Tutorial: Azure DDoS Protection – Simulationstests

Sie sollten Ihre Annahmen über die Reaktionen Ihrer Dienste auf einen Angriff unbedingt mithilfe regelmäßiger Simulationen testen. Überprüfen Sie während der Tests, ob Ihre Dienste oder Anwendungen weiterhin wie erwartet funktionieren und der Benutzer keine Unterbrechung merkt. Identifizieren Sie Lücken sowohl vom technologischen als auch Prozessstandpunkt, und beziehen Sie sie in die DDoS-Reaktionsstrategie ein. Wir empfehlen, solche Tests in Staging-Umgebungen oder außerhalb der Spitzenzeiten durchzuführen, um die Auswirkungen auf die Produktionsumgebung zu minimieren.

In diesem Tutorial erstellen Sie eine Testumgebung, die Folgendes ermöglicht:

• Ein DDoS-Schutzplan
• ein virtuelles Netzwerk
• Ein Azure Bastion-Host
• Ein Load Balancer
• Zwei virtuelle Computer

Anschließend konfigurieren Sie Diagnoseprotokolle und Warnungen, um Angriffe und Datenverkehrsmuster zu überwachen. Schließlich konfigurieren Sie eine DDoS-Angriffssimulation mit einem unserer genehmigten Testpartner.

Simulationen helfen Ihnen bei Folgendem:

• Zur Überprüfung, wie Azure DDoS Protection Ihre Azure-Ressourcen vor DDoS-Angriffen schützt
• Zur Optimierung Ihres Reaktionsprozesses auf Incidents während DDoS-Angriffen
• Zur Dokumentation der DDoS-Konformität
• Schulen Sie Ihre Netzwerksicherheitsteams.

Azure DDoS-Simulationstestrichtlinie

Sie können Angriffe nur mit unseren genehmigten Testpartnern simulieren:

• MazeBolt: Die RADAR-Plattform™ identifiziert und ermöglicht kontinuierlich die Beseitigung von DDoS-Schwachstellen – proaktiv und ohne Unterbrechung des Geschäftsbetriebs.
• Red Button: Arbeiten Sie mit einem dedizierten Team von Experten zusammen, um DDoS-Angriffsszenarien in einer kontrollierten Umgebung zu simulieren.
• RedWolf: Ein Anbieter Self-Service-basierter oder geführter DDoS-Tests mit Echtzeitsteuerung.

Die Simulationsumgebungen unserer Testpartner wurden in Azure entwickelt. Sie können nur mit von Azure gehosteten öffentlichen IP-Adressen simulieren, die zu einem eigenen Azure-Abonnement gehören. Dies wird vor dem Testen von unseren Partnern überprüft. Darüber hinaus müssen diese öffentlichen IP-Adressen des Ziels unter Azure DDoS Protection geschützt werden. Mit Simulationstests können Sie Ihren aktuellen Bereitschaftsstatus bewerten, Lücken in Ihren Verfahren zur Reaktion auf Vorfälle identifizieren und sich bei der Entwicklung einer geeigneten DDoS-Reaktionsstrategie unterstützen lassen.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement.
• Um diese Diagnoseprotokollierung verwenden zu können, müssen Sie zuerst einen Log Analytics-Arbeitsbereich mit aktivierten Diagnoseeinstellungen erstellen.
• In diesem Tutorial müssen Sie einen Load Balancer, eine öffentliche IP-Adresse, Bastion und zwei virtuelle Computer bereitstellen. Weitere Informationen finden Sie unter Load Balancer-Bereitstellung mit DDoS Protection. Sie können den NAT-Gatewayschritt im Tutorial „Load Balancer-Bereitstellung mit DDoS Protection“ überspringen.

Konfigurieren von DDoS-Schutzmetriken und -warnungen

In diesem Tutorial konfigurieren wir DDoS-Schutzmetriken und Warnungen, um Angriffe und Datenverkehrsmuster zu überwachen.

Konfigurieren von Diagnoseprotokollen

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in das Suchfeld oben im Portal Monitor ein. Wählen Sie in den Suchergebnissen den Eintrag Monitor aus.

3. Wählen Sie zunächst im linken Bereich unter Einstellungen die Option Diagnoseeinstellungen und dann auf der Seite Diagnoseeinstellungen die folgenden Informationen aus. Als Nächstes wählen Sie Diagnoseeinstellung hinzufügen aus.

   Einstellung	Wert
   Abonnement	Wählen Sie das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
   Ressourcengruppe	Wählen Sie die Ressourcengruppe aus, die die zu protokollierende öffentliche IP-Adresse enthält.
   Ressourcentyp	Wählen Sie Öffentliche IP-Adressen aus.
   Ressource	Wählen Sie die gewünschte Öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen.

4. Wählen Sie auf der Seite Diagnoseeinstellung unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden aus, geben Sie dann die folgenden Informationen ein, und klicken Sie anschließend auf Speichern.

   

   Einstellung	Wert
   Name der Diagnoseeinstellung	Geben Sie myDiagnosticSettings ein.
   Protokolle	Wählen Sie allLogs aus.
   Metriken	Wählen Sie AllMetrics aus.
   Zieldetails	Wählen Sie An den Log Analytics-Arbeitsbereich senden aus.
   Abonnement	Wählen Sie Ihr Azure-Abonnement.
   Log Analytics-Arbeitsbereich	Wählen Sie myLogAnalyticsWorkspace aus.

Konfigurieren von Metrikwarnungen

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in das Suchfeld oben im Portal den Suchbegriff Warnungen ein. Wählen Sie in den Suchergebnissen den Eintrag Warnungen aus.

3. Wählen Sie auf der Navigationsleiste + Erstellen und dann Warnungsregel aus.

4. Wählen Sie auf der Seite Warnungsregel erstellen die Option + Bereich auswählen und dann auf der Seite Ressource auswählen die folgenden Informationen aus.

   Einstellung	Wert
   Nach Abonnement filtern	Wählen Sie das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
   Nach Ressourcentyp filtern	Wählen Sie Öffentliche IP-Adressen aus.
   Ressource	Wählen Sie die gewünschte Öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen.

5. Wählen Sie Fertig und dann Weiter: Bedingung aus.

6. Wählen Sie auf der Seite Bedingung die Option + Bedingung hinzufügen aus, suchen Sie dann im Suchfeld Nach Signalnamen suchen nach Unter DDoS-Angriff oder nicht, und wählen Sie den Eintrag aus.

   

7. Geben Sie auf der Seite Warnungsregel erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Schwelle	Als Standard beibehalten.
   Aggregationstyp	Bei der Standardeinstellung belassen.
   Betreiber	Wählen Sie Größer als oder gleich aus.
   Einheit	Als Standard belassen.
   Schwellenwert	Geben Sie 1 ein. Bei der Metrik Unter DDoS-Angriff oder nicht bedeutet 0, dass Sie nicht angegriffen werden, während 1 bedeutet, dass Sie angegriffen werden.

8. Wählen Sie Weiter: Aktionen und dann + Aktionsgruppe erstellen aus.

Erstellen einer Aktionsgruppe

1. Geben Sie auf der Seite Aktionsgruppe erstellen die folgenden Informationen ein, und wählen Sie dann Weiter: Benachrichtigungen aus.

   Einstellung	Wert
   Abonnement	Wählen Sie das Azure-Abonnement mit der öffentlichen IP-Adresse aus, die Sie protokollieren möchten.
   Ressourcengruppe	Wählen Sie Ihre Ressourcengruppe aus.
   Region	Als Standard belassen.
   Aktionsgruppe	Geben Sie myDDoSAlertsActionGroup ein.
   Anzeigename	Geben Sie myDDoSAlerts ein.

2. Wählen Sie unter Benachrichtigungen als Benachrichtigungstyp die Option E-Mail/SMS/Push/Sprachanruf aus. Geben Sie myUnderAttackEmailAlert unter Name ein.

3. Aktivieren Sie auf der Seite E-Mail/SMS/Push/Sprachanruf das Kontrollkästchen E-Mail, und geben Sie dann die erforderliche E-Mail-Adresse ein. Klicken Sie auf OK.

4. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Konfigurieren von Warnungen über das Portal (Forts.)

1. Wählen Sie Weiter: Details aus.

2. Geben Sie auf der Registerkarte Details unter Warnungsregeldetails die folgenden Informationen ein.

   Einstellung	Wert
   Schweregrad	Wählen Sie 2 – Warnung aus.
   Name der Warnungsregel	Geben Sie myDDoSAlert ein.

3. Wählen Sie Überprüfen + erstellen und nach erfolgreicher Prüfung Erstellen aus.

Konfigurieren einer DDoS-Angriffssimulation

Rote Schaltfläche

Die DDoS-Testdienstsuite von Red Button umfasst drei Stufen:

1. Planungssitzung: Red Button-Experten treffen sich mit Ihrem Team, um Ihre Netzwerkarchitektur zu verstehen, technische Details zusammenzustellen und klare Ziele und Testpläne zu definieren. Dazu gehören die Planung von DDoS-Testbereich und -zielen, Angriffsvektoren und Angriffsraten. Der gemeinsame Planungsaufwand wird in einem Testplandokument beschrieben.
2. Kontrollierter DDoS-Angriff: Basierend auf den definierten Zielen startet das Red Button-Team eine Kombination aus Multivektor-DDoS-Angriffen. Der Test dauert in der Regel zwischen drei und sechs Stunden. Angriffe werden auf sichere Weise mithilfe dedizierter Server ausgeführt und über die Verwaltungskonsole von Red Button gesteuert und überwacht.
3. Zusammenfassung und Empfehlungen: Das Red Button-Team stellt Ihnen einen schriftlichen DDoS-Testberichtzur Verfügung, aus dem die Wirksamkeit der DDoS-Entschärfung hervorgeht. Der Bericht enthält eine Zusammenfassung der Testergebnisse, ein vollständiges Protokoll der Simulation, eine Liste der Sicherheitsrisiken in Ihrer Infrastruktur und Empfehlungen zu deren Korrektur.

Darüber hinaus bietet Red Button zwei weitere Servicesuiten, DDoS 360 und DDoS Incident Response, die die DDoS-Testdienstsuite ergänzen.

RedWolf

RedWolf bietet ein benutzerfreundliches Testsystem, das entweder selbstverwaltet oder von RedWolf-Experten geleitet wird. Mit dem RedWolf-Testsystem können Kunden Angriffsvektoren einrichten. Kunden können den Umfang eines Angriffs mit einer Echtzeitsteuerung der Einstellungen angeben, um reale DDoS-Angriffsszenarien in einer kontrollierten Umgebung zu simulieren.

Die DDoS Testing Service Suite von RedWolf umfasst Folgendes:

• Angriffsvektoren: Einzigartige Cloudangriffe, die von RedWolf entworfen wurden. Weitere Informationen zu RedWolf-Angriffsvektoren finden Sie unter Technische Details.
• Geführter Service: Nutzen Sie das Team von RedWolf, um Tests auszuführen. Weitere Informationen zum geführten Dienst von Red Wolf finden Sie unter Geführter Service.
• Self-Service: Nutzen Sie RedWolf, um Tests selbst auszuführen. Weitere Informationen zum Self-Service von RedWolf finden Sie unter Self-Service.

MazeBolt

Die RADAR™-Plattform identifiziert kontinuierlich DDoS-Sicherheitsrisiken und ermöglicht deren Beseitigung – proaktiv und ohne Unterbrechung des Geschäftsbetriebs.

Nächste Schritte

Um Angriffsmetriken und Warnungen nach einem Angriff anzuzeigen, fahren Sie mit diesen nächsten Tutorials fort.