DDoS Koruması için Azure Önizleme oluşturma Bu makalede, Azure’da bize, dağıtılmış hizmet reddi (DDoS) saldırılarına karşı bir koruma hizmeti sunan yeni bir önizleme sürümünü analatacağız.
Makale başlıkları
DDoS Saldırıları
Çevrimiçi hizmetler alan şirketlerin en çok endişelerinden biri de DDoS saldırısı hedefi haline geliyor. Bunun bir fidye saldırısı mı yoksa motive bir saldırı mı (sabotaj, rekabet, siyaset, ideoloji) olsun, bir DDoS saldırısı bir şirketin çevrimiçi varlığını kapatabilir. Bu çevrimiçi hizmet, gelir üretmenin ana yoluysa, bu işi dizlerine de getirebilir.
DDoS saldırıları normalde bir robot botu tarafından yürütülür ve bunların hepsi İnternet’teki merkezi (muhtemelen tehlikeye düşen) bir sunucu tarafından yönetilir. Botlar, dünyanın dört bir yanındaki bilgisayarlar ve sunucular olup, bunlar bir trojan indirici aracılığıyla devralınmıştır. Bazı bot ağları (botnet’ler) özel olarak muhafaza edilir ve bazıları kiralanabilir – Ben Bitcoins veya çalınmış bir kredi kartıyla tahmin ediyorum!
DDoS kurbanlarının sadece siyasi partiler, TV şebekeleri veya büyük şirketler olduğuna karar verme hatası yapmayın. Orada bulunan birçok şifreli soyunma klonunda olduğu gibi DDoS saldırıları da bir fidyeyi kurbanın dışına itmek için kullanılabilir. Kimin savunması daha olasıdır ve ödemeye mecburdur? Bir sürü güvenlik sistemi ve BT bütçesi veya çok az güvenlik olanağı ve BT bütçesi olan küçük ölçekli bir işletme ile büyük bir girişim olacak mı? Bir keresinde DDoS saldırısına tanık oldum. Bir çevrimiçi hizmet vasıtasıyla hizmetlerini satan küçük bir start-up şirketini hedef aldı. Tıpkı IT suçlarının çoğunda olduğu gibi, yalnızca büyük balıkların yakalanmasını duyuyoruz, ancak bol miktarda küçük balık düzenli olarak çengelleniyor.
Azure ve DDoS Koruması
Azure, bugün Azure DDoS Protection Service Basic olarak adlandırılan bir DDoS koruma hizmetine sahiptir. Bu Temel SKU, masrafsız olarak sizi gözlemleme ve sizi varsayılan olarak koruma altına alıyor. Katman 3 ve 4 (L3 ve L4) koruması için dünya ve isteğe bağlı tabaka-7 (L7) koruması için web uygulama güvenlik duvarı. Bu, web uygulama ağ geçidinin isteğe bağlı bir özelliğidir.
Azure DDoS Koruma Hizmeti’nin yeni SKU’su için sınırlı erişimli önizleme başlatıldı. Standart SKU, bu izleme ve korumayı, ilke ayarı, kayıt / uyarı ve daha genel koruma dahil etmek üzere genişletecektir.
Basitlik
Azure DDoS korumasının en önemli özelliği dağıtım kolaylığıdır. Temel SKU, Azure ağının dokusuna yerleştirilmiştir ve her zaman buradadır. Standart SKU, tek tıklamayla etkinleştirilebilir. Yeni bir sanal ağ oluştururken DDoS korumasını etkinleştirebilir ve var olan bir sanal ağı ile aynı tıklamayla açabilirsiniz.
Adaptif
Eskiden gelişmiş güvenlik çözümlerimden duyduğum korku, hem onları korur hem de işi kolaylaştıran, ancak işi kolaylaştıran bir işlevsellik arz etmeyecek şekilde çok miktarda bilgi ve beceriye ihtiyaç duyuyordu.
Azure DDoS Koruması, kaynakları, yapılandırmaları ve trafik modellerini anlamak için Makine Öğrenme tabanlı uyarlanabilir ayarlama kullanır. Alışılmamış desenler oluştuğunda, DDoS koruması otomatik olarak tanımlanan koruma sınırlarını zorlar ve kaynaklarınızın sağlığını korur.
Web Uygulaması Güvenlik Duvarı
Web tabanlı hizmetleri kullanıyorsanız, isteğe bağlı web uygulama güvenlik duvarı (WAF) ile web uygulama ağ geçidini (WAG) konuşlandırmayı düşünmelisiniz. WAG, yük dengeli web uygulamaları için çok sayıda L7 performans geliştirmesi sunuyor ve WAF, ağ güvenliği gruplarından (NSG’ler) aldığınız L4 güvenliğine L7 güvenliği ekliyor.
WAG, ayrıca aşağıdakilere karşı DDoS koruması ekleyecektir:
- Hız sınırlamasını isteyin
- HTTP Protokol İhlalleri
- HTTP Protokol Anomalileri
- SQL Enjeksiyon
- Siteler arası komut dosyası oluşturma
Telemetri
Azure DDoS korumasının telemetri Azure Monitor tarafından ortaya çıkıyor. Bu ücretsizdir (etkin bir şekilde, günlükleri blob deposunda tutmanın maliyeti, tasarı için bir damganın maliyetinden normalde daha düşüktür) Azure Portalı metrik izleme ve uyarı sistemi. Bu verileri Azure Günlük Analizi’ne (OMS) ve Olay Hubları aracılığıyla Splunk gibi diğer ITSM araçlarına verebilirsiniz.
Ne Kadar Ve Nasıl Başlarsınız?
Bugün, sanal ağa sahip herkes Azure DDoS korumasının Temel SKU’sunu ücretsiz kullanıyor ve bu değişmeyecektir.
Standart SKU, Doğu ABD, Batı Amerika ve Batı Orta Amerika bölgeleri de dahil olmak üzere sınırlı erişimli bir önizleme içindedir. Azure ağ ekipleri genelde yeni özelliklerin global kullanıma hazır hale gelmesinden hemen sonra hızla izler.
İsteğe bağlı Standart SKU’nun maliyeti olacak, ancak bunun ne olduğunu henüz bilmiyoruz. Bir DDoS koruma sistemi ile ilgili bir endişe, büyük bir saldırıya uğradığınızda size Microsoft’dan büyük bir fatura alırsınız muhtemelen. DDoS Koruma hizmetleri GA’ya gittiğinde, Maliyet Muhafazası belgelenmiş bir saldırıda ölçeklendirme için kaynak kredisi sağlayacaktır.500.
Görüş
Kim daha fazla güvenceye sahip olmaktan hoşlanmaz? Bir maliyeti olacağından şüphelenebilirsiniz, ancak bu muhtemelen mikro bir maliyet olacaktır. Bunu otomatik olarak ayarlamayı sevmeyebilirsiniz. Bahse girerim müşterilerin yüzde 99,9’undan daha iyi bir iş çıkarır. Müşterilerime (ve kendi dağıtımımıza) Standart SKU’yu, dağıtımdaki bölgelerde mümkün olan en kısa sürede tavsiye edeceğimden şüpheleniyorum
Eksik olan tek şey (ancak yanlış olabilir) Güvenlik Merkezi ile entegrasyon. Microsoft bunu daha önce yapmadıysa, muhtemelen daha sonra sessizce eklenecektir