Azure DDoS Protection은 분산 서비스 거부 공격으로부터 공용 리소스를 보호합니다. 다음 권장 사항은 DDoS 보호가 환경 전체에서 사용하도록 설정되고 올바르게 모니터링되는지 확인하는 데 도움이 됩니다.
모든 Azure 네트워크 보안 제로 트러스트 권장 사항에 대한 요약은 Azure 네트워크 보안 제로 트러스트 권장 사항을 참조하세요.
권장 사항
DDoS Protection은 VNet의 모든 공용 IP 주소에 대해 사용하도록 설정됩니다.
DDoS(분산 서비스 거부) 공격은 애플리케이션 컴퓨팅, 네트워크 또는 메모리 리소스를 압도하여 합법적인 사용자에게 액세스할 수 없는 서비스를 렌더링하는 것을 목표로 합니다. 인터넷에 노출되는 모든 공용 엔드포인트는 잠재적인 대상입니다. Azure DDoS Protection은 공용 IP 주소를 대상으로 하는 네트워크 계층 공격에 대한 상시 모니터링 및 자동 완화를 제공합니다. 개별 공용 IP에서 직접 DDoS IP 보호를 통해 또는 DDoS 보호 계획을 통해 가상 네트워크 수준에서 DDoS 네트워크 보호를 통해 보호를 사용하도록 설정할 수 있습니다. DDoS Protection이 없으면 Application Gateway, Load Balancer, Azure Firewalls, Azure Bastion, Virtual Network Gateway 및 가상 머신과 같은 서비스에 대한 공용 IP가 대역폭 및 시스템 리소스를 소진할 수 있는 공격에 계속 노출되어 종속 서비스에서 연속적인 중단이 발생합니다. 이 검사는 모든 공용 IP 주소가 두 방법 중 하나를 통해 DDoS 보호에서 적용되는지 확인합니다.
수정 작업
- Azure DDoS Protection 개요
- Azure Portal을 사용하여 Azure DDoS 네트워크 보호 만들기 및 구성
- Azure Portal을 사용하여 Azure DDoS IP Protection 만들기 및 구성
- Azure DDoS Protection SKU 비교
메트릭은 DDoS로 보호되는 공용 IP에 대해 사용하도록 설정됩니다.
Azure DDoS Protection은 공용 IP 주소에 대한 고급 완화 기능을 제공하여 계층 3 및 4에서 볼륨 및 프로토콜 DDoS(분산 서비스 거부) 공격을 자동으로 감지하고 완화합니다. 애플리케이션 계층(계층 7) DDoS 보호의 경우 WAF(웹 애플리케이션 방화벽)와 함께 Azure DDoS Protection을 사용합니다. 메트릭을 사용하지 않는 DDoS 보호는 보안 팀이 공격 트래픽 패턴, 완화 작업 또는 보호 정책의 효율성을 관찰할 수 없는 가시성 격차를 만듭니다. 모니터링되지 않는 공용 IP에 대해 DDoS 공격이 발생하면 인바운드 패킷 수, 완화 중에 삭제된 바이트, 식별된 공격 벡터 및 완화 트리거 이벤트를 포함한 중요한 원격 분석이 인시던트 응답자에 부족합니다. 이렇게 하면 서비스 성능 저하가 발생할 때까지 공격이 눈에 띄지 않을 수 있으므로 검색이 지연됩니다. 또한 애플리케이션 성능 문제와 DDoS 이벤트의 상관 관계를 방지하고 사전 방어 개선을 위해 공격 패턴을 분석하는 기능을 제거합니다. DDoS 메트릭을 사용하도록 설정하면 공격 상태, 처리 및 삭제된 패킷 및 바이트, 활성 인시던트 대응 및 인시던트 후 분석에 필수적인 TCP/UDP/SYN 홍수 메트릭에 대한 실시간 가시성을 제공합니다.
수정 작업
- Azure DDoS Protection 메트릭 및 진단 로그 구성
- Azure 리소스에 대한 진단 설정 구성
- Azure DDoS Protection 개요
- Azure Portal을 사용하여 Azure DDoS 네트워크 보호 만들기 및 구성
진단 로깅은 DDoS로 보호되는 공용 IP에 대해 사용하도록 설정됩니다.
공용 IP 주소에 대해 Azure DDoS Protection을 사용하도록 설정하면 진단 로깅은 DDoS(분산 서비스 거부) 공격 패턴, 완화 작업 및 트래픽 흐름 데이터에 대한 중요한 가시성을 제공합니다. 진단 로그가 없으면 보안 팀은 공격 특성을 이해하고, 완화 효율성의 유효성을 검사하고, 인시던트 후 분석을 수행하는 데 필요한 가시성이 부족합니다. Azure DDoS Protection은 세 가지 범주의 진단 로그를 생성합니다. 공격 검색 및 완화 이벤트를 위한 DDoSProtectionNotifications, 활성 완화 중 자세한 흐름 수준 정보를 위한 DDoSMitigationFlowLogs, 포괄적인 공격 요약을 위한 DDoSMitigationReports. 이러한 로그는 진행 중인 공격을 감지하고, 인시던트 조사, 규정 준수 요구 사항을 충족하고, 보호 정책을 조정하는 데 필수적입니다.
수정 작업
- DDoS Protection 진단 로그 보기 및 구성
- Azure DDoS Protection을 모니터링하기