Protezione DDoS dell'applicazione (livello 7)

Azure WAF include diversi meccanismi di difesa che consentono di evitare attacchi DDoS (Distributed Denial of Service). Gli attacchi DDoS possono colpire sia il livello di rete (L3/L4) che il livello applicazione (L7). Azure DDoS Protection protegge dagli attacchi volumetrici di grandi dimensioni a livello di rete. Azure WAF, che opera al livello 7, protegge le applicazioni Web dagli attacchi DDoS L7, ad esempio inondazioni HTTP. Queste difese impediscono agli utenti malintenzionati di raggiungere l'applicazione e influire sulla disponibilità e sulle prestazioni dell'applicazione.

Come è possibile proteggere i servizi?

Attenuare questi attacchi aggiungendo un Web application firewall (WAF) o inserendo protezione DDoS davanti al servizio per escludere le richieste non valide. Azure offre WAF operativo al perimetro della rete con Frontdoor di Azure e nei data center con Application Gateway. Modificare questi passaggi in base ai requisiti dell'applicazione.

  • Distribuisci Web application firewall di Azure (WAF) con Frontdoor di Azure Premium o con la SKU WAF v2 di Application Gateway per proteggere dalle minacce al livello applicazione (L7).
  • Aumentare il numero di istanze di origine in modo da garantire una capacità di riserva sufficiente.
  • Abilitare Azure protezione DDoS negli indirizzi IP pubblici di origine per proteggere gli indirizzi IP pubblici dagli attacchi DDoS di livello 3 (L3) e di livello 4 (L4). Le soluzioni DDoS di Azure proteggono automaticamente la maggior parte dei siti da attacchi volumetrici L3 e L4 che inviano un numero elevato di pacchetti verso un sito web. Azure offre anche la protezione a livello di infrastruttura per tutti i siti ospitati in Azure per impostazione predefinita.

Azure WAF con Frontdoor di Azure

Azure WAF include molte funzionalità che è possibile usare per attenuare diversi tipi di attacchi, ad esempio inondazioni HTTP, bypass della cache e attacchi lanciati da botnet.

  • Usare il set di regole gestite di protezione del bot per proteggersi da bot non noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

  • Applicare limiti di frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Limitazione della frequenza.

  • Bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere Restrizioni IP.

  • Bloccare o reindirizzare a una pagina Web statica qualsiasi traffico dall'esterno di un'area geografica definita o all'interno di un'area definita che non rientra nel modello di traffico dell'applicazione. Per altre informazioni, vedere Filtro geografico.

  • Creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note. Le firme includono un agente utente specifico o un modello di traffico specifico, ad esempio intestazioni, cookie, parametri di stringa di query o una combinazione di più firme.

Oltre a WAF, Frontdoor di Azure offre anche la protezione DDoS dell'infrastruttura predefinita Azure per proteggersi dagli attacchi DDoS L3/L4. L'abilitazione della cache in Frontdoor di Azure può contribuire ad assorbire picchi improvvisi di traffico all'edge e anche a proteggere le origini di back-end dagli attacchi.

Per altre informazioni sulle funzionalità e sulla protezione DDoS in Frontdoor di Azure, vedere Protezione DDoS in Frontdoor di Azure.

Azure WAF con gateway applicazione di Azure

Usa lo SKU WAF v2 di Application Gateway, che include le funzionalità più recenti, come quelle di mitigazione DDoS a livello L7, per proteggerti dagli attacchi DDoS a livello L7.

È possibile usare gli SKU WAF di Application Gateway per mitigare molti attacchi DDoS L7:

  • Imposta Application Gateway per il ridimensionamento automatico senza imporre il numero massimo di istanze.

  • Usare il set di regole gestite di protezione del bot per proteggersi da bot non noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

  • Applicare limiti di frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Configurazione delle regole personalizzate per la limitazione della frequenza.

  • Bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere esempi in Creare e usare regole personalizzate v2.

  • Bloccare o reindirizzare a una pagina Web statica qualsiasi traffico dall'esterno di un'area geografica definita o all'interno di un'area definita che non rientra nel modello di traffico dell'applicazione. Per altre informazioni, vedere esempi in Creare e usare regole personalizzate v2.

  • Creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note. Le firme includono un agente utente specifico o un modello di traffico specifico che include intestazioni, cookie, parametri di stringa di query o una combinazione di più firme.

Altre considerazioni

  • Bloccare l'accesso agli indirizzi IP pubblici all'origine e limitare il traffico in ingresso per consentire il traffico solo da Frontdoor di Azure o Application Gateway verso l'origine. Fare riferimento alle indicazioni su Frontdoor di Azure. Assicurarsi che nella rete virtuale dell'Application Gateway non siano presenti indirizzi IP accessibili pubblicamente.

  • Impostare il criterio WAF in modalità di prevenzione. La distribuzione dei criteri in modalità di rilevamento funziona solo nel log e non blocca il traffico. Dopo aver verificato e testato il criterio WAF con il traffico di produzione e averlo ottimizzato per ridurre eventuali falsi positivi, impostare il criterio in modalità di prevenzione (modalità di blocco/difesa).

  • Monitorare il traffico usando i log waf di Azure per rilevare eventuali anomalie. È possibile creare regole personalizzate per bloccare qualsiasi traffico incriminato: indirizzi IP sospetti che inviano un numero insolitamente elevato di richieste, stringa insolita dell'agente utente, modelli di stringa di query anomale e altro ancora.

  • È possibile bypassare il WAF per il traffico legittimo noto creando regole di corrispondenza personalizzate con l'azione Consenti per ridurre i falsi positivi. Configurare queste regole con priorità elevata (valore numerico inferiore) rispetto ad altre regole di limite di blocchi e velocità.

  • Avere almeno una regola di limite di velocità che blocca la frequenza elevata delle richieste da qualsiasi singolo indirizzo IP. Ad esempio, è possibile configurare una regola di limite di velocità per non consentire a un singolo indirizzo IP client di inviare più di XXX traffico per finestra al sito. Azure WAF supporta due finestre per il rilevamento delle richieste, una e cinque minuti. Usare la finestra di cinque minuti per una migliore mitigazione degli attacchi HTTP Flood. Questa regola deve avere la priorità più bassa (la priorità è ordinata in modo che 1 sia la priorità più alta), in modo da consentire la creazione di regole di limitazione della frequenza o regole Match più specifiche che vengano applicate prima di questa regola. Se si usa il gateway applicazione WAF v2, è possibile usare altre configurazioni di limitazione della frequenza per tenere traccia e bloccare i client in base a metodi diversi dall'IP client. Maggiori informazioni sui limiti di velocità sul WAF di Application Gateway sono disponibili in Panoramica della limitazione della velocità.

    La query di Log Analytics seguente può essere utile per determinare la soglia da usare per la regola precedente. Per una query simile ma con Application Gateway, sostituire FrontdoorAccessLog con ApplicationGatewayAccessLog.

    AzureDiagnostics
    | where Category == "FrontdoorAccessLog"
    | summarize count() by bin(TimeGenerated, 5m), clientIp_s
    | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
    
  • Le regole gestite, anche se non direttamente mirate per le difese contro gli attacchi DDoS, forniscono protezione da altri attacchi comuni. Per altre informazioni, vedere Regole gestite (Frontdoor di Azure) o Regole gestite (gateway applicazione) per altre informazioni sui vari tipi di attacco che queste regole possono aiutare a proteggersi.

Analisi dei log WAF

È possibile analizzare i log waf in Log Analytics usando la query seguente.

Frontdoor di Azure

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Per altre informazioni, vedere Azure WAF con Frontdoor di Azure.

gateway applicazione di Azure

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Per altre informazioni, vedere Azure WAF con gateway applicazione di Azure.