Upravit

Sdílet prostřednictvím


Nejčastější dotazy ke službě Azure DDoS Protection

Tento článek odpovídá na běžné otázky týkající se služby Azure DDoS Protection.

Co je útok DDoS (Distributed Denial of Service)?

Distribuovaný odepření služby (DDoS) je typ útoku, kdy útočník odesílá do aplikace více požadavků, než je aplikace schopná zpracovat. Výsledným účinkem jsou prostředky, které jsou vyčerpány, což má vliv na dostupnost aplikace a schopnost obsluhovat své zákazníky. V posledních několika letech zaznamenalo odvětví prudký nárůst útoků, přičemž útoky se stávají sofistikovanějšími a většími. Útoky DDoS je možné cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Co je služba Azure DDoS Protection?

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS, které brání útokům DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků. Další informace najdete v přehledu služby Azure DDoS Protection

Jak je to s cenami?

Plány ochrany před útoky DDoS mají pevný měsíční poplatek, který pokrývá až 100 veřejných IP adres. K dispozici je ochrana pro další prostředky.

V rámci tenanta je možné použít jeden plán ochrany před útoky DDoS napříč několika předplatnými, takže není potřeba vytvářet více než jeden plán ochrany před útoky DDoS.

Když je služba Application Gateway s WAF nasazená ve virtuální síti chráněné službou DDoS, neplatíte za WAF žádné další poplatky – za službu Application Gateway platíte nižší sazbou než WAF. Tato zásada se vztahuje na skladové položky služby Application Gateway verze 1 i v2.

Další podrobnosti najdete na stránce s cenami služby Azure DDoS Protection.

Kterou úroveň služby Azure DDoS Protection mám zvolit?

Pokud potřebujete chránit méně než 15 prostředků veřejné IP adresy, je nákladově efektivnější možností úroveň ochrany IP adres. Pokud máte k ochraně více než 15 prostředků veřejné IP adresy, je úroveň Network Protection nákladově efektivnější. Network Protection také nabízí další funkce, včetně slev DDoS Protection Rapid Response (DRR), záruk ochrany nákladů a slev firewallu webových aplikací (WAF).

Je zóna služby odolná?

Ano. Služba Azure DDoS Protection je ve výchozím nastavení odolná proti zónám.

Návody nakonfigurovat službu tak, aby byla odolná proti zóně?

K zajištění odolnosti zón není nutná žádná konfigurace zákazníka. Odolnost proti zónám pro prostředky Azure DDoS Protection je ve výchozím nastavení dostupná a spravovaná samotnou službou.

A co ochrana ve vrstvě služby (vrstva 7)?

Zákazníci můžou službu Azure DDoS Protection používat v kombinaci s firewallem webových aplikací (WAF) k ochraně v síťové vrstvě (vrstva 3 i 4, nabízená službou Azure DDoS Protection) a v aplikační vrstvě (vrstva 7, nabízená WAF). Nabídky WAF zahrnují skladovou položku WAF služby Azure Application Gateway a nabídky firewallu webových aplikací třetích stran dostupné na Azure Marketplace.

Jsou služby v Azure nebezpečné bez této služby?

Služby spuštěné v Azure jsou ze své podstaty chráněné výchozí ochranou DDoS na úrovni infrastruktury. Ochrana, která chrání infrastrukturu, má mnohem vyšší prahovou hodnotu, než má většina aplikací kapacitu pro zpracování a neposkytuje telemetrii nebo upozorňování, takže zatímco objem provozu může být platformou vnímán jako neškodný, může to být pro aplikaci, která ji obdrží, zničující.

Onboardingem do služby Azure DDoS Protection získá aplikace vyhrazené monitorování pro detekci útoků a prahových hodnot specifických pro aplikace. Služba bude chráněná profilem, který je vyladěný na očekávaný objem provozu a poskytuje mnohem přísnější ochranu před útoky DDoS.

Jaké jsou podporované typy chráněných prostředků?

Veřejné IP adresy ve virtuálních sítích založených na ARM jsou v současné době jediným typem chráněného prostředku. Mezi chráněné prostředky patří veřejné IP adresy připojené k virtuálnímu počítači IaaS, nástroji pro vyrovnávání zatížení (Classic a Standard Load Balancers), clusteru Application Gateway (včetně WAF), brány firewall, bastionu, brány VPN Gateway, Service Fabric nebo síťového virtuálního zařízení založeného na IaaS (NVA). Ochrana také pokrývá rozsahy veřejných IP adres přenesených do Azure prostřednictvím vlastních předpon IP adres (BYOIPs).

Další informace o omezeních najdete v referenčních architekturách služby Azure DDoS Protection.

Podporují se klasické nebo chráněné prostředky RDFE?

Ve verzi Preview se podporují jenom chráněné prostředky založené na ARM. Virtuální počítače v nasazeních Classic/RDFE se nepodporují. Podpora se v současné době neplánuje pro klasické nebo RDFE prostředky. Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Můžu své prostředky PaaS chránit pomocí služby DDoS Protection?

Veřejné IP adresy připojené ke službám PaaS s více tenanty se v současné době nepodporují. Mezi nepodporované prostředky patří virtuální IP adresy úložiště, virtuální IP adresy služby Event Hubs a aplikace app/Cloud Services. Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Můžu své místní prostředky chránit pomocí ochrany před útoky DDoS Protection?

Abyste mohli povolit ochranu před útoky DDoS, musíte mít veřejné koncové body vaší služby přidružené k virtuální síti v Azure. Mezi příklady návrhů patří:

  • Weby (IaaS) v Azure a back-endové databáze v místním datacentru.
  • Application Gateway v Azure (ochrana před útoky DDoS povolená ve službě App Gateway nebo WAF) a webech v místních datacentrech.

Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Můžu zaregistrovat doménu mimo Azure a přidružit ji k chráněnému prostředku, jako je virtuální počítač nebo ELB?

Ve scénářích s veřejnou IP adresou bude služba DDoS Protection podporovat jakoukoli aplikaci bez ohledu na to, kde je přidružená doména zaregistrovaná nebo hostovaná, pokud je přidružená veřejná IP adresa hostovaná v Azure.

Můžu zásadu DDoS použitou pro virtuální sítě nebo veřejné IP adresy nakonfigurovat ručně?

Ne, v tuto chvíli bohužel není přizpůsobení zásad dostupné.

Můžu povolit nebo blokovat konkrétní IP adresy?

Ne, v tuto chvíli bohužel není k dispozici ruční konfigurace.

Jak můžu službu DDoS Protection otestovat?

Jak dlouho trvá načtení metrik na portálu?

Metriky by se měly zobrazit na portálu během 5 minut. Pokud je váš prostředek napadený, začnou se na portálu během 5 až 7 minut zobrazovat další metriky.

Ukládá služba zákaznická data?

Ne, Ochrana před útoky Azure DDoS neukládá zákaznická data.

Podporuje se nasazení jednoho virtuálního počítače za veřejnou IP adresou?

Scénáře, ve kterých je jeden virtuální počítač spuštěný za veřejnou IP adresou, ale nedoporučuje se. Zmírnění útoků DDoS nemusí okamžitě zahájit při zjištění útoku DDoS. V důsledku toho se nasazení jednoho virtuálního počítače, které nemůže škálovat na více instancí, v takových případech zhoršuje. Další informace najdete v tématu Základní osvědčené postupy.