DDoS 响应策略的组件

针对 Azure 资源的 DDoS 攻击通常只需用户做出极少量的干预。 在事件响应策略中整合 DDoS 缓解措施有助于进一步减少对业务连续性产生的影响。

Azure 威胁智能

Azure 具有广泛的威胁情报网络。 此网络利用了为 Azure 联机服务和 Azure 合作伙伴提供服务的扩展安全社区的集体知识,以及与 Internet 安全社区的内部关系。

作为一家重要的基础结构提供商,Azure 会提前收到有关威胁的警告。 Azure 从其 Microsoft 联机服务和全球客户群体收集威胁情报。 Azure 将所有威胁情报融入到 Azure DDoS 防护产品中。

此外,Azure 的反数字犯罪部门 (DCU) 还会针对僵尸网络执行打击策略。 僵尸网络是 DDoS 攻击的常见指挥源头。

针对 Azure 资源的风险评估

必须不断了解 DDoS 攻击的风险范围。 定期询问自己:

  • 哪些新公开发布的 Azure 资源需要保护?

  • 服务中是否存在单一故障点?

  • 如何隔离服务,以限制某项攻击造成的影响,同时使服务仍可供合法客户使用?

  • 是否有虚拟网络应启用 DDoS 防护,但却没有启用?

  • 我的服务在跨多个区域故障转移后是否保持主动/主动状态?

务必了解应用程序的正常行为,并做好在 DDoS 攻击期间,应用程序行为不符合预期时随时做出响应的准备,这一点很重要。 为业务关键应用程序配置监视器,以模拟客户端行为,并在检测到相关异常时发出通知。 若要深入了解应用程序的运行状况,请参阅监视和诊断最佳做法

Azure Application Insights 是多个平台上面向 Web 开发人员的可扩展应用程序性能管理 (APM) 服务。 使用 Application Insights 来监视实时 Web 应用程序。 它会自动检测性能异常。 其中包含分析工具,可帮助诊断问题,并了解用户在应用中执行的操作。 Application Insights 有助于持续提高性能与可用性。

客户 DDoS 响应团队

建立 DDoS 响应团队是快速有效地对攻击做出响应的关键一步。 在组织中确定负责监督规划和执行的各个联系人。 此 DDoS 响应团队应该全面了解 Azure DDoS 防护服务。 确保该团队能够与内部和外部客户(包括 Azure 支持团队)协作,以识别和缓解攻击。

建议使用模拟演练作为服务可用性和连续性规划的日常组成部分,而且这些演练中应包括缩放测试。 请参阅通过模拟进行测试,以了解如何针对 Azure 公共终结点模拟 DDoS 测试流量。

攻击期间的警报

Azure DDoS 防护将识别并缓解 DDoS 攻击,而无需任何用户干预。 若要在受保护的公共 IP 有对应的主动缓解时收到通知,可以配置警报

何时联系 Azure 支持

Azure DDoS 网络保护客户有权联系 DDoS 快速响应 (DRR) 团队,该团队可在攻击过程中帮助进行攻击调查,并在攻击之后帮助进行分析。 有关详细信息,包括何时应联系 DRR 团队,请参阅 DDoS 快速响应。 Azure DDoS IP 保护客户应创建请求以连接到 Azure 支持。 若要了解详细信息,请参阅创建支持请求

攻击后的措施

在发生攻击后执行事后剖析并按需重新调整 DDoS 响应策略,始终是一个良好的策略。 注意事项:

  • 服务或用户的体验是否因缺少可缩放的体系结构而受到任何干扰?

  • 哪些应用程序或服务受到的影响最大?

  • DDoS 响应策略的效果如何,如何对它做出改进?

如果你怀疑自己受到 DDoS 攻击,请通过正常的 Azure 支持渠道上报。

后续步骤