Ce billet de weblog a été rédigé par Dave Burkhardt, chef de produit principal, et co-écrit par Harikrishnan MB, responsable de programme, et Yun Zheng, responsable de programme senior.
Au cours des dernières années, la complexité et la taille des attaques par déni de service distribué (DDoS) ont considérablement augmenté dans l’industrie.
Comme nous rapporté précédemmentTCP, UDP et DNS sont toujours les plus fréquentes, mais les attaques basées sur la couche 7/HTTP(S) ont battu des information de trafic dans l’industrie en 2022. Comme exemple récent, nous avons réussi à atténuer une attaque avec plus de 60 milliards de requêtes malveillantes dirigées vers un domaine consumer hébergé sur Porte d’entrée azur (AFD).
Les attaques de couche 7 peuvent affecter n’importe quelle organisation, des entreprises de médias et de divertissement aux establishments financières. Initialement, les attaques concernaient le trafic HTTP non chiffré (tel que Slowloriset HTTP Flood), mais l’industrie constate maintenant une augmentation des botnet Les attaques basées sur HTTPS (comme Meris, Mirai).
Strategies d’atténuation utilisant Azure Entrance Door
Heureusement, il existe des cadres, des providers et des outils éprouvés que les organisations peuvent utiliser pour atténuer une éventuelle attaque DDoS. Voici quelques étapes initiales à considérer :
- Réseaux de diffusion de contenu (CDN) tels que AFD sont conçus pour redistribuer le trafic HTTP(S) DDoS loin de vos systèmes d’origine en cas d’attaque. En tant que tel, l’utilisation des plus de 185 POP périphériques de l’AFD dans le monde qui tirent parti de notre WAN privé massif vous permettra non seulement de fournir vos functions et providers Net plus rapidement à vos utilisateurs, mais vous tirerez également parti des systèmes distribués de l’AFD pour atténuer Attaques DDoS de couche 7. De plus, la safety DDoS des couches 3, 4 et 7 est incluse avec AFDet les providers WAF sont inclus sans frais supplémentaires avec Prime AFD.
- Capacités de mise en cache de Entrance Door peut être utilisé pour protéger les backends des gros volumes de trafic générés par une attaque. Les ressources mises en cache seront renvoyées par les nœuds périphériques Entrance Door afin qu’elles ne soient pas transmises à vos origines. Même des délais d’expiration du cache courts (secondes ou minutes) sur les réponses dynamiques peuvent réduire considérablement la cost sur vos systèmes d’origine. Vous pouvez également en savoir plus sur la façon dont La mise en cache AFD peut vous protéger contre les attaques DDoS.
- Tirez parti du pare-feu d’utility Net Azure (Azure WAF) intégration avec Azure Entrance Door pour atténuer les activités malveillantes et empêcher les attaques DDoS et de robots. Voici les principaux domaines Azure WAF à explorer avant (idéalement) ou pendant une attaque DDoS :
- Activer limitation de notation pour bloquer le nombre de requêtes malveillantes qui peuvent être faites sur une certaine période de temps.
- Utiliser Ensemble de règles par défaut géré par Microsoft pour un moyen easy de déployer une safety contre un ensemble commun de menaces de sécurité. Étant donné que ces ensembles de règles sont gérés par Microsoft et soutenus par l’équipe Microsoft Menace Intel, les règles sont mises à jour au besoin pour se protéger contre les nouvelles signatures d’attaque.
- Activez le Ensemble de règles de safety contre les bots pour bloquer les mauvais bots connus responsables du lancement d’attaques DDoS. Cet ensemble de règles comprend des adresses IP malveillantes provenant du Microsoft Menace Intelligence Feed et mises à jour fréquemment pour refléter les dernières informations de l’immense organisation Microsoft Safety and Analysis.
- Créer Règles WAF personnalisées pour bloquer automatiquement les situations spécifiques à votre organisation.
- Utilisez notre détection d’anomalies basée sur l’apprentissage automatique pour bloquer automatiquement les pics de trafic malveillants à l’aide d’Azure WAF intégré à Azure Entrance Door.
- Activer Géo-filtrage pour bloquer le trafic en provenance d’une zone géographique définie, ou bloquer les adresses IP et les plages que vous identifiez comme malveillant.
- Déterminez tous vos vecteurs d’attaque. Dans cet article, nous avons principalement parlé des points DDoS de la couche 7 et de la façon dont les capacités de mise en cache Azure WAF et AFD peuvent aider à prévenir ces attaques. La bonne nouvelle est que l’AFD protégera vos origines des attaques des couches 3 et 4 si ces origines sont configurées pour ne recevoir que le trafic de l’AFD. Cette safety des couches 3 et 4 est incluse avec AFD et est un service géré fourni par Microsoft, ce qui signifie que ce service est activé par défaut et est continuellement optimisé et mis à jour par l’équipe d’ingénierie Azure. Cela dit, si vous avez des ressources Azure accessibles sur Web qui n’utilisent pas AFD, nous vous recommandons fortement d’envisager de tirer parti Le produit Azure DDOS Safety de Microsoft. Cela permettra aux shoppers de bénéficier d’avantages supplémentaires, notamment une safety des coûts, une garantie SLA et l’accès aux consultants de l’équipe de réponse rapide DDoS pour une aide immédiate lors d’une attaque.
- Fortifiez vos origines hébergées dans Azure en leur permettant uniquement de se connecter à l’AFD through Lien privé. Lorsque Personal Hyperlink est utilisé, le trafic entre Azure Entrance Door et vos serveurs d’functions est acheminé through une connexion réseau privée. En tant que tel, exposer vos origines à l’Web public n’est plus nécessaire. Si vous n’utilisez pas Personal Hyperlink, les origines qui sont connectées through les adresses IP publiques pourraient être exposées à des attaques DDOS et notre recommandation est d’activer Azure DDOS Safety (SKU réseau ou IP).
- Surveiller les modèles de trafic : la surveillance régulière des modèles de trafic peut aider à identifier les pics de trafic inhabituels, qui pourraient indiquer une attaque DDoS. À ce titre, configurez les alertes suivantes pour informer votre organisation des anomalies :
- Créer livres de jeu pour documenter la manière dont vous réagirez à une attaque DDoS et à d’autres incidents de cybersécurité.
- Faire des exercices d’incendie pour déterminer les lacunes potentielles et affiner.
