Microsoft DDoS Koruması Yanıt Kılavuzu
DDoS tehditleri son zamanlarda sıklıkta önemli bir artış gördü ve Microsoft geçen yıl çok sayıda büyük ölçekli DDoS saldırısını durdurdu. Bu kılavuz, Microsoft’un platform düzeyinde sağladıklarına genel bir bakış, en son mitigationlar hakkında bilgiler ve best practiceleri içermektedir.
Microsoft DDoS Koruması
- Microsoft, TCP SYN, yeni bağlantılar ve UDP/ICMP/TCP taşmalarını içeren üçüncü katman (L3) ve dördüncü katman (L4) DDoS saldırılarına karşı güçlü koruma sağlar.
- Microsoft DDoS Koruması, Azure’un küresel dağıtım ölçeğini kullanır, doğası gereği dağıtılır ve 60 Tb/sn küresel saldırı azaltma kapasitesi sunar.
- Tüm Microsoft hizmetleri (Microsoft365, Azure ve Xbox dahil) platform düzeyinde DDoS koruması ile korunur. Microsoft’un bulut hizmetleri, uygulama düzeyindeki DDoS saldırılarına karşı korumaya yardımcı olan yüksek yükleri desteklemek için kasıtlı olarak oluşturulmuştur.
- Tüm Azure genel uç noktası VIP’leri (Sanal IP Adresi), platform için güvenli eşiklerde korunur. Koruma, internetten gelen, internete giden ve bölgeden bölgeye giden trafik akışlarına kadar uzanır.
- Microsoft, DDoS saldırılarına karşı koruma sağlamak için SYN tanımlama bilgileri, hız sınırlaması ve bağlantı sınırları gibi standart algılama ve azaltma teknikleri kullanır. Otomatikleştirilmiş korumaları desteklemek için, iş yükleri arası bir DDoS olay müdahale ekibi, ekipler arasındaki rolleri ve sorumlulukları, yükseltme kriterlerini ve etkilenen ekipler genelinde olay işleme protokollerini tanımlar.
- Microsoft ayrıca DDoS savunmasına proaktif bir yaklaşım benimsiyor. Bot ağları, saldırıları artırmak ve anonimliği korumak için DDoS saldırıları yürütmek için yaygın bir komuta ve kontrol kaynağıdır. Microsoft Dijital Suçlar Birimi (DCU), botnet’lerin ölçeğini ve etkisini azaltmak için kötü amaçlı yazılım dağıtımını ve iletişim altyapısını belirlemeye, araştırmaya ve bozmaya odaklanır.
Microsoft’ta, siber ortamdaki gelişen zorluklara rağmen Azure DDoS Koruma ekibi, hem Azure’da hem de tarih boyunca şimdiye kadarki en büyük DDoS saldırılarından bazılarını başarıyla azaltmayı başardı. Geçen Ekim 2021’de Microsoft, Azure’da başarıyla hafiflettiği saniyede 2,4 terabit (Tb/sn) DDoS saldırısını bildirdi. Kasım 2021’de Microsoft, Asya’daki bir Azure müşterisini hedef alan 3,47 Tb/sn aktarım hızı ve saniyede 340 milyon paket (pps) paket hızıyla bir DDoS saldırısını hafifletti. Şubat 2022 itibarıyla bunun tarihte bildirilen en büyük saldırı olduğuna inanılıyor. Bu, yaklaşık 10.000 kaynaktan ve Amerika Birleşik Devletleri, Çin, Güney Kore, Rusya, Tayland, Hindistan, Vietnam, İran, Endonezya ve Tayvan da dahil olmak üzere dünyanın dört bir yanındaki birçok ülkeden gelen dağıtılmış bir saldırıydı.
Azure’daki uygulamalarınızı DDoS saldırılarına karşı üç adımda koruyun:
Müşteriler, Azure DDoS Koruma Standardına katılarak Azure iş yüklerini koruyabilir. Web iş yüklerinde, kapsamlı L3-L7 koruması için DDoS Koruma Standardı ile birlikte web uygulaması güvenlik duvarı kullanılması önerilir.
- Azure uygulamalarınız için riskleri değerlendirin. Henüz yapmadıysanız, bir DDoS saldırısından kaynaklanan riskinizin kapsamını anlamanın zamanı geldi.
- Uygulamaların genel internet üzerinden açığa çıktığı sanal ağlar varsa, bu sanal ağlarda DDoS Korumasını etkinleştirmeniz kesinlikle önerilmektedir. DDoS saldırılarına karşı koruma gerektiren bir sanal ağdaki kaynaklar, Azure Application Gateway ve Azure Web Application Firewall (WAF), Azure Load Balancer, sanal makineler, Bastion, Kubernetes ve Azure Firewall’dur.
- Varsayımlarınızı doğrulayın. Bir DDoS saldırısı sırasında bir sistemin nasıl performans göstereceğini anlamak için planlama ve hazırlık çok önemlidir. DDoS saldırılarına karşı savunma yapmak için proaktif olmalısınız ve bir saldırının olmasını bekleyip sonra harekete geçmemelisiniz.
- Bir uygulamanın normal davranışını anlamanız ve uygulama bir DDoS saldırısı sırasında beklendiği gibi davranmıyorsa harekete geçmeye hazırlanmanız çok önemlidir. İş açısından kritik uygulamalarınız için istemci davranışını taklit eden ve ilgili anormallikler algılandığında sizi uyaran monitörler yapılandırın.
- Azure Application Insights, birden çok platformdaki web geliştiricileri için genişletilebilir bir uygulama performansı yönetimi (APM) hizmetidir. Canlı web uygulamanızı izlemek için Application Insights’ı kullanın. Performans anormalliklerini otomatik olarak algılar. Sorunları teşhis etmenize ve kullanıcıların uygulamanızla ne yaptığını anlamanıza yardımcı olacak analiz araçları içerir. Performansı ve kullanılabilirliği sürekli olarak geliştirmenize yardımcı olmak için tasarlanmıştır.
- Son olarak, DDoS saldırısını simüle etmek için uygulamalarınıza karşı trafik oluşturarak hizmetlerinizin bir saldırıya nasıl yanıt vereceğine ilişkin varsayımlarınızı test edin. Gerçek bir saldırının gerçekleşmesini beklemeyin! Azure DDoS Koruması müşterilerin Azure genel uç noktalarına karşı DDoS test trafiğini simüle etmenize olanak tanıyan bir self servis trafik oluşturucu (BreakingPoint Cloud) sağlamak için bir Keysight şirketi olan Ixia ile ortaklık kurulmuştur.
- Uyarıları ve saldırı analizlerini yapılandırın. Azure DDoS Koruması, herhangi bir kullanıcı müdahalesi olmadan DDoS saldırılarını tanımlar ve azaltır.
- Korunan bir genel IP için etkin bir hafifletme olduğunda bildirim almak için, DDoS saldırısı altında metrikte bir uyarı yapılandırmanızı veya yapılandırmamanızı önerilir. DDoS saldırısı azaltma uyarıları otomatik olarak Microsoft Defender for Clod’a gönderilir.
- Saldırının ölçeğini, bırakılan trafiği ve diğer ayrıntıları anlamak için saldırı analizlerini de yapılandırmalısınız.