Hoe bescherm je jouw Microsoft Azure omgeving tegen een DDoS-aanval?

Wouter van den Berkmortel
·
28/06/2022
Grote kans dat jij en je collega’s gebruik maken van diensten in de Microsoft Azure omgeving. Maar wist je dat aan het gebruik hiervan ook cybersecurity risico's gebonden zijn? Lees in deze blog van Master IT alles over het beveiligen van jouw Microsoft Azure omgeving tegen DDoS-aanvallen!

De belangrijkste beschikbaarheids- en beveiligingsproblemen bij het verplaatsen van diensten naar de cloud zijn DDoS-aanvallen( Distributed Denial of Service). Met afpersing en hacktivisme als veelvoorkomende motivaties voor het gebruik van DDoS-aanvallen zijn ze consistent toegenomen in zowel type, schaal als frequentie van optreden. Dit omdat DDoS-aanvallen relatief eenvoudig en goedkoop uit te voeren zijn.

Herken je de uitdaging om jouw diensten te beschermen in Microsoft Azure? Wil jij jouw organisatie helpen een veilige oplossing tegen DDoS-aanvallen aan te dragen? Lees dan snel verder!

Hoe werkt een DDoS-aanval

Wat er in de praktijk vaak wordt waargenomen is dat een getroffen (web)server tijdens een DDoS-aanval enorm veel (verschillende soorten) verzoeken vanaf meerdere computers tegelijk krijgt te verwerken. Daardoor wordt het verkeer van en naar de website van de organisatie vertraagd of geblokkeerd en kan de server die jouw website of dienst host zelfs crashen. Klanten kunnen jouw website in dit geval niet meer bereiken met als gevolg gemiste contactmomenten.

Het reguliere netwerkverkeer verloopt normaal gesproken gecontroleerd en binnen de verwachte kaders. Stel je voor dat er in korte tijd opeens enorm veel data tegelijk wordt gestuurd en opgevraagd. Het gevolg voor het getroffen netwerk is dat het verkeer bij het verwerken van te veel data tot stilstand zal komen. Op het moment dat het reguliere netwerkverkeer wordt omgeleid zal er pas weer op de reguliere manier van het netwerk gebruik kunnen worden gemaakt.
In veel gevallen wordt een ‘botnet’ gebruikt om een DDoS-aanval uit te voeren. Een botnet is een groep van op afstand te controleren computers, die in veel gevallen via malware geïnfecteerd zijn. Deze (vaak zeer grote aantallen) computers kunnen tegelijk op afstand een groot aantal serververzoeken versturen naar bijvoorbeeld websites en leggen dan het netwerkverkeer plat.

DDoS-aanvallen worden onderverdeeld in drie categorieën. Een aanvaller kan één of meerdere verschillende aanvalsvectoren gebruiken, of cyclusaanvalsvectoren die mogelijk gebaseerd zijn op tegenmaatregelen die het doelwit heeft genomen. De drie DDoS-categorieën zijn application layer attacks, protocol attacks en volumetric attacks:

  • Application Layer Attack:
    De application layer attack wordt soms ook wel een layer 7 DDoS-aanval genoemd. Layer 7 verwijst naar een laag van het OSI-model. Het doel van dit type DDoS-aanvallen is om de bronnen van het doel uit te putten. De aanvallen richten zich vaak op de laag waar webpagina’s worden gegenereerd op de server en worden afgeleverd in reactie op HTTP-verzoeken (requests).
  • Protocol Attack:
    Protocolaanvallen, ook wel bekend als ‘state-exhaustion’ attacks, veroorzaken een verstoring van de dienst door alle beschikbare capaciteit van web application servers, of bronnen van tussenliggende apparaten zoals firewalls en load-balancers, te gebruiken.
  • Volumetric Attack:
    Een volumetric aanval probeert opstopping te creëren door alle beschikbare bandbreedte tussen het aanvalsdoel en het grotere internet te verbruiken. Grote hoeveelheden data worden naar een bepaald doel gestuurd om massaal verkeer te genereren, een goed voorbeeld hiervan zijn verzoeken afkomstig van een botnet.

Afbeelding IT'er

Maatregelen om de gevolgen van een DDoS aanval te beperken

Het NCSC ofwel het Nationaal Cyber Security Centrum adviseert om zowel technische als organisatorische maatregelen te treffen om een organisatie te beschermen tegen de verschillende vormen van DDoS-aanvallen. Begin met het maken van een overzicht van de ICT-infrastructuur van je organisatie, zowel on-premise als in de cloud. Voor onderdelen binnen je eigen beheer kun je zelf technische maatregelen treffen. Voor overige onderdelen, zoals services in de cloud, dienen afspraken gemaakt te worden met de desbetreffende cloud leverancier. Daarnaast is het ook belangrijk om jouw organisatie voor te bereiden op DDoS-aanvallen door middel van een duidelijk respons- en communicatiestrategie.

Er zijn meerdere technische mogelijkheden om een DDoS-aanval te beperken. Het is belangrijk om te weten wat voor aanval er wordt uitgevoerd, zodat de juiste maatregelen genomen kunnen worden. De enig haalbare methode om een DDoS-aanval tegen te gaan is door het specifieke DDoS verkeer te blokkeren. Dit doe je on-premises en op basis van de informatie die je tijdens de aanval verzamelt over het type DDoS waarmee het netwerk op dat moment overspoeld wordt.

Het verkeer blokkeren dat bij de DDoS hoort door het te filteren kan op locatie (on-premise) worden gedaan of bij een internet service provider. De beste resultaten leveren daarbij specifieke Anti-DDoS appliances. Deze combineren vaak ook andere technieken, zoals intrusion prevention en gedragsherkenning.
Nu je weet wat een DDoS-aanval inhoudt en de risico’s in kaart zijn gebracht, is de vraag hoe we ook buiten de on-premise omgeving/ISP onze cloud diensten binnen Azure kunnen beschermen.

Azure DDoS Protection

In principe biedt Microsoft vanaf het in gebruik nemen van Microsoft Azure beveiliging tegen DDoS-aanvallen. Deze standaard dienst wordt Azure DDoS Protection Basic genoemd en beveiligd zonder extra kosten elke Azure dienst die gebruikmaakt van openbare IPv4- en IPv6-adressen. Deze DDoS-beveiligingsservice helpt jouw organisatie bij het beveiligen van alle Azure diensten, waaronder PaaS-services (Platform as a Service), zoals Azure DNS. DDoS Protection Basic vereist geen wijzigingen in de gebruikersconfiguratie of toepassing en slaat daarbij geen klantgegevens op.

DDoS Protection Basic biedt:

  • Actieve verkeersbewaking en always-on-detectie, bewaking van toepassingsverkeers-patronen om te zoeken naar indicatoren van DDoS-attacks
  • Automatische aanvalsbeperking. Zodra een aanval is gedetecteerd wordt deze geneutraliseerd
  • Een DDoS Protection Basic Service Level Agreement (SLA), met best-effort ondersteuning die is gebaseerd op de Azure-regio van de betreffende diensten

Buiten de standaard DDoS Protection Basic is er een mogelijkheid om een uitgebreidere versie van deze Microsoft software af te nemen genaamd DDoS Protection Standard. DDoS Protection Standard biedt verbeterde DDoS-risicobeperkingsfuncties voor bescherming tegen DDoS-aanvallen. Deze wordt automatisch afgestemd om Azure-resources van jouw organisatie in een virtueel netwerk te beveiligen.

DDoS Protection Standard functies en voordelen:

  • Intelligente verkeersprofilering;
  • Integratie in de Azure Portal voor installatie en implementatie;
  • Wanneer DDoS Standard is ingeschakeld voor een virtueel netwerk, worden alle resources in jouw virtuele netwerk automatisch beveiligd;
  • De netwerkbronnen in de cloud van jouw organisatie staan onder constante verkeersbewaking voor indicaties van een DDoS-aanval. Wanneer een DDoS-aanval plaatsvind wordt deze automatisch tegengegaan;
  • Het beveiligen van laag 3 en 4 van het OSI model (netwerk laag) en het bieden van toepassingsbeveiliging op laag 7 met Azure Web Application Firewall, welke is opgenomen in Azure Gateway;
  • Gedetailleerde live analyserapporten over aanvallen in intervallen van vijf minuten;
  • Wanneer de aanval is geëindigd een rapport met een volledige samenvatting van de gebeurtenis;
  • Het bevat ondersteuning voor de integratie van logboeken met Microsoft Defender voor Cloud, Microsoft Sentinel of een SIEM-systeem;
  • Azure Monitor verzamelt bewakingstelemetrie van DDoS Protection Standard

Kostengarantie en DDoS-ondersteuning van Microsoft engineers voor een snelle respons zijn twee van de andere belangrijke DDoS Standard Protection-functies.

Meer over kennis over Microsoft Azure of Microsoft Security opdoen bij Master IT?

Wil jij meer weten over het beveiligen van Microsoft Azure en Windows Systemen on-premise of in de Cloud? Dan helpen we je uiteraard graag!

Ben je benieuwd naar Microsoft Azure en wil je voor jouw organisatie deze dienst beheren, identiteiten beveiligen, de infrastructuur binnen Azure beheren en virtuele netwerken kunnen configureren? Dan is de AZ-104 Microsoft Azure Administrator training iets voor jou!
Of ben je benieuwd naar een training waarin je leert om bedreigingen te beperken met behulp van Microsoft Defender for Endpoint? Bekijk dan eens de SC-200 Microsoft Security Operations Analyst training. Wil je meer kennis op doen op het gebied van het beveiligen van vertrouwelijke informatie? Kijk dan eens naar de SC-400 Microsoft Information Protection Administrator training. deze training bij Master IT stelt organisaties in staat hun gegevens te beschermen tegen diefstal en onbedoeld verlies. In de SC-300 Microsoft Identity and Access Administrator training kun je meer leren over identiteits- en toegangsbeheer gebruikmakend van Azure Active Directory in de Azure Cloud.

Wil je meer informatie over één van de cybersecurity trainingen van Master IT of heb je een algemene vraag?
Neem dan contact met ons op via 040 23 23 390 of vul het contactformulier hieronder in. Eén van onze opleidingsadviseurs zal dan zo snel mogelijk contact met je opnemen!

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Flexibel inplannen
Kleine klassen
100% Slagingsgarantie
Gerelateerde trainingen
SC-900
Microsoft Security, Compliance, and Identity Fundamentals (SC-900)
Beginner
SC-100
Microsoft Cybersecurity Architect (SC-100)
Advanced
AZ-500
Microsoft Azure Security Technologies (AZ-500)
Intermediate
Bekijk alle trainingen