Azure DDoS 響應(yīng)策略的組件

針對(duì)Azure資源的DDoS攻擊通常只需用戶做出極少量的干預(yù)。在事件響應(yīng)策略中整合DDoS緩解措施有助于進(jìn)一步減少對(duì)業(yè)務(wù)連續(xù)性產(chǎn)生的影響。

Microsoft威脅情報(bào)

Microsoft部署了廣泛的威脅情報(bào)網(wǎng)絡(luò)。此網(wǎng)絡(luò)利用了為Microsoft聯(lián)機(jī)服務(wù)和Microsoft合作伙伴提供服務(wù)的擴(kuò)展安全社區(qū)的集體知識(shí)，以及與Internet安全社區(qū)的內(nèi)部關(guān)系。

作為一家重要的基礎(chǔ)結(jié)構(gòu)提供商，Microsoft會(huì)提前收到有關(guān)威脅的警告。Microsoft從其Microsoft聯(lián)機(jī)服務(wù)和全球客戶群體收集威脅情報(bào)。Microsoft將所有威脅情報(bào)融入到Azure DDoS防護(hù)產(chǎn)品中。

此外，Microsoft的反數(shù)字犯罪部門(mén)(DCU)還會(huì)針對(duì)僵尸網(wǎng)絡(luò)執(zhí)行打擊策略。僵尸網(wǎng)絡(luò)是DDoS攻擊的常見(jiàn)指揮源頭。

針對(duì)Azure資源的風(fēng)險(xiǎn)評(píng)估

必須不斷了解DDoS攻擊的風(fēng)險(xiǎn)范圍。定期詢問(wèn)自己：

·哪些新公開(kāi)發(fā)布的Azure資源需要保護(hù)？

·服務(wù)中是否存在單一故障點(diǎn)？

·如何隔離服務(wù)，以限制某項(xiàng)攻擊造成的影響，同時(shí)使服務(wù)仍可供合法客戶使用？

·是否有虛擬網(wǎng)絡(luò)應(yīng)啟用標(biāo)準(zhǔn)DDoS防護(hù)，但卻沒(méi)有啟用？

·我的服務(wù)在跨多個(gè)區(qū)域故障轉(zhuǎn)移后是否保持主動(dòng)/主動(dòng)狀態(tài)？

務(wù)必了解應(yīng)用程序的正常行為，并在應(yīng)用程序在DDoS攻擊期間不按預(yù)期方式執(zhí)行操作。為模擬客戶端行為的業(yè)務(wù)關(guān)鍵應(yīng)用程序配置監(jiān)視器，并在檢測(cè)到相關(guān)異常時(shí)通知你。若要深入了解應(yīng)用程序的運(yùn)行狀況，請(qǐng)參閱監(jiān)視和診斷最佳實(shí)踐。

Azure Application Insights是多個(gè)平臺(tái)上面向Web開(kāi)發(fā)人員的可擴(kuò)展應(yīng)用程序性能管理(APM)服務(wù)。使用Application Insights來(lái)監(jiān)視實(shí)時(shí)Web應(yīng)用程序。它會(huì)自動(dòng)檢測(cè)性能異常。它包含分析工具，可幫助你診斷問(wèn)題并了解用戶對(duì)應(yīng)用執(zhí)行的操作。Application Insights有助于持續(xù)提高性能與可用性。

客戶DDoS響應(yīng)團(tuán)隊(duì)

建立DDoS響應(yīng)團(tuán)隊(duì)是快速有效地對(duì)攻擊做出響應(yīng)的關(guān)鍵一步。在組織中確定負(fù)責(zé)監(jiān)督規(guī)劃和執(zhí)行的各個(gè)聯(lián)系人。此DDoS響應(yīng)團(tuán)隊(duì)?wèi)?yīng)該全面了解標(biāo)準(zhǔn)Azure DDoS防護(hù)服務(wù)。確保該團(tuán)隊(duì)能夠與內(nèi)部和外部客戶（包括Microsoft支持團(tuán)隊(duì)）協(xié)作，以識(shí)別和緩解攻擊。

建議在服務(wù)可用性和連續(xù)性規(guī)劃中使用模擬練習(xí)，這些練習(xí)應(yīng)包括縮放測(cè)試。請(qǐng)參閱測(cè)試模擬，了解如何針對(duì)Azure公共終結(jié)點(diǎn)模擬DDoS測(cè)試流量。

攻擊期間的警報(bào)

標(biāo)準(zhǔn)Azure DDoS防護(hù)將識(shí)別并緩解DDoS攻擊，而無(wú)需任何用戶干預(yù)。若要在受保護(hù)公共IP受到的攻擊被主動(dòng)緩解時(shí)收到通知，可以針對(duì)“是否受DDoS攻擊”指標(biāo)配置警報(bào)?？梢赃x擇針對(duì)其他DDoS指標(biāo)創(chuàng)建警報(bào)，以了解攻擊規(guī)模、丟棄的流量和其他詳細(xì)信息。

何時(shí)與Microsoft支持部門(mén)聯(lián)系

Azure DDoS保護(hù)標(biāo)準(zhǔn)客戶有權(quán)訪問(wèn)DDoS快速響應(yīng)(DRR)團(tuán)隊(duì)，他們可以在攻擊期間幫助攻擊調(diào)查，還可以進(jìn)行攻擊后的分析。有關(guān)更多詳細(xì)信息，請(qǐng)參閱DDoS快速響應(yīng)，包括應(yīng)參與DRR團(tuán)隊(duì)。

攻擊后的措施

在發(fā)生攻擊后執(zhí)行事后剖析并按需重新調(diào)整DDoS響應(yīng)策略，始終是一個(gè)良好的策略。注意事項(xiàng)：

·服務(wù)或用戶的體驗(yàn)是否因缺少可縮放的體系結(jié)構(gòu)而受到任何干擾？

·哪些應(yīng)用程序或服務(wù)受到的影響最大？

·DDoS響應(yīng)策略的效果如何，如何對(duì)它做出改進(jìn)？

如果你懷疑自己受到DDoS攻擊，請(qǐng)通過(guò)正常的Azure支持渠道上報(bào)。