M06-Unidade 4 Configurar a Proteção contra DDoS em uma rede virtual usando o portal do Azure

Cenário do exercício

Sendo responsável pela equipe de Segurança de Rede da Contoso, você executará um DDoS simulado na rede virtual. As etapas a seguir explicam como criar uma rede virtual, configurar a Proteção contra DDoS e criar um ataque que você pode observar e monitorar com a ajuda de telemetria e métricas.

Diagrama da arquitetura de DDoS.

Habilidades de trabalho

Neste exercício, você vai:

  • Tarefa 1: criar um grupo de recursos
  • Tarefa 2: Criar um plano de Proteção contra DDoS
  • Tarefa 3: Habilitar a Proteção contra DDoS em uma nova rede virtual
  • Tarefa 4: Configurar a telemetria de DDoS
  • Tarefa 5: Configurar logs de diagnóstico de DDoS
  • Tarefa 6: Configurar alertas de DDoS
  • Tarefa 7: testar com parceiros de simulação

Simulações interativas de laboratório

Observação: as simulações de laboratório fornecidas anteriormente foram desativadas.

Tempo estimado: 40 minutos

Tarefa 1: criar um grupo de recursos

  1. Faça logon na sua conta do Azure.

  2. Na página inicial do portal do Azure, selecione Grupos de recursos.

  3. Selecione Criar.

  4. Na guia Noções básicas, em Grupo de recursos, insira MyResourceGroup.

  5. Em Região, selecione Leste dos EUA.

  6. Selecione Examinar + criar.

  7. Selecione Criar.

Tarefa 2: Criar um plano de Proteção contra DDoS

  1. Na página inicial do portal do Azure, na caixa de pesquisa, insira DDoS e selecione Plano de proteção contra DDoS quando ela aparecer.

  2. Selecione + Criar.

  3. Na guia Noções básicas, na lista Grupo de recursos, selecione o grupo de recursos que você acabou de criar.

  4. Na caixa Nome da instância, digite MyDdoSProtectionPlan e selecione Revisar + criar.

  5. Selecione Criar.

Tarefa 3: Habilitar a Proteção contra DDoS em uma nova rede virtual

Aqui, você habilita o DDoS em uma nova rede virtual em vez de uma existente. Portanto, primeiro você precisa criar a nova rede virtual para habilitar a proteção contra DDoS usando o plano criado anteriormente.

  1. Na página inicial do portal do Azure, selecione Criar um recurso, digite Rede Virtual na caixa de pesquisa e selecione Rede Virtual quando aparecer.

  2. Na página Rede Virtual, selecione Criar.

  3. Na guia Noções básicas, selecione o grupo de recursos criado anteriormente.

  4. Na caixa Nome, insira MyVirtualNetwork e selecione a guia Segurança.

  5. Na guia Segurança ao lado de Proteção de rede contra DDoS, selecione Habilitar.

  6. Na lista suspensa Plano de proteção contra DDoS, selecione MyDdosProtectionPlan.

    Criar rede virtual – guia Segurança

  7. Selecione Examinar + criar.

  8. Selecione Criar.

Tarefa 4: Configurar a telemetria de DDoS

Você cria um endereço IP público e configura a telemetria nas próximas etapas.

  1. Na página inicial do portal do Azure, selecione Criar um recurso, insira IP público na caixa de pesquisa e selecione Endereço IP público quando for exibido.

  2. Na página Endereço IP público, selecione Criar.

  3. Na página Criar endereço IP público, em SKU, selecione Standard.

  4. Na caixa Nome, insira MyPublicIPAddress.

  5. Em Atribuição de endereço IP, selecione Estático.

  6. Em Rótulo do nome DNS, insira mypublicdnsxx (em que xx são suas iniciais para torná-lo único).

  7. Selecione Criar.

  8. Para configurar a telemetria, navegue até a página inicial do Azure e selecione Todos os recursos.

  9. Na lista dos seus recursos, selecione MyDdosProtectionPlan.

  10. Em Monitoramento, selecione Métricas.

  11. Marque a caixa Escopo e marque a caixa de seleção ao lado de MyPublicIPAddress.

    Criar escopo de métricas para telemetria de DDoS

  12. Escolha Aplicar.

  13. Na caixa Métricas, selecione DDoS descartados dos pacotes de entrada.

  14. Na caixa Agregação, selecione Máximo.

    Métricas criadas para telemetria de DDoS

Tarefa 5: Configurar logs de diagnóstico de DDoS

  1. Na home page do Azure, selecione Todos os recursos.

  2. Na lista de seus recursos, selecione MyPublicIPAddress.

  3. Em Monitoramento, selecione Configurações de diagnóstico.

  4. Selecione Adicionar configuração de diagnóstico.

  5. Na página Configuração de diagnóstico, na caixa Nome da configuração de diagnóstico, insira MyDiagnosticSetting.

  6. Em Detalhes da categoria, marque todas as três caixas de seleção de log e a caixa de seleção AllMetrics.

  7. Em Detalhes de destino, marque a caixa de seleção Enviar para o workspace do Log Analytics. Aqui você pode selecionar um workspace do Log Analytics pré-existente. Mas como você ainda não definiu um destino para os logs de diagnóstico, precisará apenas inserir as configurações para descartá-las na próxima etapa deste exercício.

    Definir novas configurações de diagnóstico para DDoS

  8. Normalmente, agora você selecionaria Salvar para salvar as configurações de diagnóstico. Observe que essa opção ainda está acinzentada, pois ainda não é possível concluir a configuração.

  9. Selecione Descartar e, em seguida, Sim.

Tarefa 6: Configurar alertas de DDoS

Nesta etapa, você criará uma máquina virtual, atribuirá um endereço IP público a ela e configurará alertas de DDoS.

Criar a VM

  1. Na página inicial do portal do Azure, selecione Criar um recurso, digite máquina virtual na caixa de pesquisa e selecione Máquina virtual quando aparecer.

  2. Na página Máquina virtual, selecione Criar.

  3. Na guia Noções básicas, crie uma nova VM usando as informações na tabela a seguir.

    Configuração Valor
    Subscription Selecione sua assinatura
    Grupo de recursos MyResourceGroup
    Nome da máquina virtual MyVirtualMachine
    Region Sua região
    Opções de disponibilidade Nenhuma redundância de infraestrutura necessária
    Imagem Ubuntu Server 20.04 LTS – Gen 2 (selecione o link Configurar Geração de VM, se necessário)
    Tamanho Selecione Ver todos os tamanhos, escolha B1ls na lista e escolha Selecionar(Standard_B1ls-1 vcpu, 0,5 GiB de memória)
    Tipo de autenticação Chave pública SSH
    Nome de Usuário azureuser
    Origem de chave pública SSH Gerar novo par de chaves
    Nome do par de chaves myvirtualmachine-ssh-key
    Porta de entrada públicas Selecione Nenhum

  4. Selecione Examinar + criar.

  5. Selecione Criar.

  6. Na caixa de diálogo Gerar novo par de chaves, selecione Baixar chave privada e criar recurso.

  7. Salve a chave privada.

  8. Após a conclusão da implantação, selecione Ir para o recurso.

Atribuir o endereço IP público

  1. Na página Visão geral da nova máquina virtual, em Configurações, selecione Rede.

  2. Ao lado de Interface de rede, selecione myvirtualmachine-nic. O nome do nic pode ser diferente.

  3. Em Configurações, selecione Configurações de IP.

  4. Selecione ipconfig1.

  5. Na lista Endereço IP público, selecione MyPublicIPAddress.

  6. Selecione Salvar.

    Alterar o endereço IP público para a VM do DDoS

Configurar alertas de DDoS

  1. Na home page do Azure, selecione Todos os recursos.

  2. Na lista de seus recursos, selecione MyPublicIPAddress.

  3. Em Monitoramento, selecione Alertas.

  4. Selecione Criar regra de alerta.

  5. Na página Criar regra de alerta, em Escopo, selecione Editar recurso.

  6. Para o nome do sinal, selecione Sob ataque de DDoS ou não.

  7. Em Lógica de alerta, localize a configuração Operador e selecione Maior que ou igual a.

  8. Em Valor de limite, digite 1 (significa sob ataque).

  9. Navegue até a guia de detalhes, selecione Nome da regra de alerta e digite MyDdosAlert.

    Ponto de extremidade de criação da nova regra de alerta

  10. Selecione Criar regra de alerta.

Tarefa 7: testar com parceiros de simulação

  1. Examine a página Política de teste de simulação de DDoS do Azure.

  2. Observe que existem vários parceiros de testes. Como você tem tempo, configure uma simulação de ataque DDoS. No caso do BreakingPoint Cloud, primeiro você precisa criar uma conta do BreakingPoint Cloud.

Limpar os recursos

Observação: lembre-se de remover todos os recursos recém-criados do Azure que você não usa mais. Remover recursos não utilizados garante que você não veja encargos inesperados.

  1. No portal do Azure, abra a sessão PowerShell no painel do Cloud Shell.

  2. Exclua todos os grupos de recursos criados em todos os laboratórios deste módulo executando o seguinte comando:

    Remove-AzResourceGroup -Name 'MyResourceGroup' -Force -AsJob

    Observação: o comando é executado de maneira assíncrona (conforme determinado pelo parâmetro -AsJob), portanto, embora você possa executar outro comando do PowerShell imediatamente após na mesma sessão do PowerShell, levará alguns minutos antes dos grupos de recursos serem de fato removidos.

Estender seu aprendizado com o Copilot

O Copilot pode ajudar você a aprender a usar as ferramentas de script do Azure. O Copilot também pode ajudar em áreas não cobertas no laboratório ou onde você precisar de mais informações. Abra um navegador do Edge e escolha Copilot (canto superior direito) ou navegue até copilot.microsoft.com. Reserve alguns minutos para experimentar essas solicitações.

  • O que são ataques de DDoS? Como os ataques DDoS são categorizados? Existem estratégias de mitigação?
  • Forneça uma tabela resumindo as duas camadas diferentes de Proteção contra DDoS do Azure.
  • Quais recursos do Azure podem ser protegidos pela Proteção contra DDoS?

Saiba mais com treinamento individual

Principais aspectos a serem lembrados

Parabéns por concluir o laboratório. Aqui estão as principais lições desse laboratório.

  • Um DDoS é uma tentativa mal-intencionada de esgotar os recursos de um aplicativo, fazendo com que o aplicativo fique indisponível para usuários legítimos.
  • A Proteção contra DDoS do Azure oferece uma defesa contra DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
  • Os recursos da Proteção contra DDoS do Azure incluem: monitoramento de tráfego sempre ativo, ajuste adaptável em tempo real e telemetria e alertas.
  • A Proteção contra DDoS do Azure dá suporte a dois tipos de camadas, a Proteção contra DDoS IP e a Proteção contra DDoS de Rede.