экземплярами, чтобы предотвратить перегрузку одного ресурса.
Рекомендуемые архитектуры защиты от атак DDoS для распространенных типов рабочих нагрузок см. в справочных архитектурах защиты от атак DDoS.
Реализация многоуровневой защиты
В глубокой стратегии защиты используется несколько уровней безопасности, чтобы снизить риск успешной атаки. Используйте встроенные возможности платформы Azure для реализации безопасных конструкций для приложений.
Уменьшение поверхности атаки
Уменьшите экспозицию, минимизировав общедоступную область поверхности:
- Используйте Azure Private Link для доступа к службам PaaS Azure через частную конечную точку в виртуальной сети, устраняя уязвимость к общедоступному Интернету.
- Используйте список разрешений, чтобы ограничить доступное пространство IP-адресов и прослушивать порты, которые не нужны для подсистем балансировки нагрузки (Azure Load Balancer и Azure Application Gateway).
- Используйте группы безопасности сети (NSG) для ограничения трафика.
- Используйте теги служб и группы безопасности приложений , чтобы упростить создание правил безопасности и настроить сетевую безопасность в качестве естественного расширения структуры приложения.
- Разверните службы Azure в сети virtual по возможности, чтобы ресурсы службы взаимодействовали через частные IP-адреса. Используйте конечные точки службы для переключения трафика службы для использования частных адресов виртуальной сети в качестве исходных IP-адресов.
Защита сетевого слоя (L3/L4)
Azure защита от атак DDoS обеспечивает автоматическую защиту от атак уровня сети (L3/L4), протокола и атак на уровень ресурсов. Ключевые возможности:
- Мониторинг трафика Always-on: Защита от атак DDoS отслеживает шаблоны трафика приложения для обнаружения аномалий. Защита активируется автоматически, когда трафик превышает пороговые значения.
- Адаптивная настройка в режиме реального времени: защита от атак DDoS профилирует трафик приложения со временем и выбирает профиль устранения рисков, подходящий для вашей службы.
- Интеграция Azure Firewall: Объединение Azure Firewall с защитой от атак DDoS в виртуальной сети для обеспечения дополнительной фильтрации на сетевом уровне и интеллектуального анализа угроз. Рекомендации по архитектуре см. в статье Azure Firewall и эталонные архитектуры защиты от атак DDoS.
Защита уровня приложений (L7)
Azure защита от атак DDoS фокусируется на атаках уровня сети (L3/L4). Для атак уровня приложения (L7), таких как HTTP-флуды и слоулорис, объедините защиту от атак DDoS с брандмауэром веб-приложения (WAF),
- Разверните Azure Web Application Firewall на Azure Front Door или Azure Application Gateway для защиты от атак L7.
- Используйте настраиваемые правила WAF для определения и блокировки вредоносного трафика автоматически.
- Включите защиту бота для блокировки известных вредоносных ботов.
- Используйте геофильтрация , чтобы ограничить трафик из регионов, где вы не ожидаете законных пользователей.
Подробные инструкции по стратегиям защиты от атак DDoS на уровне приложений см. в разделе "Защита от атак DDoS приложения".
Интеграция с Microsoft Sentinel
Используйте решение DDoS Azure DDoS для Microsoft Sentinel для выявления проблемных источников DDoS, сопоставления данных атаки с другими событиями безопасности и предотвращения переключения злоумышленников на другие типы атак, например кражу данных.
Защита гибридных сред
Если вы подключаете локальную среду к Azure, минимизируйте воздействие локальных ресурсов на общедоступный интернет. Используйте возможности масштабирования и расширенной защиты от атак DDoS Azure путем развертывания известных общедоступных сущностей в Azure. Так как эти общедоступные сущности часто являются мишенью для атак DDoS, их размещение в Azure снижает влияние на локальные ресурсы.
Настройка мониторинга и оповещений
Настройте мониторинг и оповещения для быстрого обнаружения атак DDoS и понимания состояния защиты:
- Настройка оповещений метрик: создание оповещений для ключевых метрик защиты от атак DDoS, таких как под атакой DDoS или нет, сброшенные входящие пакеты DDoS и входящие пакеты SYN для активации смягчения DDoS. Оповещения уведомляют вас немедленно при обнаружении атаки. Пошаговые инструкции см. в разделе Настройка оповещений метрик защиты от DDoS в Azure.
- Просмотр оповещений в Microsoft Defender для облака: защита от атак DDoS автоматически отправляет оповещения о смягчении в Microsoft Defender для облака при обнаружении атаки. Используйте Defender для облака, чтобы получить унифицированное представление оповещений DDoS вместе с другими оповещениями системы безопасности. Дополнительные сведения см. в разделе Просмотр оповещений службы Azure DDoS Protection в Microsoft Defender for Cloud.
- Включение ведения журнала диагностики: включение журналов диагностики для записи отчетов об устранении рисков DDoS, журналов потоков и уведомлений. Используйте эти журналы для анализа после атак и аудита соответствия требованиям.
- Просмотрите данные телеметрии защиты от атак DDoS: используйте метрики и журналы диагностики, чтобы понять шаблоны трафика во время атак и оценить эффективность устранения рисков. Подробные рекомендации по мониторингу см. в разделе Monitor Azure DDoS Protection.
- Контроль производительности приложения: используйте Azure Application Insights для мониторинга веб-приложения и обнаружения аномалий производительности. Понимание нормального поведения приложения помогает выявить ухудшение состояния во время атаки DDoS. Подробные инструкции см. в статье "Стратегия реагирования на DDoS".
Тестирование и проверка защиты
Регулярно проверяйте защиту от атак DDoS, чтобы убедиться, что приложения и оповещения работают должным образом во время атаки:
- Запустите тесты имитации. Используйте утвержденные корпорацией Майкрософт партнеры по тестированию для имитации атак DDoS на конечные точки Azure. Имитации помогают проверить конфигурацию защиты, настройку оповещений и процедуры реагирования.
- Просмотрите результаты теста: после моделирования просмотрите метрики защиты от атак DDoS и журналы диагностики, чтобы убедиться, что политики устранения рисков активируются правильно.
Инструкции для тестирования партнеров, предварительные требования и пошаговое руководство см. в разделе Тестирование через моделирование.
Планирование стратегии реагирования DDoS
Создайте четкий план реагирования перед атакой, чтобы обеспечить быстрый и эффективный ответ:
- Создайте группу реагирования DDoS: назначьте участников группы, ответственных за координацию ответа на атаку. Включите участников из сетей, приложений и операционных групп.
- Привлечение команды быстрого реагирования DDoS (DRR) с защитой сети DDoS позволяет задействовать группу быстрого реагирования DDoS для расследования во время активной атаки и анализа после её окончания.
- Документ и репетиция: создание модулей Runbook, определение путей эскалации и репетиция ответа на атаки DDoS. Регулярно просматривайте и обновляйте план ответа.
Подробные рекомендации по созданию стратегии реагирования см. в статье "Стратегия реагирования на DDoS".
Дальнейшие действия
- Обзор сравнения уровней защиты от атак DDoS в Azure
- Эталонные архитектуры защиты от атак DDoS
- Мониторинг защиты Azure от атак DDoS
- Настройка оповещений метрик Azure DDoS-защиты
- Тестирование с помощью моделирования
- Стратегия реагирования DDoS
- Защита от атак DDoS приложения
- Оптимизация затрат на защиту от атак DDoS