Azure DDoS 防护可保护面向公众的资源免受分布式拒绝服务攻击。 以下建议可帮助你验证是否已在环境中启用并正确监视 DDoS 保护。
有关所有Azure网络安全Zero Trust建议的摘要,请参阅Azure网络安全Zero Trust建议。
建议
为 VNet 中的所有公共 IP 地址启用 DDoS 防护
分布式拒绝服务(DDoS)攻击旨在使应用程序计算、网络或内存资源不堪重负,使合法用户无法访问服务。 向 Internet 公开的任何面向公众的终结点都是一个潜在目标。 Azure DDoS 防护针对面向公共 IP 地址的网络层攻击提供始终开启的监视和自动缓解措施。 可以直接在单个公共 IP 上启用 DDoS IP 保护,也可以通过 DDoS 保护计划在虚拟网络级别启用 DDoS 网络保护。 如果没有 DDoS 保护,应用程序网关、负载均衡器、Azure防火墙、Azure Bastion、Virtual Network网关和虚拟机等服务的公共 IP 仍受到可能耗尽带宽和系统资源的攻击,从而导致依赖服务出现级联中断。 此检查通过任一方法验证 DDoS 保护是否涵盖每个公共 IP 地址。
修正操作
- Azure DDoS 防护概述
- 使用 Azure 门户创建和配置 Azure DDoS 网络保护
- 使用 Azure 门户创建和配置 Azure DDoS IP 保护
- Azure DDoS 防护 SKU 比较
为受 DDoS 保护的公共 IP 启用了指标
Azure DDoS 防护为公共 IP 地址提供高级缓解功能,自动检测和缓解第 3 层和第 4 层的批量和协议分布式拒绝服务(DDoS)攻击。 对于应用程序层(第 7 层)DDoS 保护,请使用 Azure DDoS 防护与 Web Application Firewall (WAF) 结合使用。 未启用指标的 DDoS 防护可创建可见性差距,安全团队无法观察攻击流量模式、缓解操作或保护策略的有效性。 当针对不受监视的公共 IP 发生 DDoS 攻击时,事件响应程序缺少关键遥测数据,包括入站数据包计数、缓解期间丢弃的字节数、识别的攻击途径和缓解触发器事件。 这种延迟检测,因为攻击可能会在服务降级发生之前被忽视。 它还可防止将 DDoS 事件与应用程序性能问题关联,并消除分析攻击模式以改进主动防御的能力。 启用 DDoS 指标可以实时了解攻击状态、已处理和丢弃的数据包和字节,以及活动事件响应和事件后分析所必需的 TCP/UDP/SYN 洪水指标。
修正操作
为受 DDoS 保护的公共 IP 启用诊断日志记录
为公共 IP 地址启用 Azure DDoS 防护时,诊断日志记录提供对分布式拒绝服务(DDoS)攻击模式、缓解操作和流量流数据的关键可见性。 如果没有诊断日志,安全团队就缺乏了解攻击特征、验证缓解有效性和执行事后分析所需的可观测性。 Azure DDoS 防护生成三类诊断日志:针对攻击检测和缓解事件的 DDoSProtectionNotifications、DDoSMitigationFlowLogs,用于主动缓解期间的详细流级别信息,以及用于全面攻击摘要的 DDoSMitigationReports。 这些日志对于检测正在进行的攻击、调查事件、满足合规性要求和优化保护策略至关重要。
修正操作