Azure DDoS Koruması – Best Practices
Hizmet reddi saldırısı (DoS), hizmetlere veya sistemlere erişimi engelleme amacı taşıyan bir saldırıdır. Saldırı tek bir konumdan kaynaklanıyorsa, buna DoS adı verilir. Saldırı birden çok ağ ve sistemden kaynaklanıyorsa, buna dağıtılmış hizmet reddi (DDoS) adı verilir.
DDoS hakkında daha fazla bilgi edinmeden önce, botnet’lerin ne olduğunu bilmeniz gerekir. Botnet’ler, bir bireyin sahiplerinin bilgisi olmadan kontrol ettiği ve kullandığı internete bağlı sistemlerin koleksiyonlarıdır. Botnet sahipleri, seçtikleri çeşitli eylemleri gerçekleştirmek için bunları kullanır.
Genellikle bunları spam, veri depolama, DDoS veya botnet’i kontrol eden kişiye bağlı diğer çeşitli eylemler için kullanırlar. Geçmişte, botnet’ler sadece güvenliği ihlal edilmiş bilgisayarlardan oluşuyordu, ancak şimdi botnet’ler de Nesnelerin İnterneti (IoT) cihazlarından oluşuyor. Kötü niyetli bilgisayar korsanları, bu kötü güvenlikli güvenlik kameralarını, dijital video kayıt cihazlarını, termostatları ve internete bağlı diğer cihazları kontrolleri altına alabilir.
Bu nedenle, DDoS, bir hedefin kullanılabilirliğini bozmayı amaçlayan bir saldırı türleri topluluğudur. Bu saldırılar, DNS’ye, web hizmetlerine, e-postaya ve daha fazlasına karşı birçok ağ isteği başlatmak için internete bağlı birden fazla sistem kullanan koordineli bir çaba içerir. Kötü niyetli bilgisayar korsanının erişebileceği hemen hemen her uygulama bir DDoS’un hedefi haline gelebilir. Kötü niyetli bilgisayar korsanının amacı, hedeflenen sunuculardaki sistem kaynaklarını boğmak, böylece artık meşru trafiği işleyememek ve sistemi etkin bir şekilde erişilemez hale getirmektir.
Bir DDoS genellikle bir botnet’in parçası olarak hedeflere trafik gönderen birçok sistemi içerir. Çoğu durumda, bir botnet’teki sistemlerin sahipleri, cihazlarının güvenliğinin ihlal edildiğini ve bir saldırıya katıldığını bilmez. Botnet’ler, bağlı cihazların sayısının artması nedeniyle eskisinden daha büyük bir sorun haline geliyor.
DDoS esnekliği için tasarım ve oluşturma, çeşitli hata modları için planlama ve tasarım gerektirir. Aşağıdaki tabloda, Azure’da DDoS dayanıklı hizmetler oluşturmaya yönelik en iyi yöntemler listelenmektedir.
Best Practice 1
Güvenliğin, tasarım ve uygulamadan dağıtım ve operasyonlara kadar bir uygulamanın tüm yaşam döngüsü boyunca bir öncelik olduğundan emin olun. Uygulamalarda, nispeten düşük hacimli isteklerin çok fazla kaynak kullanmasına izin veren ve hizmet kesintisine neden olan hatalar olabilir.
Best Practice 2
Uygulamalarınızı, özellikle DDoS durumunda, yükseltilmiş bir yükün taleplerini karşılamak üzere yatay olarak ölçeklendirilecek şekilde tasarlayın. Uygulamanız bir hizmetin tek bir örneğine bağlıysa, tek bir hata noktası oluşturur. Birden çok örnek sağlamak, sisteminizi daha dayanıklı ve daha ölçeklenebilir hale getirir.
Best Practice 3
Başarılı bir saldırı olasılığını azaltmak için bir uygulamadaki güvenlik savunmalarını katmanlayın. Azure platformunun yerleşik özelliklerini kullanarak uygulamalarınız için güvenliği artırılmış tasarımlar uygulayın.