Tutorial: Teste de simulação da Proteção contra DDoS do Azure

É uma prática recomendada testar suas suposições sobre como os serviços respondem a um ataque realizando simulações periódicas. Durante o teste, valide se os serviços ou aplicativos continuam funcionando conforme esperado e se não há interrupções na experiência do usuário. Identifique lacunas do ponto de vista de tecnologia e de processo, e incorpore-as à estratégia de resposta de DDoS. Recomendamos que realize esses testes em ambientes de preparo ou fora do horário de pico para minimizar o impacto no ambiente de produção.

Neste tutorial, você criará um ambiente de teste que inclui:

  • Um plano de proteção contra DDoS
  • Uma rede virtual
  • Um host do Azure Bastion
  • Um balanceador de carga
  • Duas máquinas virtuais

Em seguida, você vai configurar logs de diagnóstico e alertas para monitorar ataques e padrões de tráfego. Por fim, você vai configurar uma simulação de ataque de negação de serviço distribuído usando um de nossos parceiros de teste aprovados.

Diagrama da arquitetura do ambiente de teste da Proteção DDoS.

As simulações ajudam a:

  • Validar como a Proteção contra DDoS do Azure ajuda a proteger seus recursos do Azure contra ataques de DDoS.
  • Otimize o processo de resposta a incidentes durante ataques de DDoS.
  • Documente a conformidade de DDoS.
  • Treine suas equipes de segurança de rede.

Política de teste de simulação de DDoS do Azure

Você só pode simular ataques usando nossos parceiros de teste aprovados:

  • BreakingPoint Cloud: um gerador de tráfego de autoatendimento no qual os clientes podem gerar tráfego contra os pontos de extremidade públicos habilitados para Proteção contra DDoS para fins de simulação.
  • MazeBolt:A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupção das operações comerciais.
  • Red Button: trabalhe com uma equipe dedicada de especialistas para simular cenários de ataque DDoS do mundo real em um ambiente controlado.
  • RedWolf: um provedor de autoatendimento ou teste DDoS guiado com controle em tempo real.

Os ambientes de simulação de nossos parceiros de teste são criados no Azure. Você só pode simular em endereços IP públicos hospedados no Azure que pertencem a uma assinatura do Azure própria, que será validada por nossos parceiros antes do teste. Além disso, esses endereços IP públicos de destino devem ser protegidos na Proteção contra DDoS do Azure. O teste de simulação permite avaliar seu estado atual de prontidão, identificar lacunas em seus procedimentos de resposta a incidentes e orientá-lo no desenvolvimento de uma estratégia de resposta de DDoS adequada.

Observação

O BreakingPoint Cloud e o Red Button só estão disponíveis para a nuvem pública.

Pré-requisitos

Configurar as métricas e os alertas da Proteção contra DDoS

Neste tutorial, configuraremos as métricas e alertas da Proteção contra DDoS para monitorar ataques e padrões de tráfego.

Configurar logs de diagnóstico

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira Monitoramento. Selecione Monitoramento nos resultados da pesquisa.

  3. Selecione Configurações de Diagnóstico em Configurações no painel esquerdo e, em seguida, selecione as informações a seguir na página Configurações de diagnóstico. Em seguida, selecione Adicionar configuração de diagnóstico.

    Captura de tela do Monitoramento das configurações de diagnóstico.

    Configuração Valor
    Subscription Escolha a Assinatura que contém o endereço IP público para o qual você deseja registrar.
    Resource group Selecione o Grupo de recursos que contém o endereço IP público para o qual você deseja registrar.
    Tipo de recurso Selecione Endereços IP públicos.
    Recurso Selecione o Endereço IP público do qual você deseja ter métricas.
  4. Na página Configuração de diagnóstico, em Detalhes do destino, selecione Enviar para o workspace do Log Analytics, depois, insira as informações a seguir e selecione Salvar.

    Captura de tela das configurações de diagnóstico de DDoS no Azure.

    Configuração Valor
    Nome da configuração de diagnóstico Insira myDiagnosticSettings.
    Logs Selecione allLogs.
    Métricas Selecione AllMetrics.
    Detalhes do destino Selecione Enviar para o workspace do Log Analytics.
    Subscription Selecione sua assinatura do Azure.
    Workspace do Log Analytics Selecione myLogAnalyticsWorkspace.

Configurar alertas de métrica

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira Alertas. Selecione Alertas nos resultados da pesquisa.

  3. Selecione + Criar na barra de navegação e selecione Regra de alerta.

    Captura de tela da criação de Alertas no Azure.

  4. Na página Criar uma regra de alerta, selecione + Selecionar escopo e selecione as informações a seguir na página Selecionar um recurso.

    Captura de tela da escolha do escopo de alerta de ataque da Proteção contra DDoS.

    Configuração Valor
    Filtrar por assinatura Escolha a Assinatura que contém o endereço IP público para o qual você deseja registrar.
    Filtrar por tipo de recurso Selecione Endereços IP públicos.
    Recurso Selecione o Endereço IP público do qual você deseja ter métricas.
  5. Selecione Concluídoe selecione Avançar: Condição.

  6. Na página Condição, selecione + Adicionar Condiçãoe, na caixa de pesquisa Pesquisar por nome de sinal, pesquise e selecione Sob ataque de DDoS ou não.

    Captura de tela da adição de uma condição de alerta de ataque da Proteção contra DDoS.

  7. Na página Criar uma regra de alerta , insira ou selecione as informações a seguir. Captura de tela da adição de um sinal de alerta de ataque da Proteção contra DDoS.

    Configuração Valor
    Limite Mantenha o padrão.
    Tipo de agregação Mantenha o padrão.
    Operador Selecione Maior ou igual a.
    Unidade Mantenha o padrão.
    Valor limite Insira 1. Para a métrica Sob ataque de DDoS ou não, 0 significa que você não está sob ataque, enquanto 1 significa que você está sob ataque.
  8. Selecione Avançar: Ações e selecione + Criar grupo de ações.

Criar grupo de ações

  1. Na página Criar grupo de ações, insira as seguintes informações e selecione Avançar: Notificações. Captura de tela do básico do grupo de ações da adição de alerta de ataque da Proteção contra DDoS.

    Configuração Valor
    Subscription Escolha sua assinatura do Azure que contém o endereço IP público para o qual você deseja registrar.
    Grupo de recursos Selecione o grupo de recursos.
    Região Mantenha o padrão.
    Grupo de ações Insira myDDoSAlertsActionGroup.
    Nome de exibição Insira myDDoSAlerts.
  2. Na guia Notificações, em Tipo de notificação, selecione Email/mensagem SMS/Push/Voz. Em Nome, insira myUnderAttackEmailAlert.

    Captura de tela da adição do tipo de notificação de alerta de ataque da Proteção contra DDoS.

  3. Na página Email/Mensagem SMS/Push/Voz, marque a caixa de seleção Email e insira o email necessário. Selecione OK.

    Captura de tela da adição da página de notificação de alerta de ataque da Proteção contra DDoS.

  4. Selecione Examinar + criar e Criar.

Continuar configurando alertas por meio do portal

  1. Selecione Avançar: Detalhes.

    Captura de tela da adição de uma página de detalhes de alerta de ataque da Proteção contra DDoS.

  2. Na guia Detalhes, em Detalhes da regra de alerta, insira as informações a seguir.

    Configuração Valor
    Severidade Selecione 2 – Aviso.
    Nome da regra de alerta Insira myDDoSAlert.
  3. Selecione Examinar + criar e escolha Criar depois que a validação for aprovada.

Configurar uma simulação de ataque de negação de serviço distribuído

BreakingPoint Cloud

O BreakingPoint Cloud é um gerador de tráfego de autoatendimento no qual você pode gerar o tráfego nos pontos de extremidade públicos habilitados para a Proteção contra DDoS para fins de simulação.

O BreakingPoint Cloud oferece:

  • Uma interface do usuário simplificada e uma experiência “pronta para uso”.
  • Modelo de pagamento por uso.
  • Os perfis de duração de teste e dimensionamento de DDoS predefinidos permitem validações mais seguras eliminando o potencial de erros de configuração.
  • Uma conta de avaliação gratuita.

Observação

No caso do BreakingPoint Cloud, primeiro você precisa criar uma conta do BreakingPoint Cloud.

Exemplos de valores de ataque:

Exemplo de simulação de ataque DDoS: BreakingPoint Cloud.

Configuração Valor
Endereço IP de destino Insira um endereço IP público que você deseja testar.
Número da porta Inserir 443.
Perfil de DDoS Os valores possíveis incluem DNS Flood, NTPv2 Flood, SSDP Flood, TCP SYN Flood, UDP 64B Flood, UDP 128B Flood, UDP 256B Flood, UDP 512B Flood, UDP 1024B Flood, UDP 1514B Flood, UDP Fragmentation, UDP Memcached.
Tamanho do teste Os valores possíveis incluem 100K pps, 50 Mbps and 4 source IPs, 200K pps, 100 Mbps and 8 source IPs, 400K pps, 200Mbps and 16 source IPs, 800K pps, 400 Mbps and 32 source IPs.
Duração do teste Os valores possíveis incluem 10 Minutes, 15 Minutes, 20 Minutes, 25 Minutes, 30 Minutes.

Observação

Red Button

O pacote de serviços de Teste de DDoS do Red Button inclui três fases:

  1. Sessão de planejamento: especialistas do Red Button se reúnem com sua equipe para entender sua arquitetura de rede, reunir detalhes técnicos e definir metas claras e agendamentos de teste. Isso inclui o planejamento de destinos e escopo de teste do DDoS, vetores de ataque e taxas de ataque. O esforço de planejamento conjunto é detalhado em um documento de plano de teste.
  2. Ataque DDoS controlado: com base nas metas definidas, a equipe do Red Button inicia uma combinação de ataques de DDoS multi-vetor. O teste normalmente dura entre três a seis horas. Os ataques são executados com segurança usando servidores dedicados e são controlados e monitorados usando o console de gerenciamento do Red Button.
  3. Resumo e recomendações: a equipe do Red Button fornece um relatório de teste de DDoS escrito que descreve a eficácia da mitigação de DDoS. O relatório inclui um resumo executivo dos resultados do teste, um log completo da simulação, uma lista de vulnerabilidades em sua infraestrutura e recomendações sobre como corrigi-los.

Além disso, o Red Button oferece dois outros conjuntos de serviços, DDoS 360 e DDoS Incident Response, que podem complementar o pacote de serviços de Teste de DDoS.

RedWolf

A RedWolf oferece um sistema de teste fácil de usar que é autoatendido ou guiado por especialistas da RedWolf. O sistema de teste da RedWolf permite que os clientes configurem vetores de ataque. Os clientes podem especificar tamanhos de ataque com controle em tempo real nas configurações para simular cenários de DDoS do mundo real em um ambiente controlado.

O conjunto de serviços de Teste de DDoS da RedWolf inclui:

  • Vetores de ataque: ataques de nuvem exclusivos projetados pela RedWolf. Para obter mais informações sobre os vetores de ataque do RedWolf, confira Detalhes técnicos.
  • Serviço guiado: aproveite a equipe do RedWolf para executar testes. Para obter mais informações sobre o serviço guiado do RedWolf, confira Serviço guiado.
  • Autoatendimento: aproveite o RedWolf para executar testes você mesmo. Para obter mais informações sobre o autoatendimento do RedWolf, confira Autoatendimento.

MazeBolt

A plataforma RADAR™ identifica e permite continuamente a eliminação de vulnerabilidades DDoS – de forma proativa e sem interrupção das operações comerciais.

Próximas etapas

Para visualizar as métricas e os alertas de ataque após um ataque, prossiga para os próximos tutoriais.