Popis ochrany před útoky DDoS v Azure

  • 4 min

Cílem závažného síťového útoku může být jakákoli společnost, velká nebo malá. Povahou těchto útoků může být prohlášení, nebo proto, že útočník chtěl výzvu.

Distribuované útoky na dostupnost služby

Cílem útoku DDoS (Distributed Denial of Service) je zahltit prostředky na vašich aplikacích a serverech, aby nereagovaly nebo zpomalily skutečné uživatele. Útok DDoS obvykle cílí na jakékoli veřejně přístupné zařízení, ke kterému je možné přistupovat přes internet.

Mezi tři nejčastější typy útoků DDoS patří:

  • Multilicenční útoky: Jedná se o útoky založené na svazcích, které zahlcují síťovou vrstvu zdánlivě legitimním provozem, které zahlcují dostupnou šířku pásma. Legitimní provoz se nemůže dostat.
  • Útoky na protokoly: Útoky protokolu vykreslují cíl nepřístupným vyčerpáním prostředků serveru s nepravdivými požadavky protokolu, které využívají slabé stránky v protokolech vrstvy 3 (sítě) a vrstvy 4 (transport).
  • Útoky na vrstvu prostředků (aplikace): Tyto útoky cílí na pakety webových aplikací za účelem narušení přenosu dat mezi hostiteli.

Co je Azure DDoS Protection?

Služba Azure DDoS Protection je navržená tak, aby pomáhala chránit vaše aplikace a servery analýzou síťového provozu a zahozením všeho, co vypadá jako útok DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Služba Azure DDoS Protection chrání vrstvu 3 (síťová vrstva) a vrstvu 4 (transportní vrstva). Mezi klíčové výhody patří:

  • Nepřetržité monitorování provozu: Vzorce provozu vaší aplikace se monitorují 24 hodin denně, 7 dní v týdnu a hledají indikátory útoků DDoS. Azure DDoS Protection okamžitě a automaticky zmírní útok, jakmile se zjistí. V rámci zmírnění rizik se provoz odesílaný do chráněného prostředku přesměruje službou DDoS Protection a provede se několik kontrol. Azure DDoS Protection zahodí provoz útoku a přesměruje zbývající provoz do zamýšleného cíle. Během několika minut od detekce útoku budete upozorněni pomocí metrik služby Azure Monitor.
  • Adaptivní ladění v reálném čase: Profilace inteligentního provozu zjišťuje provoz vaší aplikace v průběhu času a vybírá a aktualizuje profil, který je pro vaši službu nejvhodnější. Profil se upraví tak, jak se v průběhu času mění provoz.
  • Telemetrie služby DDoS Protection, monitorování a upozorňování: Azure DDoS Protection zveřejňuje bohatou telemetrii prostřednictvím služby Azure Monitor. Můžete nakonfigurovat výstrahy pro libovolnou metriku služby Azure Monitor, kterou služba DDoS Protection používá. Protokolování můžete integrovat se službou Azure Event Hubs, protokoly služby Azure Monitor a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.

Azure DDoS Protection podporuje dva typy vrstev, ochranu IP adres DDoS a službu DDoS Network Protection. Úroveň se nakonfiguruje na webu Azure Portal při konfiguraci služby Azure DDoS Protection.

  • DDoS Network Protection: Služba DDoS Network Protection (dostupná jako skladová položka) v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS pro ochranu před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků.
  • Ochrana před útoky DDoS IP: Ochrana IP před útoky DDoS je model IP s platbami za chráněnou IP adresu. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale liší se v tom, že nezahrnuje služby přidané hodnotou, jako je podpora rychlé odezvy DDoS, ochrana nákladů a slevy na firewall webových aplikací (WAF), které jsou součástí služby DDoS Network Protection. Úplný seznam funkcí a odpovídajících úrovní najdete v tématu Porovnání úrovní služby Azure DDoS Protection.

Běžnou otázkou, která se často vyvolává, je důvod, proč zvažte přidání služeb DDoS Protection, pokud jsou služby spuštěné v Azure ze své podstaty chráněny výchozí ochranou před útoky DDoS na úrovni infrastruktury? Důvodem je to, že ochrana, která chrání infrastrukturu, má vyšší prahovou hodnotu, než má většina aplikací kapacitu pro zpracování a neposkytuje telemetrii ani upozorňování. I když může být objem provozu vnímaný platformou jako neškodný, může to být pro aplikaci, která ho obdrží, zničující. Onboardingem do služby Azure DDoS Protection získá aplikace vyhrazené monitorování pro detekci útoků a prahových hodnot specifických pro aplikace. Služba bude chráněná profilem, který je vyladěný na očekávaný objem provozu a poskytuje užší ochranu před útoky DDoS.

Jak už bylo zmíněno, Azure DDos Protection chrání vrstvu 3 a vrstvu 4. Pro ochranu webových aplikací ve vrstvě 7 (aplikační vrstva) je potřeba přidat ochranu aplikační vrstvy pomocí nabídky Firewall webových aplikací (WAF), která je popsaná v následující lekci tohoto modulu.