Azure üzerinde DDoS Saldırılarından Korunma

Azure üzerinde DDoS Saldırılarından Korunma

Distributed denial of service (DDoS) uzun yıllardır kullanılan ve amacı bir uygulamaya veya servise aşırı trafik yönlendirerek hizmet kesintisine neden olmaktır. Konu bir uygulamayı bulut üzerinde koşturmaya geldiği zaman ise buradaki güvenlik kaygıları oldukça artmaktadır çünkü  insanların bulut hakkındaki bilgileri henüz az seviyededir.

Bir çok kuruluş DDoS saldırılarına önlem almaktadır ancak bazen çok farklı saldırı tipleriyle karşılaştıklarında, mevcut sistemlerinin konfigürasyonları yetersiz kalabilmektedir. Azure DDoS protection ise bize bir çok farklı saldırı tipi için koruma sağlar. Bunların en temel olanları; Volumetric, Protocol ve Resource Layer. Azure DDoS’un en büyük avantajlarından biri, diğer Azure servislerinde de olduğu gibi yapay zekanın gücünü kullanmasıdır. Her bir yeni saldırı tipine karşı arkaplanda machine learning teknolojisi kullanılır. 7/24 izlenen trafikler olası bir saldırı durumunda trafik akışını temiz olan sunucuya yönlendirirken atak altında olan trafik ise kesilir. Microsoft’un veri merkezinin ölçü olarak büyüklüğü düşünüldüğünde trafiği temiz bölgelere yönlendirmenin oldukça kolay bir iş olduğunu düşünebiliriz.

2019 yılında çok büyük altyapısı ve müşteri portföyü bulunan bir banka DDoS atağıyla karşı karşıya kaldı ve yaklaşık 4 saatlik bir hizmet kesintisine maruz kaldılar. Saldırganlar hedef olarak kendilerine mobil uygulamaları belirledi. Bir banka için güvenlik herşeyden önce gelir. Peki ya bu banka Azure’da olsaydı ve aynı atağa maruz kalsaydı sonuç ne olurdu diye düşünüldü ve bir simülasyon gerçekleştirildi. Simülasyon sonucunda yapılan atağın 30.000 katına kadar büyüklükte bir atağa karşı bile Azure’un bunu karşılayabileceği görüldü. Öyle ki artık günümüzde çok farklı atak yöntemleri kullanılıyor. Artık bir akıllı buzdolabı veya bir mikrodalga bile bir uygulamaya request gönderebiliyor. Yine bir kuruluşa yapılan saldırıda uygulamaya gelen request’lerin mikrodalgaların geldiği anlaşılmıştır.

Azure DDoS aynı zamanda bize çok detaylı raporlar sunabilmektedir. Bir saldırı esnasında kaynaklarınızı hedefleyen saldırılar hakkında ayrıntılı bilgi, trafik istatistikleri ve diğer saldırı verilerini size sunar.

Elbette bu raporları ve daha bir çok gelişmiş özellikleri kullanmanın da belli bir maliyeti vardır. Azure bu servis için temel ve standard adında iki farklı plan sunmuştur. Temel plan ücretsiz iken, standard paket ise ücretlidir. Buradaki ücretlendirme aylık data yoğunluğuna göre belirlenir. Örnek olarak Türkiye’de bu servisi kullanmak istediğimizi düşünürsek, Region olarak West Europe seçeneğini seçtiğimizde aşağıdaki gibi bir maliyet tablosu çıkmaktadır.

Fiyatlandırmanın GB başına yapıldığını görebilmekteyiz. Genel olarak pahalı bir Azure servisi olduğunu söyleyebiliriz ancak uluslararası bir e-ticaret şirketi veya bankaları düşünürsek böyle bir servisi konumlandırmak görebilecekleri zararla kıyasla gereklidir.

DDoS saldırıları sürekli olarak form değiştirirek uzun yıllar daha karşımıza çıkacaktır. Tost makineleri bile akıllı hale geldikçe kötü niyetli bireyler elbet bir açık bulmaya çalışacaktır. Umarım faydalı bir makale olmuştur.

Kaynak:

https://docs.microsoft.com/tr-tr/azure/virtual-network/ddos-protection-overview