Dieser Blogbeitrag wurde von JR Mayberry, Principal PM Manager, Azure Networking, mitverfasst.
Wir freuen uns, heute die allgemeine Verfügbarkeit des Azure DDoS Protection Standard-Diensts in allen öffentlichen Cloudregionen bekannt zu geben. Dieser Dienst ist in Azure Virtual Networks (VNET) integriert und bietet Schutz und Abwehr für Azure-Ressourcen vor den Auswirkungen von DDoS-Angriffen.
Mit verteilten Denial-of-Service-Angriffen (Distributed Denial of Service, DDoS) soll ein Dienst unterbrochen werden, indem seine Ressourcen (z.B. Bandbreite, Speicher) überlastet werden. Kunden, die ihre Anwendungen in die Cloud verschieben, zählen DDoS-Angriffe als eines der größten Risiken im Hinblick auf Verfügbarkeit und Sicherheit auf. Erpressung und Hacktivismus sind die häufigsten Motive für DDoS-Angriffe. Diese haben an Art, Umfang und Häufigkeit stetig zugenommen, da sie sich relativ einfach und kostengünstig starten lassen.
Diese Bedenken sind gerechtfertigt, da die Anzahl der dokumentierten DDoS-Verstärkungsangriffe laut den Daten von Nexusguard im vierten Quartal 2017 im Vergleich zu 2016 um über 357 Prozent gestiegen ist. Zudem nutzen mehr als 56 Prozent aller Angriffe mehrere Vektorkombinationen. Im Februar 2018 wurde GitHub per Reflexionsangriff in Memcached angegriffen. Dabei wurde Angriffsdatenverkehr von 1,35 Terabit generiert. Dies war der größte DDoS-Angriff, der je verzeichnet wurde.
Da die Art und Komplexität von Netzwerkangriffen stetig zunimmt, hat sich Azure zum Ziel gesetzt, unseren Kunden Lösungen bereitzustellen, die die Sicherheit und Verfügbarkeit von Anwendungen in Azure fortwährend schützen. Sicherheit und Verfügbarkeit in der Cloud sind eine gemeinsame Verantwortung. Azure umfasst Funktionen auf Plattformebene und bewährte Entwurfsmethoden, die Kunden in Anwendungsentwürfen übernehmen und anwenden können, die ihren Geschäftszielen entsprechen.
Azure DDoS Protection-Dienstangebote
Zwei DDoS-Dienstangebote von Azure bieten Schutz vor Netzwerkangriffen (Schicht 3 und 4) – DDoS Protection Basic (Basisschutz) und DDoS Protection Standard (Standardschutz).
Azure DDoS Protection Basic-Dienst
Der Basisschutz ist standardmäßig und ohne zusätzliche Kosten in die Azure-Plattform integriert. Die vollständige Skalierung und Kapazität des global bereitgestellten Azure-Netzwerks bietet über Always On-Datenverkehrsüberwachung und Risikominderung in Echtzeit Schutz vor häufigen Vermittlungsschichtangriffen. Die Aktivierung von DDoS Protection Basic erfordert keine Konfiguration oder Anwendungsänderungen durch den Benutzer. Der Basisschutz schützt auch vor den gängigsten, häufig auftretenden DNS-Abfrage-Floods (Schicht 7) und volumetrischen Angriffen, die auf Ihre Azure-DNS-Zonen abzielen. Dieser Dienst hat sich zudem in der Praxis beim Schutz von Unternehmens- und Endkundendiensten von Microsoft vor großangelegten Angriffen bewährt.
Azure DDoS Protection Standard-Dienst
Azure DDoS Protection Standard umfasst erweiterte Funktionen zur Abwehr von DDoS-Angriffen für die in Ihren virtuellen Netzwerken bereitgestellten Anwendungen und Ressourcen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendungen oder Ressourcen. DDoS Protection Standard verwendet dedizierte Überwachung und maschinelles Lernen für die Konfiguration von DDoS Protection-Richtlinien, die an die Datenverkehrsprofile Ihres virtuellen Netzwerks angepasst sind. Telemetriedaten zu Angriffen sind über Azure Monitor verfügbar, sodass Warnungen ermöglicht werden, wenn die Anwendung angegriffen wird. Der integrierte Anwendungsschutz in Schicht 7 kann über Application Gateway WAF bereitgestellt werden.
Features des Azure DDoS Protection Standard-Diensts
Native Plattformintegration und sofort einsetzbarer Schutz
DDoS Protection Standard wird nativ in die Azure-Plattform integriert und umfasst die Konfiguration über das Azure-Portal und über PowerShell, wenn Sie einen DDoS Protection-Plan erstellen und DDoS Standard in einem virtuellen Netzwerk aktivieren. Die vereinfachte Bereitstellung schützt unmittelbar alle Ressourcen in einem virtuellen Netzwerk, ohne dass zusätzliche Anwendungsänderungen erforderlich sind.
Always On-Überwachung und adaptive Optimierung
Wenn DDoS Protection Standard aktiviert ist, werden die Datenverkehrsmuster der Anwendung fortlaufend auf Indikatoren von Angriffen überwacht. DDoS Protection ist auf Ihre Ressourcen und Ihre Ressourcenkonfiguration ausgelegt und passt die DDoS Protection-Richtlinie an Ihr virtuelles Netzwerk an. Über Algorithmen des maschinellen Lernens werden Schutzrichtlinien festgelegt und geändert, wenn sich die Datenverkehrsmuster im Lauf der Zeit ändern.
L7-Schutz mit Application Gateway
Der Azure DDoS Protection-Dienst bietet in Kombination mit Application Gateway Web Application Firewall DDoS-Schutz vor allgemeinen Sicherheitsrisiken und Angriffen im Web.
- Anfordern einer Ratenbegrenzung
- Verletzungen des HTTP-Protokolls
- Anomalie des HTTP-Protokolls
- Einschleusung von SQL-Befehlen
- Websiteübergreifende Skripts
Aktivierter DDoS Protection Standard-Dienst in einem Web Application Firewall-VNET
Weitere Details zu unterstützten Szenarien finden Sie in der Dokumentation Azure DDoS Protection – empfohlene Methoden und Referenzarchitekturen.
DDoS Protection: Telemetriedaten, Überwachung und Warnungen
Während der Dauer eines DDoS-Angriffs werden über Azure Monitor umfangreiche Telemetriedaten zur Verfügung gestellt, einschließlich detaillierter Metriken. Warnungen können für beliebige durch DDoS Protection verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann mit Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose weiter integriert werden.
Weitere Details finden Sie in der Dokumentation Verwalten von Azure DDoS Protection Standard mithilfe des Azure-Portals.
SLA-Garantie und Kostenschutz
Der DDoS Protection Standard-Dienst wird durch eine SLA von 99,99 % abgedeckt, und der Kostenschutz bietet Ressourcenguthaben für die horizontale Hochskalierung während eines dokumentierten Angriffs. Weitere Informationen finden Sie auf der Azure-Website Vereinbarungen zum Servicelevel (SLAs).
Planen des Schutzes
Die Planung und Vorbereitung für einen DDoS-Angriff sind wichtig für das Verständnis der Verfügbarkeit und Reaktion einer Anwendung bei einem tatsächlichen Angriff. Organisationen sollten außerdem einen gut überprüften Reaktionsplan für die DDoS-Vorfallverwaltung erstellen.
Zur Unterstützung bei der Planung haben wir die umfassende Anleitung Azure DDoS Protection – empfohlene Methoden und Referenzarchitekturen veröffentlicht, und wir empfehlen allen Kunden, diese Methoden bei der Entwicklung von Anwendungen anzuwenden, um besseren Schutz vor DDoS-Angriffen in Azure zu ermöglichen.
Wir haben darüber hinaus in Partnerschaft mit BreakingPoint Cloud Tools für Azure-Kunden entwickelt, um einen Lastenausgleich des Datenverkehrs für DDoS Protection-fähige öffentliche Endpunkte zum Simulieren von Angriffen zu generieren. Die BreakPoint Cloud-Simulation ermöglicht Folgendes:
- Überprüfen, wie Microsoft Azure DDoS Protection Ihre Azure-Ressourcen vor DDoS-Angriffen schützt
- Optimieren Ihres Prozesses der Reaktion auf Incidents während DDoS-Angriffen
- Dokumentieren der DDoS-Konformität
- Schulen Ihrer Netzwerksicherheitsteams
Erste Schritte
Weitere Informationen zu diesem Dienst finden Sie in der Übersicht über Azure DDoS Protection Standard.
Wir freuen uns auf Ihr Feedback, Ihre Fragen und Ihre Kommentare über die üblichen Kanäle, z.B. Foren, Stack Overflow oder UserVoice.