sikkerhed - Har Windows Azure noget som helst tilgængeligt mod nægtelse af tjenesteangreb?

Indlæg af Hanne Mølgaard Plasc

Problem



Vi udvikler en webtjeneste, der er hostet i Windows Azure. Vi forventer, at nogle slemme fyre forsøger at DDOS det. Jeg googlede og fandt ikke noget nyt og definitivt (det her er ret vagt) om, hvorvidt Windows Azure har nogle funktioner mod nægtelse af tjenesteangreb. [1]


Har vi brug for særlige foranstaltninger? Hvad tilbyder Windows Azure at beskytte mod nægtelse af serviceangreb?

Bedste reference


Azure load balancer giver en vis beskyttelse, men detaljerne herfor offentliggøres ikke.

Andre referencer 1


Jeg regner ingen tjenesteudbyder kunne virkelig have en funktion imod benægtelse af tjenesten angreb, fordi ved at sige, at det betyder at forhindre DoS-angreb. Den eneste måde er ved at migrere DoS-angreb, som du kan anvende en række teknikker. Jeg ved, at Windows Azure reducerer delvist deial of service-angreb, hvilket skyldes arten af ​​belastningsbalanceren i Azure-miljøet. En teknik, som jeg ved, kan være at implementere en billig rolleeksempel (Extra Small eller Small), der fungerer som en omvendt proxy til den aktuelle webapplikation, der sidder på den faktiske produktionsrollemodus (Large eller Extra Large-forekomst) i Windows Azure . For at implementere omvendt proxy-rolleinstansen skal du bare aktivere ARR, som er en funktion inden for IIS. Du kan bruge opstartsopgaver til at aktivere ARR. Denne omvendte proxyrolle-forekomst kan også have en regel i den, at den kontrollerer bestemte målinger, og hvis denne beregning har overskredet den forudindstillede tærskel, stopper den stort set bare at acceptere eller videresende trafikken til den aktuelle webapp eller hvis automatisk skalering implementeres , det stopper bare skalering ud over et maksimum antal tilladte tilfælde. Dette minimerede også den økonomiske virkning af et DoS-angreb. Derefter er du bare afhængig af, hvordan Windows Azure reducerer eventuelle afslag på tjenesten, hvilket er når det opdager eventuelle angrebsmønstre fra en Windows Azure-rolleinstans til en anden rolleinstans. I så fald vil det stoppe eventuelle angreb på din faktiske webapplikation.

Andre referencer 2


Lidt forældet blogpost om dette men stadig relevant:
http://blogs.blackmarble.co.uk/blogs/sspencer/post/2011/02/14/denial-of-service-and-windows-azure.aspx[2]