Повышение защиты от DDoS-атак в Microsoft Azure с помощью DDoS Standard

Опубликовано: 2 Марта, 2023
Повышение защиты от DDoS-атак в Microsoft Azure с помощью DDoS Standard

Если вы размещаете свои приложения, размещенные в Microsoft Azure, в Интернете, вы бесплатно защищены встроенной защитой от DDoS (распределенный отказ в обслуживании). Эта функция всегда включена в Azure в рамках защиты платформы. Однако мы можем перейти на дополнительный уровень безопасности и включить платную функцию DDoS Standard, которая добавляет дополнительные функции в вашу облачную инфраструктуру.

В соответствии с документацией Azure атаки DDoS подразделяются на три типа. Они есть:

  • Объемные атаки: группа подключений пытается исчерпать сетевые ресурсы. Злоумышленник использует несколько зараженных систем для создания соединений одновременно по протоколам TCP, UDP или ICMP.
  • Атаки на протоколы: они нацелены на протоколы приложений. Злоумышленник отправляет искаженные пакеты, чтобы приложение отвечало и ждало ответа, создавая тем самым задержку или сбой.
  • Ресурсные атаки: основная цель — исчерпать ресурсы, попросив процесс с высоким спросом перегрузить свою цель. Обычно они являются целью протоколов HTTP/HTTPS или DNS.

В чем разница между бесплатной и стандартной DDoS?

Вам может быть интересно, есть ли у меня базовая услуга DDoS бесплатно в рамках моей подписки, в чем отличие платной опции DDoS Standard? Прежде чем ответить на вопрос, давайте разберемся, что предлагается в базовой версии DDoS.

Защита от DDoS-атак в Azure включает как программные, так и аппаратные компоненты, и все клиенты Azure используют эту защиту. Когда объем трафика высок и атака кажется неизбежной, программная часть DDoS перенаправляет трафик на определенные аппаратные устройства. Эти устройства будут выполнять дальнейший анализ и удалять любые вредоносные запросы. Как клиент, вы не можете контролировать описанный выше сценарий. Он встроен в платформу Azure. Имейте в виду, что вы делите среду с несколькими другими арендаторами, и основной целью защиты является защита Azure, а не вашего конкретного приложения.

Это резюмирует DDoS Basic (бесплатно). Теперь давайте посмотрим на дополнительные возможности DDoS Standard. Во-первых, трафик вашего приложения отслеживается 24/7. Таким образом, любые возможные DDoS-атаки, специфичные для вашего сервиса, будут защищены. Возможно, объема атаки не хватило бы для срабатывания защиты DDoS basic, но при использовании DDoS Standard вы будете защищены. Второе преимущество — видимость: администратор облака может просматривать журналы, использовать Azure Monitor и связываться с экспертной группой DDoS во время атаки.

При использовании Шлюза приложений Azure защита от DDoS защищает от распространенных атак, таких как нарушения протокола HTTP, внедрение SQL, XSS и атаки с ограничением скорости запроса.

Создание и включение плана защиты от DDoS

Конфигурация на стороне Microsoft Azure проста. Нам нужно связать существующий план DDoS с виртуальной сетью. Для этого откройте нужную виртуальную сетевую колонку на портале Azure, затем щелкните Защита от DDoS.

По умолчанию он будет настроен как Basic. Нажмите «Стандартный» и выберите план DDoS из списка. Если это ваш первый план, нажмите ссылку «Создать план защиты от DDoS».

Для создания плана защиты от DDoS требуется только имя, которое мы хотим ему присвоить, и ничего больше. Творение изображено на изображении ниже.

После создания мы можем перечислить все существующие планы защиты от DDoS. Выполните поиск по и в колонке будет показан список всех защищенных виртуальных сетей. Помните, что любой общедоступный IP-адрес, связанный с используемой виртуальной сетью, будет защищен.

Тестирование стандартного предложения DDoS

Существует партнер Microsoft (Ixiacom), который позволяет имитировать DDoS-атаку, генерируя трафик. Это помогает увидеть, как работает эта функция, и помогает подготовить вашу команду к атаке. Мы собираемся использовать их бесплатную пробную версию для имитации DDoS-атаки.

Первый шаг — получить доступ к пробной версии по этой ссылке здесь. После предоставления вашей информации и активации вашего адреса электронной почты мы можем войти на веб-сайт партнера, и у нас есть тестовая конфигурация DDoS. Нам необходимо предоставить подписку Azure (пункт 1), и для подтверждения подписки потребуется проверка подлинности в Azure.

После этого нам нужно ввести публичный IP-адрес виртуальной машины, которую мы собираемся тестировать, номер порта, тип DDoS-атаки, размер теста и продолжительность. После заполнения всей этой информации нажмите «Начать тестирование».

Аудит DDoS-атаки

Мы можем проверить на общедоступном IP-адресе и выбрать все журналы DDoS (уведомления, потоки и меры по смягчению последствий) и сохранить их в учетной записи хранения, концентраторе событий или в журнале аналитики.

Использование метрик и настройка оповещений

При использовании DDoS Standard администратор может открыть Azure Monitor, чтобы проверить метрики, связанные с DDoS. Выберите публичный IP-ресурс, защищенный стандартом DDoS, и выберите метрики DDoS (они содержат DDoS в своих именах).

Важным из них является Under DDos Attack. Когда значение равно 1, мы знаем, что этот конкретный общедоступный IP-адрес подвергается атаке.

Мы можем использовать Azure Monitor для создания правил, чтобы информировать группы безопасности и операций, когда общедоступные IP-адреса подвергаются атаке. Нам нужно выбрать нужный публичный IP-адрес, выбрать «Метрики» (пункт 2) и «Все» (пункт 3), затем выбрать «Под атакой DDoS или нет».

Стандарт DDoS: где найти информацию о стоимости

Эта функция превосходна и имеет большое значение, если вы хотите добавить дополнительный уровень безопасности к своим приложениям, размещенным в Microsoft Azure.

Ключевым моментом, на который стоит обратить внимание, является цена. DDoS Standard стоит около 3000 долларов США для применения к 100 ресурсам. Если у вас есть более 100 ресурсов (связанных с общедоступным IP), взимается плата в размере 30 долларов США за ресурс. Кроме того, есть стоимость обрабатываемых данных в месяц, первый уровень — от 0 до 100 ТБ (терабайт), а цена — 0,05 доллара США.

Если у вас несколько подписок, ресурсы учитываются на уровне регистрации, а плата за обработку данных взимается на уровне подписки.

Если вам нужна дополнительная информация о стоимости DDoS Standard, вы можете использовать эту ссылку здесь.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023