DDoS-Schutz der Anwendung (Ebene 7)

Azure WAF umfasst mehrere Abwehrmechanismen, mit denen verteilte Denial-of-Service-Angriffe (DDoS) verhindert werden. DDoS-Angriffe können sowohl auf die Netzwerkebene (L3/L4) als auch auf die Anwendungsschicht (L7) abzielen. Azure DDoS-Schutz schützt Sie vor volumetrischen Angriffen auf große Netzwerkebene. Azure WAF, das auf Ebene 7 ausgeführt wird, schützt Webanwendungen vor L7 DDoS-Angriffen wie HTTP-Überschwemmungen. Diese Abwehrmaßnahmen verhindern, dass Angreifer Ihre Anwendung erreichen und die Verfügbarkeit und Leistung Ihrer Anwendung beeinträchtigen.

Wie können Sie Ihre Dienste schützen?

Mindern Sie diese Angriffe, indem Sie eine Web Application Firewall (WAF) hinzufügen oder DDoS-Schutz vor dem Dienst platzieren, um fehlerhafte Anforderungen auszufiltern. Azure bietet WAF, das am Netzwerk-Edge mit Azure Front Door und in Rechenzentren mit Application Gateway ausgeführt wird. Passen Sie diese Schritte an Ihre Anwendungsanforderungen an.

  • Stellen Sie Azure Web Application Firewall (WAF) mit der Azure Front Door Premium- oder der Application Gateway WAF v2-SKU bereit, um sich vor Angriffen auf L7-Anwendungsebene zu schützen.
  • Skalieren Sie Ihre Ursprungsinstanzanzahl hoch, sodass genügend freie Kapazität vorhanden ist.
  • Aktivieren Sie Azure DDoS-Schutz für die öffentlichen Ursprungs-IPs, um Ihre öffentlichen IPs vor Layer 3 (L3) und Layer 4 (L4) DDoS-Angriffen zu schützen. Azure DDoS-Angebote schützen die meisten Websites automatisch vor L3- und L4-Volumetric-Angriffen, die große Anzahl von Paketen an eine Website senden. Azure bietet auch Schutz auf Infrastrukturebene für alle Websites, die standardmäßig in Azure gehostet werden.

Azure WAF mit Azure Front Door

Azure WAF enthält viele Features, die Sie verwenden können, um verschiedene Arten von Angriffen zu minimieren, z. B. HTTP-Überschwemmungen, Cacheumgehung und Angriffe, die von Botnets gestartet werden.

  • Verwenden Sie den verwalteten Regelsatz für den Bot-Schutz, um sich vor bekannten schädlichen Bots zu schützen. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Ratenbegrenzung.

  • Blockieren Sie IP-Adressen und Bereiche, die Sie als böswillig identifizieren. Weitere Informationen finden Sie unter IP-Einschränkungen.

  • Blockieren oder leiten Sie jeglichen Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer definierten Region, der nicht dem Muster des Anwendungsdatenverkehrs entspricht, auf eine statische Webseite um. Weitere Informationen finden Sie unter Geofilterung.

  • Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden. Signaturen umfassen einen bestimmten Benutzer-Agent oder ein bestimmtes Datenverkehrsmuster, z. B. Header, Cookies, Abfragezeichenfolgenparameter oder eine Kombination aus mehreren Signaturen.

Über WAF hinaus bietet Azure Front Door auch standardmäßigen Azure Infrastruktur-DDoS-Schutz zum Schutz vor L3/L4 DDoS-Angriffen. Das Aktivieren des Cachings für Azure Front Door kann dazu beitragen, plötzliche Verkehrsspitzen am Netzwerkrand abzufangen und zusätzlich Back-End-Quellen vor Angriffen zu schützen.

Weitere Informationen zu Features und DDoS-Schutz in Azure Front Door finden Sie unter DDoS-Schutz in Azure Front Door.

Azure WAF mit Azure Application Gateway

Verwenden Sie die Anwendungsgateway-WAF v2-SKU, die die neuesten Features wie L7 DDoS-Entschärfungsfeatures enthält, um vor L7 DDoS-Angriffen zu schützen.

Sie können Application Gateway-WAF-SKUs verwenden, um viele L7-DDoS-Angriffe abzuwehren:

  • Legen Sie das Anwendungsgateway auf "automatisch skalieren" fest, und erzwingen Sie nicht die Anzahl der maximalen Instanzen.

  • Verwenden Sie den verwalteten Regelsatz für den Bot-Schutz, um sich vor bekannten schädlichen Bots zu schützen. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten Ratenbegrenzungsregeln.

  • Blockieren Sie IP-Adressen und Bereiche, die Sie als böswillig identifizieren. Weitere Informationen finden Sie in den Beispielen unter Erstellen und Verwenden benutzerdefinierter v2-Regeln.

  • Blockieren oder leiten Sie jeglichen Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer definierten Region, der nicht dem Muster des Anwendungsdatenverkehrs entspricht, auf eine statische Webseite um. Weitere Informationen finden Sie in den Beispielen unter Erstellen und Verwenden benutzerdefinierter v2-Regeln.

  • Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden. Signaturen umfassen einen bestimmten Benutzer-Agent oder ein bestimmtes Datenverkehrsmuster, das Header, Cookies, Abfragezeichenfolgenparameter oder eine Kombination aus mehreren Signaturen enthält.

Weitere Überlegungen

  • Sperren Sie den Zugriff auf öffentliche IP-Adressen am Ursprung, und beschränken Sie eingehenden Datenverkehr so, dass nur Datenverkehr von Azure Front Door oder Application Gateway zum Ursprung zugelassen wird. Weitere Informationen finden Sie in der Anleitung zu Azure Front Door. Stellen Sie sicher, dass im virtuellen Netzwerk des Anwendungsgateways keine öffentlich verfügbar gemachten IP-Adressen vorhanden sind.

  • Ändern Sie die WAF-Richtlinie in den Schutzmodus. Wenn Sie die Richtlinie im Erkennungsmodus bereitstellen, arbeitet sie im ausschließlich protokollierenden Modus und blockiert keinen Datenverkehr. Nachdem Sie Ihre WAF-Richtlinie mit Produktionsdatenverkehr überprüft und getestet haben, um falsch positive Ergebnisse zu reduzieren, schalten Sie die Richtlinie in den Schutzmodus (Blockmodus/Verteidigungsmodus).

  • Überwachen Sie den Datenverkehr mithilfe von Azure WAF-Protokollen auf Anomalien. Sie können benutzerdefinierte Regeln erstellen, um jeglichen auffälligen Datenverkehr zu blockieren – verdächtige IPs, die eine ungewöhnlich hohe Anzahl von Anfragen senden, ungewöhnliche User-Agent-Strings, anomale Query-String-Muster und vieles mehr.

  • Sie können WAF für bekannten berechtigten Datenverkehr umgehen, indem Sie mit der Aktion „Zulassen“ benutzerdefinierte Abgleichsregeln erstellen, um falsch positive Ergebnisse zu reduzieren. Konfigurieren Sie diese Regeln mit einer hohen Priorität (niedrigerer numerischer Wert) als andere Regeln für Block- und Zinsgrenzwerte.

  • Stellen Sie mindestens sicher, dass eine Regel zur Ratenbegrenzung vorhanden ist, die eine hohe Anzahl von Anfragen von einer einzelnen IP-Adresse blockiert. Sie können beispielsweise eine Ratenbegrenzungsregel so konfigurieren, dass eine einzelne Client-IP-Adresse innerhalb eines bestimmten Zeitfensters nicht mehr als XXX Datenverkehr an Ihre Website senden kann. Azure WAF unterstützt zwei Zeitfenster für die Nachverfolgung von Anfragen: eine Minute und fünf Minuten. Verwenden Sie das fünfminütige Fenster, um HTTP-Überschwemmungsangriffe besser zu entschärfen. Diese Regel sollte die Regel mit der geringsten Priorität sein (die Prioritäten sind so geordnet, dass „1“ die höchste Priorität ist), damit spezifischere Rate-Limit- oder Match-Regeln erstellt werden können, die vor dieser Regel zutreffen. Wenn Sie Application Gateway WAF v2 verwenden, können Sie andere Konfigurationen mit Ratenbegrenzung verwenden, um Clients mit anderen Methoden als der Client-IP-Adresse nachzuverfolgen und zu blockieren. Weitere Informationen zu Ratenbegrenzungen für Application Gateway-WAF finden Sie unter Übersicht über die Ratenbegrenzung.

    Die folgende Log Analytics-Abfrage kann hilfreich sein, um den Schwellenwert zu bestimmen, den Sie für die vorherige Regel verwenden sollten. Ersetzen Sie bei einer ähnlichen Abfrage, jedoch mit Application Gateway, FrontdoorAccessLog durch ApplicationGatewayAccessLog.

    AzureDiagnostics
    | where Category == "FrontdoorAccessLog"
    | summarize count() by bin(TimeGenerated, 5m), clientIp_s
    | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
    
  • Verwaltete Regeln, die nicht direkt auf die Abwehr von DDoS-Angriffen ausgerichtet sind, bieten jedoch Schutz vor anderen gängigen Angriffen. Weitere Informationen zu den verschiedenen Angriffstypen, vor denen diese Regeln schützen können, finden Sie unter Verwaltete Regeln (Azure Front Door) oder Verwaltete Regeln (Application Gateway).

WAF-Protokollanalyse

Sie können WAF-Protokolle in Log Analytics mithilfe der folgenden Abfrage analysieren.

Azure Front Door – der Dienst für Web-Traffic-Management

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Weitere Informationen finden Sie unter Azure WAF mit Azure Front Door.

Azure-Anwendungsgateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Weitere Informationen finden Sie unter Azure WAF mit Azure Application Gateway.