Azure DDoS Korumasını Uygulama
Azure DDoS koruması, uygulama tasarımı için en iyi yöntemlerle birlikte DDoS saldırılarına karşı savunma sağlar. Azure DDoS koruması aşağıdaki hizmet katmanlarını sağlar:
- Basic: Azure platformunun bir parçası olarak otomatik olarak etkinleştirilir. Her zaman açık trafik izleme ve yaygın ağ düzeyindeki saldırıların gerçek zamanlı olarak azaltılması, Microsoft’un çevrimiçi hizmetleri tarafından kullanılan savunmaların aynısını sağlar. Azure’un küresel ağının tüm ölçeği, bölgeler arasında saldırı trafiğini dağıtmak ve azaltmak için kullanılabilir. IPv4 ve IPv6 Azure genel IP adresleri için koruma sağlanır.
- Standart: Temel hizmet katmanı üzerinden, Azure Sanal Ağ kaynaklarına özel olarak ayarlanmış ek azaltma özellikleri sağlar. DDoS Koruma Standardı’nın etkinleştirilmesi kolaydır ve uygulama değişikliği gerektirmez. Koruma ilkeleri, özel trafik izleme ve makine öğrenimi algoritmaları aracılığıyla ayarlanır. İlkeler, Azure Load Balancer, Azure Application Gateway ve Azure Service Fabric örnekleri gibi sanal ağlarda dağıtılan kaynaklarla ilişkili genel IP adreslerine uygulanır, ancak bu koruma App Service Ortamları için geçerli değildir. Gerçek zamanlı telemetri, bir saldırı sırasında ve geçmiş için Azure İzleyici görünümleri aracılığıyla kullanılabilir. Zengin saldırı azaltma analizleri, tanılama ayarları aracılığıyla kullanılabilir. Uygulama katmanı koruması, Azure Application Gateway Web Uygulaması Güvenlik Duvarı aracılığıyla veya Azure Marketi’nden bir 3. taraf güvenlik duvarı yüklenerek eklenebilir. IPv4 ve IPv6 Azure genel IP adresleri için koruma sağlanır.
DDoS Koruma Standart, gerçek trafik kullanımını izler ve DDoS politikasında tanımlanan eşiklerle sürekli olarak karşılaştırır. Trafik eşiği aşıldığında, DDoS mitigation otomatik olarak başlatılır. Trafik eşiğin altındaki bir düzeye döndüğünde, mitigation etken kaldırılır.
Mitigation sırasında DDoS Koruması, korunan kaynağa gönderilen trafiği yeniden yönlendirir ve aşağıdakiler de dahil olmak üzere çeşitli denetimler gerçekleştirir:
- Paketlerin internet belirtimlerine uygun olmasını ve hatalı biçimlendirilmemesini sağlamaya yardımcı olur.
- Trafiğin sahte bir paket olup olmadığını belirlemek için istemciyle etkileşim kurmak (örneğin, SYN Kimlik Doğrulaması veya SYN Tanımlama Bilgisi kullanmak veya kaynağın yeniden iletmesi için bir paket bırakmak).
- Başka bir zorlama yöntemi gerçekleştiremiyorsa hız sınırı paketlerini kullanma.
DDoS Koruması, saldırı trafiğini engeller ve kalan trafiği hedeflenen hedefe iletir. Saldırı algılandıktan sonraki birkaç dakika içinde Azure İzleyici ölçümleri size bildirilir. DDoS Koruması Standart telemetrisinde günlüğe kaydetmeyi yapılandırarak, günlükleri gelecekteki analizler için kullanılabilir seçeneklere yazabilirsiniz. Azure İzleyici, DDoS Koruma Standardı için ölçüm verilerini 30 gün boyunca saklar.
DDoS Koruma Standart aşağıdaki saldırı türlerini azaltabilir:
- Hacimsel saldırılar (Volumetric Attacks): Saldırının amacı, ağ katmanını önemli miktarda meşru görünen trafikle doldurmaktır. UDP taşmalarını, amplifikasyon sellerini ve diğer sahte paket sellerini içerir. DDoS Koruma Standardı, bu olası çok gigabaytlı saldırıları Azure’ın küresel ağ ölçeğiyle otomatik olarak emerek ve temizleyerek azaltır.
- Protokol saldırıları (Protocol Attacks): Bu saldırılar, katman 3 ve katman 4 protokol yığınındaki bir zayıflıktan yararlanarak hedefi erişilemez hale getirir. SYN sel saldırılarını, yansıma saldırılarını ve diğer protokol saldırılarını içerir. DDoS Koruma Standardı, istemciyle etkileşim kurarak ve kötü amaçlı trafiği engelleyerek kötü amaçlı ve meşru trafik arasında ayrım yaparak bu saldırıları azaltır.
- Kaynak (uygulama) katmanı saldırıları: Bu saldırılar, ana bilgisayarlar arasında veri iletimini kesintiye uğratmak için web uygulaması paketlerini hedefler. Saldırılar HTTP protokolü ihlallerini, SQL eklemeyi, siteler arası komut dosyası çalıştırmayı ve diğer katman 7 saldırılarını içerir. Bu saldırılara karşı savunma sağlamak için Azure Application Gateway web uygulaması güvenlik duvarı ve DDoS Koruma Standardı gibi bir Web Uygulaması Güvenlik Duvarı kullanın. Azure Marketi’nde kullanılabilen üçüncü taraf web uygulaması güvenlik duvarı teklifleri de vardır.
DDoS Koruma Standardı, sanal makineler, yük dengeleyiciler ve uygulama ağ geçitleriyle ilişkili genel IP adresleri dahil olmak üzere bir sanal ağdaki kaynakları korur. Application Gateway web uygulaması güvenlik duvarı veya genel IP’li bir sanal ağda dağıtılan üçüncü taraf bir web uygulaması güvenlik duvarı ile birleştirildiğinde, DDoS Koruma Standardı tam katman 3 ila katman 7 azaltma özelliği sağlayabilir.