Tämä artikkeli on osa laajempaa tietoturvasarjaa, josta on ilmestynyt jo seuraavat artikkelit:
Microsoft Defender Cloud – Tehokasta suojausta kaikkialla!
On todennäköistä, että jo alkaneet verkkopalveluihin kohdistuvat murtautumis-, hyväksikäyttö- ja palvelunestohyökkäykset yleistyvät Suomessa lähiaikoina. Suomalaisia on varoitettu hybridivaikuttamisesta ja tätä varautumista on tehtykin – ja toivottavasti muutenkin, kuin joditabletteja hankkimalla. Tosiasia on se, että massiivisia hyökkäyksiä vastaan pystyy puolustautumaan parhaiten massiivisella puolustuksella.
Microsoftin Azure-pilvipalvelusta löytyy skaalautuvia tietoturvaa ja käytettävyyttä lisääviä palveluja organisaatioiden käyttöön. Niiden käyttöönotto ei vaadi sitä, että itse palvelut sijaitsevat Azure-pilvessä, vaan oikealla tavalla konfiguroituna ne pystyvät suojaamaan erilaisia julkisia verkkopalveluja, jotka sijaitsevat missä tahansa ympäristössä. Microsoft antaa palveluille korkean käytettävyyslupauksen ja takaa myös sen, että tunnetun palvelunestohyökkäyksen aikana itse verkkopalvelun toiminta ei koe häiriötä.
Microsoftin lupaukset eivät ole tuulesta temmattuja. Esimerkiksi marraskuussa 2021 asiakkaamme verkkopalveluun kohdistui yli 3,4 Tbps hyökkäys, (piikeissä paketteja per sekuntti oli yli 340M) jonka torjuimme, eikä asiakkaamme verkkopalvelulle koitunut tästä haittaa. Hyökkäyksiä tehdään kaikkien toimialojen asiakkaisiin maailmanlaajuisesti, päivittäin Azuren DDoS Standard – palvelu torjuu viitisen tuhatta DDoS-hyökkäystä
Kuinka Azure-palveluilla saadaan nopeasti parannettua tietoturvaa?
Tässä kirjoituksessa esittelemme kaksi Azuren tietoturvapalvelua sekä kuvaamme lyhyesti niiden keskeiset ominaisuudet ja käyttöönoton. Jos käytössänne ei ole palvelunestohyökkäyksiltä suojaavaa skaalautuvaa palvelua, nyt on oikea aika ottaa se käyttöön. Tilanteeseen sopii hyvin sanonta: ”Ei kannata odottaa, että talo palaa ja sitten vasta ostaa kotivakuutus”.
Azure Application Gateway ja Web Application Firewall
Azuren Application gateway on verkkokuormaa tasaava palvelu. Siihen voidaan yhdistää sovellustason suojaus, jolloin kuormantasaaja tekee sovellustasolla verkkoliikenteen analysointia. Verkkoliikenteestä pyritään löytämään komentoja, komentosarjoja, ohjelmistollisia yrityksiä, joilla hyökkääjä pyrkii löytämään itse verkkopalvelun mahdollisia heikkouksia. Kun heikkous tai suojauksen puute löytyy, hyökkääjät alkavat erilaisilla hyödyntämismenetelmillä verkkopalvelun murtamisen.
Azuren Web Application Firewall (WAF) tuo lisäkerroksen suojautumiseen. Se tutkii normaalilta vaikuttavaa internetliikennettä ja tunnistaa sen sisältä poikkeamia. Tunnistetut poikkeamat raportoidaan ja ne estetään, mikäli kyseessä on ei-toivottua liikennettä.
Azuren WAF-palvelussa on sisäänrakennettuna sääntöjä ja niistä muodostettuja sääntöryhmiä, joiden perusteella liikennettä tutkitaan. Palvelulla voidaan tunnistaa seuraavia poikkeamia
- SQL-injection attacks
- Cross-site scripting attacks
- Other common attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion
- HTTP protocol violations
- HTTP protocol anomalies, such as missing host user-agent and accept headers
- Bots, crawlers, and scanners
- Common application misconfigurations (for example, Apache and IIS)
Jos Microsoftin OWASP-sääntöihin pohjautuvat säännöt eivät riitä, niin WAF:in uusimmassa versiossa voi laatia omia sääntöjä.
Yhden WAF:in taakse pystyy piilottamaan lukuisia sivustoja ja laatimaan niille erilaiset säännöt. WAF 2v skaalautuu käyttötarpeen mukaan ja laskua kertyy käytössä olevien kapasiteettiyksiköiden mukaisesti. Et siis maksa turhasta, vaan siitä mitä käytät. WAF:in hälytyksiä voidaan viedä Defender for Cloud tai Azure Sentinel – Palveluihin ja täten muodostaa nopeasti kokonaiskuva mahdollisista poikkeamista ja puuttua niihin, tarvittaessa automaattisesti.
DDoS protection standard
Azure-pilvessä on kaksi DDoS-suojaustasoa: basic ja standardi. Basic on aina päällä, eikä siitä tule kustannuksia. Sen tarkoituksena on suojata Azuren jaettuja resursseja ja omia palveluita. DDoS Standard Plan -suojauksen on tarkoitus suojata itse asiakkaan sovellusta. Suojauspalvelu on helppo ottaa käyttöön. Se on itseoppiva (Adaptive Tuning) ja skaalautuva. Palvelu itseasiassa pitää sisällään myös tuen Microsoftin Rapid Response -tiimiltä, joka auttaa asiakkaita DDoS-hyökkäyksen aikana. Ja mikä parasta, Azure antaa kustannussuojauksen, jonka avulla voidaan suojata myös palvelun kustannustasot DDoS-hyökkäyksien aikana. Microsoft hyvittää asiakkaalle, jos DDoS-hyökkäyksen aikana kustannukset ovat nousseet, eikä DDoS-suojaus ole toiminut riittävän tehokkaasti. Azure DDoS Protection Standard Overview | Microsoft Docs
Palveluiden arkkitehtuuri ja käyttöönotto
Azuresta käyttöönotetun suojauksen yhdistäminen palveluun, joka pyörii omassa konesalissa, on sangen suoraviivaista ja käyttöönotto onnistuu parhaimmillaan tunneissa. Tyypillisesti ennen DDoS-suojausta sovellus julkaistaan Azuren kautta ja testataan ilman, että muutoksella on mitään vaikutusta tuotantoon. Sopivaan Azure-konesaliin (Suomen kannalta järkevin on Azure Sweden Central) luodaan ensin virtuaaliverkko. Tämän jälkeen lisätään Application Gateway -palvelu omaan aliverkkoon (ApplicationGatewaySubnet). Huomaa, että WAF:in käyttöönotto vaatii sen, että SKU valitaan oikein (WAF v2). Kun Application Gateway -palvelu on valmis, voidaan sovelluksen toimintaa testata ottamalla yhteyttä Application Gateway-palvelun julkiseen IP-osoitteeseen. (DNS-nimiä on helppo muuttaa suoraan testauskoneen hosts-tiedostoon.)
Katso ohje: Tutorial: Create using portal - Web Application Firewall | Microsoft Docs
Web Application Firewall -säännöstöä voidaan myös muokata omalle sovellukselle sopivaksi.
Customize rules using portal - Azure Web Application Firewall | Microsoft Docs
Application gateway backend -yhteyteen omaan konesaliin voidaan käyttää internetyhteyttä tai dedikoitua linkkiä. Linkki voi olla VPN- tai ExpressRoute -teknologialla toteutettu. Jos käytetään internetpohjaista yhteyttä, on hyvä suojata omassa konesalissa oleva julkinen IP-osoite. Tämä tapahtuu sallimalla liikenne vain Application gateway:n julkisesta osoitteesta.
Kun sovelluksen toiminta on testattu, voidaan siirtyä itse DDoS-suojaukseen.
Azure DDoS protection-palvelu otetaan samalla tavalla käyttöön, kuin muutkin Azure-palvelut. Ensin luodaan ”DDoS Protection Plan” sopivaan resurssiryhmään. Tämän jälkeen otetaan käyttöön DDoS Plan -virtuaaliverkon asetuksista ”DDoS protection blade”. Ja suojaus on käytössä!
DDoS protection plan -nimisen palvelun alta löytyy tiedot suojauksen asetuksista; esimerkiksi mitä resursseja on suojattu ja palveluun liittyvä metriikka. Create and configure Azure DDoS Protection Standard
Kustannusarvio
Tässä on kuvattu esimerkin omainen kustannusarvio ja sen kustannuskomponentit:
- Application Gateway - Web Application Firewall
- Azure DDoS Standard Plan
- Internet egress traffic
Hintaesimerkki: Azure DDoS Standard Plan -palvelu kustantaa 2798,71€ kuukaudessa. Tämä pitää sisällään 100 suojattavaa kohdetta. Application Gateway – Web Application Firewall V2 on noin 390€/kk riippuen kuorman määrästä.
Kustannukset voidaan laskea Azuren kustannuslaskurilla syöttämällä tarkemmat arvot liikennemääristä osoitteessa: Pricing Calculator | Microsoft Azure
Joni Leskinen / Sr. Cloud Solution Architect @Microsoft
Timo Salminen / Sr. Partner Tech Strategist @Microsoft
Tämä artikkeli on osa laajempaa tietoturvasarjaa, josta on ilmestynyt jo seuraavat artikkelit:
Microsoft Defender Cloud – Tehokasta suojausta kaikkialla!
