DDoS-Schutz der Anwendung (Ebene 7)

Azure WAF bietet mehrere Verteidigungsmechanismen, die helfen können, DDoS-Angriffe (Denial of Service) zu verhindern. Die DDoS-Angriffe können sowohl auf die Netzwerk- (L3/L4) als auch auf die Anwendungsebene (L7) abzielen. Azure DDoS schützt Kunden vor umfangreichen volumetrischen Angriffen auf Netzwerkebene. Azure WAF wird auf Ebene 7 ausgeführt und schützt Webanwendungen vor L7-DDoS-Angriffen wie HTTP-Floodingangriffen. Diese Verteidigungsmechanismen können verhindern, dass Angreifer auf Ihre Anwendung zugreifen und ihre Verfügbarkeit und Leistung beeinträchtigen.

Wie können Sie Ihre Dienste schützen?

Diese Angriffe können verringert werden, indem Web Application Firewall (WAF) hinzugefügt oder DDoS vor dem Dienst platziert wird, um ungültige Anforderungen herauszufiltern. Azure bietet die Ausführung von WAF am Netzwerkrand mit Azure Front Door und im Rechenzentrum mit Application Gateway. Die folgenden Liste besteht aus allgemeinen Schritten, die an die Anwendungsanforderungen Ihres Diensts angepasst werden müssen.

  • Stellen Sie Azure Web Application Firewall (WAF) mit der Azure Front Door Premium- oder der Application Gateway WAF v2-SKU bereit, um sich vor Angriffen auf L7-Anwendungsebene zu schützen.
  • Skalieren Sie Ihre Ursprungsinstanzanzahl hoch, sodass genügend freie Kapazität vorhanden ist.
  • Aktivieren Sie Azure DDoS Protection für die öffentlichen Ursprungs-IP-Adressen, um Ihre öffentlichen IP-Adressen vor DDoS-Angriffen der Ebenen 3 (L3) und 4 (L4) zu schützen. Die DDoS-Angebote von Azure können die meisten Websites automatisch vor volumetrischen L3- und L4-Angriffen schützen, die eine große Anzahl von Paketen an eine Website senden. Azure bietet auch Schutz auf Infrastrukturebene für alle Websites, die standardmäßig in Azure gehostet werden.

Azure WAF mit Azure Front Door

Azure WAF verfügt über viele Features, die verwendet werden können, um viele verschiedene Arten von Angriffen wie HTTP-Flood-Angriffe, Cacheumgehung und Angriffe, die von Botnets gestartet werden, zu minimieren.

  • Verwenden Sie den verwalteten Bot-Schutz-Regelsatzes, um vor bekannten bösartigen Bots zu schützen. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Ratenbegrenzung.

  • Blockieren Sie IP-Adressen und -Bereiche, die Sie als bösartig identifiziert haben. Weitere Informationen finden Sie unter IP-Einschränkungen.

  • Blockieren oder leiten Sie jeglichen Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer definierten Region, der nicht dem Muster des Anwendungsdatenverkehrs entspricht, auf eine statische Webseite um. Weitere Informationen finden Sie unter Was ist die Geofilterung in einer Domäne für Azure Front Door Service?.

  • Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden. Signatur, z. B. ein bestimmter Benutzer-Agent oder ein bestimmtes Datenverkehrsmuster, einschließlich Headern, Cookies, Abfragezeichenfolgenparametern oder einer Kombination aus mehreren Signaturen.

Neben WAF bietet Azure Front Door auch standardmäßigen DDoS-Schutz der Azure-Infrastruktur zum Schutz vor L3/4-DDoS-Angriffen. Das Aktivieren der Zwischenspeicherung in Azure Front Door kann dazu beitragen, plötzlichen Spitzendatenverkehr am Edge zu absorbieren und Back-End-Ursprünge vor Angriffen zu schützen.

Weitere Informationen zu Features und DDoS-Schutz in Azure Front Door finden Sie unter DDoS-Schutz in Azure Front Door.

Azure WAF mit Azure Application Gateway

Es wird empfohlen, die Application Gateway WAF v2-SKU mit den neuesten Features, einschließlich L7 DDoS-Risikominderungsfeatures, zu verwenden, um sich vor L7 DDoS-Angriffen zu schützen.

Application Gateway WAF-SKUs können verwendet werden, um viele L7-DDoS-Angriffe zu entschärfen:

  • Legen Sie Ihre Application Gateway so fest, dass die Anzahl der maximalen Instanzen automatisch hochskaliert und nicht erzwungen wird.

  • Das Verwenden des verwalteten Bot-Schutz-Regelsatzes bietet Schutz vor bekannten bösartigen Bots. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten Ratenbegrenzungsregeln.

  • Blockieren Sie IP-Adressen und -Bereiche, die Sie als bösartig identifiziert haben. Weitere Informationen finden Sie in den Beispielen unter Erstellen und Verwenden benutzerdefinierter v2-Regeln.

  • Blockieren oder leiten Sie jeglichen Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer definierten Region, der nicht dem Muster des Anwendungsdatenverkehrs entspricht, auf eine statische Webseite um. Weitere Informationen finden Sie in den Beispielen unter Erstellen und Verwenden benutzerdefinierter v2-Regeln.

  • Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden. Signaturen, z. B. ein bestimmter Benutzer-Agent oder ein bestimmtes Datenverkehrsmuster, einschließlich Headern, Cookies, Abfragezeichenfolgenparametern oder einer Kombination aus mehreren Signaturen.

Weitere Überlegungen

  • Sperren Sie den Zugriff auf öffentliche IP-Adressen am Ursprung, und beschränken Sie eingehenden Datenverkehr so, dass nur Datenverkehr von Azure Front Door oder Application Gateway zum Ursprung zugelassen wird. Weitere Informationen finden Sie in der Anleitung zu Azure Front Door. Application Gateways werden in einem virtuellen Netzwerk bereitgestellt. Stellen Sie sicher, dass keine öffentlich verfügbar gemachten IP-Adressen vorhanden sind.

  • Ändern Sie die WAF-Richtlinie in den Schutzmodus. Wenn Sie die Richtlinie im Erkennungsmodus bereitstellen, arbeitet sie im ausschließlich protokollierenden Modus und blockiert keinen Datenverkehr. Nachdem Sie Ihre WAF-Richtlinie mit Produktionsdatenverkehr überprüft und getestet und die Optimierung durchgeführt haben, um falsch positive Ergebnisse zu reduzieren, sollten Sie die Richtlinie in den Schutzmodus (Block-/Verteidigungsmodus) ändern.

  • Überwachen Sie den Datenverkehr mithilfe von Azure WAF-Protokollen auf Anomalien. Sie können benutzerdefinierte Regeln erstellen, um jeglichen problematischen Datenverkehr zu blockieren – verdächtige IP-Adressen, die ungewöhnlich viele Anforderungen senden, ungewöhnliche Benutzer-Agent-Zeichenfolgen, anomale Abfragezeichenfolgenmuster usw.

  • Sie können die WAF für bekannten legitimen Datenverkehr umgehen, indem Sie ihn bei Übereinstimmung mit benutzerdefinierten Regeln mit der Aktion „Zulassen“ zulassen, um falsch positive Ergebnisse zu reduzieren. Diese Regeln sollten mit hoher Priorität (niedrigerer numerischer Wert) als andere Block- und Ratenbegrenzungsregeln konfiguriert werden.

  • Sie sollten mindestens über eine Quotengrenzregel verfügen, die eine hohe Anzahl von Anforderungen von einer einzelnen IP-Adresse blockiert. Sie können beispielsweise eine Ratenbegrenzungsregel so konfigurieren, dass eine einzelne Client-IP-Adresse innerhalb eines bestimmten Zeitfensters nicht mehr als XXX Datenverkehr an Ihre Website senden kann. Azure WAF unterstützt zwei Zeitfenster für die Nachverfolgung von Anforderungen: 1 Minute und 5 Minuten. Es wird empfohlen, das 5-Minuten-Zeitfenster zu verwenden, um HTTP-Floodingangriffen besser zu begegnen. Diese Regel sollte die Regel mit der niedrigsten Priorität sein (die Priorität wird sortiert, wobei „1“ die höchste Priorität bedeutet), sodass spezifischere Ratenbegrenzungs- oder Übereinstimmungsregeln erstellt werden können, die vor der Übereinstimmung mit dieser Regel greifen. Wenn Sie Application Gateway WAF v2 verwenden, können Sie zusätzliche Konfigurationen zur Ratenbegrenzung nutzen, um Clients mithilfe von anderen Methoden als Client-IP-Adressen nachzuverfolgen und zu blockieren. Weitere Informationen zu Ratenbegrenzungen in Application Gateway WAF finden Sie in der Übersicht über die Ratenbegrenzung.

    Die folgende Log Analytics-Abfrage kann hilfreich sein, um den Schwellenwert zu bestimmen, den Sie für die obige Regel verwenden sollten. Ersetzen Sie für eine ähnliche Abfrage mit Application Gateway „FrontdoorAccessLog“ durch „ApplicationGatewayAccessLog“.

    AzureDiagnostics
    | where Category == "FrontdoorAccessLog"
    | summarize count() by bin(TimeGenerated, 5m), clientIp_s
    | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
    
  • Verwaltete Regeln, die nicht direkt auf die Verteidigung gegen DDoS-Angriffe ausgerichtet sind, bieten Schutz vor anderen gängigen Angriffen. Weitere Informationen zu den verschiedenen Angriffstypen, vor denen diese Regeln schützen können, finden Sie unter Verwaltete Regeln (Azure Front Door) oder Verwaltete Regeln (Application Gateway).

WAF-Protokollanalyse

Sie können WAF-Protokolle in Log Analytics mithilfe der folgenden Abfrage analysieren.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Weitere Informationen finden Sie unter Azure WAF mit Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Weitere Informationen finden Sie unter Azure WAF mit Azure Application Gateway.

Nächste Schritte