Azure DDoS Protection
Azure üzerinde her geçen gün artan pek çok servis bulunmaktadır. Artık kimse bunların listesini veya sayısını paylaşmak istemiyor çünkü bunları yazdıkları tarih’ den 3 ay sonra bu rakamlar geçersiz kalıyor. Bir zamanlar Azure üzerinde 150’ den fazla servis var şeklinde yazarken artık sadece aşağıdaki link’ i paylaşıyorum;
https://azure.microsoft.com/en-us/services/
Benim bu makalede ele alacağım servis DDOS servisi.
Distributed denial of service (DDoS) saldırıları, uygulamalarını buluta taşıyan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik sorunlarından birisidir. Uzun yıllardır bildiğimiz ve aslında yerleşik sistemler veya bulut sistemleri fark etmeksizin uygulama veya hizmetlerimize karşı düzenlenebilir. Bir DDoS saldırısının temel amacı, bir uygulamanın kaynaklarını tüketmek ve bundan dolayı uygulamanın veya servisin hizmet veremez duruma gelmesini sağlamaktır.
Dediğim gibi DdoS yeni karşılaştığımız bir atak türü değil, yıllardır aslında DdoS saldırıları ile yaşamayı öğrendik. Ancak öğrendiğimiz tecrübeler ve çözümler hep yerleşik sistemler için olunca Azure üzerinde veya bir başka bulut sağlayıcısı üzerinde işler biraz değişiklik gösteriyor.
Öncelikle bulut üzerinde SaaS, PaaS veya IaaS olarak bildiğimiz katmanlar var. Uygulamanızın hangi katmanda ise aslında ona göre farklı çözümler sunulmaktadır. Buradaki kritik konu yerleşik sistemleri iyi bildiğimiz kadar bulut sistemlerine hâkim olmayışımız.
İlk olarak yerleşik sistemlerden alışkın olduğunuz pek çok marka aslında Azure üzerinde size hizmet etmeye hazır olarak sunulmaktadır.
Barracuda gibi, F5 gibi, Imperva gibi yerleşik kurumsal müşteriler tarafından tercih edilen ürünleri azure üzerinde konumlandırıp mevcut sistemlerinizi bulut üzerinde de aynı yerleşik sistemleri koruduğunuz gibi koruyabilirsiniz.
Burada bulut sağlayıcı aslında birden ISP rolüne geçer.
Örneğin bir bankayı düşünün, yerel bir veya iki ISP den internet hattı alıyor ve tüm veri merkezini bu tarz cihazlar ile koruyor. Ancak gelen atak ISP için bile fazla olur ise bu durumda işler değişebilir.
Örneğin bizim güvenlik ekibimizin geçen yıl bir bankaya yaptığı saldırı 7.6Gbps olarak kayıtlara geçti;
Yani artık bu rakamlar ulaşılması zor rakamlar değil. Bu durumda ISP bunu kesemiyor ise zaten sizin DdoS cihazınızın bir anlamı yok demektir. Çünkü konu ISP yi aşmış oluyor.
Azure da tabiki yerel ISP lere göre çok daha dağıtık ve büyük veri merkezleri olduğu için öncelikle bu sınır veya eşik değeri çok yüksek. Bu durumda kiralayacağınız yukarıdaki ürünlerin ayarlaması büyük önem kazanıyor. Yani böyle büyük bir trafik ile saldırı gelir ise yapılandırmanızın iyi olmaması durumunda işler kötüye gidebilir.
Bu nedenle bu ürünler daha çok belirli DdoS atakları veya özellikle Application Firewall, NLB gibi hizmetler için tercih ediliyor.
Peki bu cihazları kullanmadan korunmak mümkün mü?
Tabiki. Zaten PaaS kullanıyorsanız bu cihazlar çok anlamlı olmaz. IaaS da evet mevcut sanal makine parkurunuzu koruyabilir ama platform değiştikçe kullanacağınız ürünler de değişmektedir.
Örneğin bir uygulama geliştirdiniz ve Web App olarak konumlandırdınız. Üstüne bunu veri tabanını da PaaS’ dan aldığınız bir hizmete bağladınız. Özetle ortada ne IIS makinesi ne SQL makinesi yok, hepsi birer hosting hizmeti gibi Microsoft tarafından sunuluyor.
Böyle bir senaryoda ek olarak DdoS koruma paketi almanız şart değil. Çünkü Azure veri merkezleri çok büyük olduğu için sunduğu tüm stansart hizmetleri kapsayan bir koruma özelliği mevcut.
Örneğin DNS hizmetiniz yerel bir ISP de, ama atak yedi ve sizin de canınız yandı. Bunu aldınız ve Azure DNS’ servisine taşıdınız. Soru şu, peki bu hizmetin DdoS koruması var mı? Evet ama detaylandırmamız gereken birkaç konu da yer alıyor.
Basic ve Standart isminde iki hizmet yer almaktadır.
Basic, tüm azure servisleri için aslında geçerli olan temel bir koruma sağlar. Bu koruma bir nevi aslında genel olarak azure veri merkezlerinin trafiğini izleyip olası temel atakların kesilmesini sağlar. Ancak birileri size özel yani hedefli atak yapıyor ise bu durumda işler değişir.
Gördüğünüz gibi standart paketi ücretli ancak gerçekten bir şirket için gereksinimleri karşılamak üzere tasarlanmıştır.
Güvenlik işinde olanlar hemen şunu soracaktır, peki ne tür ataklar konusunda DdoS koruması sağlıyor?
Temelde 3 tip atak için koruma sağlamaktır;
Volumetric
Protocol
Resource (application) Layer
Layer 3-7 arasında çalışır.
Temel faydaları;
Native platform integrations
Azure üzerinden kolayca yönetilir. Kaynaklarınız ve onların yapılandırmalarını anlayabilir. Çünkü tek bir platform olarak çalışmaktadır.
Turn-key protection
Aktif edilmesi ile tüm sistemi korur. Ek yapılandırma gerektirmez. Olası ataklarda kendisi otomatik aksiyon alır.
Always-on traffic monitoring
Trafik 7×24 izlenmektedir.
Adaptive Tuning
En kıymetli özelliklerinden biriside uygulamalarınızı zaman içerisinde analiz ederek bir trafik şablonu çıkarabilir. Bu sayede uygulamanıza özel bir plan yapabilirsiniz. Bir nevi korumayı uygulamanız için kişiselleştirebilirsiniz.
Multi-Layered protection
Eğer Azure Web Application Firewall ile beraber kullanırsanız tüm katmanların korunduğu bir model sunar.
Extensive mitigation scale
Çok büyük DDoS saldırılarına karşı koruma sağlamak için, küresel kapasiteye sahip 60’ın üzerinde farklı saldırı türüne karşı tecrübelidir.
Attack analytics
Bir saldırı sırasında beş dakikalık aralıklar ile ayrıntılı raporlar alabilirsiniz. Saldırı sona erdikten sonra tam bir özet rapor alma imkânınız var. Bu sayede aslında olup biten her şeyi izleme şansınız ve geriye dönük inceleme şansınız olur.
Attack alerting
Bir saldırı başladığında veya bittiğinde sizi uyarır. Yine ayarlarınıza bağlı olarak bir loglama operasyonunuz var ise onun ile entegre olabilir (Microsoft Azure Log Analytics, Splunk, Azure Storage, Email ve Azure Portal gibi).
Peki nasıl çalışır?
Özetle gelen trafik 7×24 izlenmektedir. Eğer olası bir anormallik tespit edilir ise bu trafik Azure DdoS servisinden kontrollü bir şekilde geçirilir. Temiz olan trafik sunucu veya uygulamalarınıza ulaşırken atak tipi ile eşleşen trafik ise kesilir. Tüm bunlar tabiki loglanacaktır.
Peki bir uygulamayı devreye aldınız. Daha sonra birileri atak yapmadan siz kendi kendinize atak yapmak istiyorsunuz ve Azure DDos korumasının ne kadar başarılı olduğunu doğrulamak istiyorsunuz.
https://www.ixiacom.com/products/breakingpoint-cloud
Buradan DdoS testi yaptırabilirsiniz.
Örneğin yukarıda güzel bir test var. Azure son derece başarılı bir şekilde bu atağı yakalamış. Tabiki bu bir test, gerçek hayatta saldıranlar her zaman bir adım önde, yani burada bilinen atak türleri var;
Bu ve benzeri 60 atak türü için Azure hazır. Ama örnek 61. Atak için hiçbirimiz hazır değiliz. O noktada ise 7×24 global veri merkezlerinin trafiğinin takip edilmesi ve bunun makine öğrenme teknolojisi ile birleştirilmesi ilse yine kendimizi bir nebze güvende hissedebiliriz.
Özetle, Azure DdoS koruması ile kolay kolay size kimse bir şey yapamaz. Bunun neden söylüyorum, on premde bir müşterime çok ciddi atak yapılıyordu, Türkiye’ nin sayılı ISP lerin den birisindeydi, ancak atak öyle geliyordu ki ISP bile ilgili ip için anons kesiyordu. Sonra komple bu uygulamayı azure’ a taşıdık ve her şey bitti gitti. Aldıktan sonra birkaç deneme yaptılar ama azure gibi global bir oyuncu ile başa çıkamadılar. Zaten böyle bir veri merkezine ancak Google, Amazon, Azure ve benzeri bir veri merkezinden saldırmak lazım ki bu malum izin olmadan onaylanmıyor. Yapmaya kalkarsanız yani azure da bir veya bir den çok makine açıp saldırmayı denerseniz bir süre sonra trafiğinizin otomatik kesildiğini göreceksiniz.
Tabiki bu işi çok organize yapan ve onbinlerce zombi makinesi olanlar için işler kolaylaşsa bile bu durumda da gelen atak tipi bilinen bir atak ise hiçbir işe yaramayacaktır.
Özetle benzer durum bir müşterimizi azure’ a alarak sorununuz çözdük.
Gelelim fiyatlara. Azure genel olarak pahalı! Malum bu biraz aslında aldığınız hizmet ile ilgili. Klasik CPU, RAM, Disk alırsanız biraz pahalı olabilir (şimdi karşılaştırmaya girmiyorum ama yerel bir ISP ile global bir bulut oyuncusunun alt yapısı bir değil ama müşteri bazen bu beni ilgilendirmiyor beni aylık ödediğim rakam ilgilendiriyor dediği için) ancak katma değerli bir hizmet almak isterseniz her zaman ucuz.
WAF, DDos, DNS, WebApp, PaaS hizmetleri, CDN vb.
https://azure.microsoft.com/en-us/pricing/details/ddos-protection/
Ne kadar çok data trafiğiniz olur ise o kadar çok ödersiniz.
Örnek aylık 1TB trafiğiniz olur ise 215$ para ödersiniz.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.
Kaynak:
https://docs.microsoft.com/en-us/azure/virtual-network/ddos-protection-overview