Azure DDoS Protection

Azure DDoS, uygulama/servis kaynaklarını tüketmeye çalışan bir saldırı türüdür. Amaç, uygulamanın kullanılabilirliğini ve hizmet verme yeteneğini etkiler. Saldırılar, boyut ve etki açısından daha karmaşık ve büyük hale geliyor. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir. Distributed Denial of Service (DDoS) dayanıklılığı için tasarlamak, çeşitli hata modlarında planlama ve tasarlama gerektirir. Azure, DDoS saldırılarına karşı sürekli koruma sağlar. Bu koruma, varsayılan olarak ve ek maliyet olmadan Azure platformunda tümleşiktir.

Platformda Core DDoS korumasına ek olarak ağ saldırılarına karşı gelişmiş DDoS azaltma özellikleri sağlar. Belirli Azure kaynaklarınızı korumak için otomatik olarak ayarlanır. Yeni sanal ağların oluşturulması sırasında korumanın etkinleştirilmesi basittir. Ayrıca, oluşturulduktan sonra da konfigüre edilebilir.

Güvenlik Tasarımı (Security Design)

Uygulamalar göreceli olarak düşük bir istek hacmine izin veren hatalara sahip olabilir ve bu da hizmet kesintisi oluşmasına neden olur.

Microsoft Azure üzerinde çalışan bir hizmetin korunmasına yardımcı olmak için, uygulama mimarinizi iyi bir şekilde kavramanız ve “five pillars of software quaility” ilgili olarak odaklanmanız gerekir. Tipik trafik birimlerini, uygulama ve diğer uygulamalar arasındaki bağlantı modelini ve genel İnternet ‘e açık olan hizmet uç noktalarını bilmeniz gerekir.

Bir uygulamanın, kendisi için hedeflenen bir hizmet reddine yetecek kadar dayanıklı olmasını sağlamak çok önemlidir. Güvenlik ve gizlilik, güvenlik geliştirme yaşam döngüsü (SDL) Azure platformunda yerleşik olarak bulunur. SDL her geliştirme aşamasında güvenliği adresleyen ve Azure ‘u sürekli olarak daha güvenli hale getirmek için güncelleştirilmesini sağlar.

Derinlemesine Savunma ( Defense in Depth)

Derinlemesine savunma, farklı savunma stratejileri kullanarak riskleri yönetmenizde yarar vardır. Bir uygulamadaki güvenlik savunma katmanları, başarılı bir saldırı olasılığını azaltır. Azure platformunun yerleşik yeteneklerini kullanarak uygulamalarınız için güvenli tasarımlar önerilir.

Örneğin, saldırı riski uygulamanın boyutuyla (yüzey alanı) artar. Açık IP adresi alanını ve yük dengeleyiciler üzerinde gerekli olmayan dinleme bağlantı noktalarını (Azure Load Balancer ve Azure Application Gateway) kapatmak için bir onay listesi kullanarak yüzey alanını azaltabilirsiniz. Ağ güvenlik grupları (NSG ‘ler) , saldırı yüzeyini azaltmak için başka bir yoldur. Uygulama yapısının doğal bir uzantısı olarak güvenlik kuralları oluşturma ve ağ güvenliğini yapılandırma karmaşıklığını en aza indirmek için hizmet etiketlerini ve uygulama güvenlik gruplarını kullanabilirsiniz.

Mümkün olduğunda Azure hizmetlerini bir Sanal ağda dağıtmanız gerekir. Bu uygulama, hizmet kaynaklarının özel IP adresleri üzerinden iletişim kurmasına izin verir. Bir sanal ağdan gelen Azure hizmet trafiği, varsayılan olarak kaynak IP adresleri olarak genel IP adreslerini kullanır. Hizmet uç noktalarının kullanılması, hizmet trafiğini bir sanal ağdan Azure hizmetine ERIŞIRKEN kaynak IP adresleri olarak sanal ağ özel adreslerini kullanacak şekilde geçer.

Şirket içi bir ortamı Azure ‘a bağlıyorsanız, şirket içi kaynakların açık internet ‘te etkilenme olasılığını en aza indirmeniz önerilir. Azure ‘un ölçek ve gelişmiş DDoS koruma özelliklerini kullanarak Azure ‘da iyi bilinen genel varlıkları dağıtabilirsiniz. Bu genel olarak erişilebilen varlıklar, DDoS saldırıları için genellikle bir hedef olduğundan, bunları Azure ‘a koymak, şirket içi kaynaklarınızın etkisini azaltır.

DDoS Basic

Temel koruma, hiçbir ek ücret ödemeden Azure ile varsayılan olarak tümleşiktir. Küresel olarak dağıtılan Azure ağının ölçeği ve kapasitesi, her zaman açık trafik izleme ve gerçek zamanlı risk azaltma aracılığıyla ortak ağ katmanı saldırılarına karşı savunma sağlar. DDoS koruması temel, Kullanıcı Yapılandırması veya uygulama değişikliği gerektirmez. DDoS koruması temel, Azure DNS gibi PaaS hizmetleri de dahil olmak üzere tüm Azure hizmetlerini korumanıza yardımcı olur.

Azure ‘da temel DDoS koruması hem yazılım hem de donanım bileşenlerinden oluşur. Yazılım denetim düzlemi, saldırı trafiğini çözümleyen ve kaldıracak donanım gereçlerinde ne zaman, nerede ve ne tür trafiğe göz atacağını belirler. Denetim düzlemi, altyapı genelinde bir DDoS koruma ilkesini temel alarak bu kararı sağlar. Bu ilke, tüm Azure müşterilerine statik olarak ayarlanır ve evrensel olarak uygulanır.

DDoS Standart

Standart koruma, gelişmiş DDoS azaltma özellikleri sağlar. Bir sanal ağdaki belirli Azure kaynaklarınızı korumaya yardımcı olmak üzere otomatik olarak ayarlanır. Korumanın, yeni veya mevcut bir sanal ağda etkinleştirilmesi basittir ve uygulama veya kaynak değişikliği gerektirmez. Günlük, uyarı ve telemetri dahil olmak üzere temel hizmet üzerinde çeşitli avantajları vardır. Aşağıdaki bölümlerde, Azure DDoS koruması standart hizmetinin temel özellikleri ana hatlarıyla verilmiştir.

Özellikler

Yerel platform tümleştirmesi: Azure ile yerel olarak tümleşiktir. Azure portal aracılığıyla yapılandırmayı içerir. DDoS koruma standardı, kaynaklarınızı ve kaynak yapılandırmanızı anlamıştır.
Anahtar koruma: Basitleştirilmiş yapılandırma, DDoS koruma standardı etkin olduğu anda bir sanal ağ üzerindeki tüm kaynakları hemen korur. Müdahale veya Kullanıcı tanımı gerekli değildir.
Her zaman açık trafik izleme: Uygulama trafik desenleriniz günde 24 saat, haftada 7 gün, DDoS saldırıları için göstergeler aranıyor. DDoS koruma standardı, algılandıktan sonra hızla ve otomatik olarak saldırıyı azaltır.
Uyarlamalı ayarlama: Akıllı trafik profili oluşturma, uygulamanızın zaman içindeki trafiğini öğrenir ve hizmetiniz için en uygun profili seçer ve güncelleştirir. Profil zaman içinde trafik değişikliği olarak ayarlanır.
Çok katmanlı koruma: Bir Web uygulaması güvenlik duvarı (WAF) ile birlikte dağıtıldığında, DDoS koruma standardı hem Ağ katmanında (katman 3 ve 4 ‘ te Azure DDoS koruma standardı tarafından sunulan) hem de uygulama katmanında (bir WAF tarafından sunulan) korunur. WAF teklifleri Azure Application Gateway WAF SKU ‘su ve Azure Marketi’nde bulunan üçüncü taraf Web uygulaması güvenlik duvarı tekliflerini içerir.
Kapsamlı risk azaltma ölçeği: 60 üzerinde farklı saldırı türleri, en büyük bilinen DDoS saldırılarına karşı koruma sağlamak için küresel kapasiteyle birlikte azaltılabilir.
Saldırı Analizi: Saldırı sırasında beş dakikalık artışlarla ayrıntılı raporlar alın ve saldırı bittikten sonra tam bir Özet yapın. Bir saldırı sırasında neredeyse gerçek zamanlı izleme için Azure Sentinel ‘e veya çevrimdışı güvenlik bilgilerine ve olay yönetimi (SIEM) sistemine yönelik günlük azaltma akışı.
Saldırı ölçümleri: Her bir saldırıya ait özetlenen ölçümler Azure Izleyici aracılığıyla erişilebilir.
Saldırı uyarısı: Uyarılar, yerleşik saldırı ölçümleri kullanılarak saldırı başlangıcında ve durdurulduğunda ve saldırının süresi boyunca yapılandırılabilir. Uyarılar, Microsoft Azure Izleme günlükleri, splunk, Azure depolama, e-posta ve Azure portal gibi işletimsel yazılımınızla tümleştirilir.
DDoS hızlı yanıt: saldırı araştırması ve analizine yönelik yardım Için DDoS koruması hızlı yanıt (drr) ekibine katılın. Daha fazla bilgi için bkz. DDoS hızlı yanıt.
Maliyet garantisi: Veri aktarımı ve uygulama genişleme hizmeti kredisi, belgelenen DDoS saldırıları sonucunda oluşan kaynak maliyetleri için alma.