Co je Azure DDoS Protection?

  • 12 min

Microsoft nabízí ochranu infrastruktury DDoS všem zákazníkům Azure zdarma. Microsoft také nabízí další služby ve své službě DDoS Protection.

Azure DDoS Infrastructure Protection nebo Azure DDoS Protection

Zkoumáte výhody upgradu společnosti Contoso na Azure DDoS Protection pro vaše služby spuštěné v Azure. Motivací k vyhodnocení této možnosti upgradu, v rámci konsensu odborníků na zabezpečení DDoS, je rostoucí četnost a sofistikovanost útoků DDoS.

Provoz útoku nemusí být v rozsahu terabitů za sekundu, aby se aplikace posoula. Jakýkoli konkrétní cílený útok může ovlivnit dostupnost aplikace spuštěné v Azure, která přijímá provoz z veřejného internetu.

Co je útok DDoS?

V útoku DDoS útočník záměrně zahltuje systém, jako je server, web nebo jiný síťový prostředek, s falešným provozem. Počítače jsou připojené v koordinované síti pro příkazy a řízení, označované jako botnet. Škodlivá třetí strana řídí botnet a spustí útok DDoS. Aktivita aktivuje odepření služeb legitimním uživatelům tím, že zahlcuje schopnosti služby. Útoky DDoS je možné cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Následující obrázek znázorňuje typický útok DDoS z botnetu.

Útok DDoS z botnetu, který řídí počítače a odesílá škodlivý provoz na web, který vyčerpá prostředky a znepřístupňuje legitimním uživatelům.

Mezi běžné útoky DDoS patří:

  • Volumetrické útoky: Tyto útoky používají více napadených systémů k zahltění síťové vrstvy značným množstvím zdánlivě legitimního provozu. Několik ohrožených systémů je obvykle součástí zločinecké botnety. Typy multilicenčních útoků DDoS jsou:

    • Záplavy UDP. Útočník odesílá pakety UDP, obvykle velké, do jednoho cíle nebo do náhodných portů. Útočné systémy můžou snadno falšovat ip adresu, protože UDP je bez připojení.
    • Zesílení povodní. Server DNS je zahlcený zdánlivě legitimními požadavky na službu. Cílem útočníka je nasytit službu DNS vyčerpáním kapacity šířky pásma.
    • Další falšované zahlcené pakety. Posílání obrovského množství falešných přenosů do prostředku.

  • Útoky na protokol: Tyto útoky cílí na vrstvu 3 nebo vrstvu 4 modelu OSI. Zneužívají slabinu protokolu TCP. Příkladem útoku DDoS založeného na protokolu je záplava TCP SYN, která využívá část třícestného handshakeu. Útočník odešle posloupnost požadavků TCP SYN a ignoruje odpověď SYN+ACK. Tento útok je směrován na cíl s cílem zahlcení cíle a jeho nereagování.

  • Útoky na vrstvu prostředku (aplikace): Útoky na prostředky cílí na "nejvyšší" vrstvu modelu OSI, aby narušovaly přenos dat mezi hostiteli. Mezi tyto útoky vrstvy 7 patří zneužití protokolu HTTP, útoků prostřednictvím injektáže SQL, skriptování mezi weby a dalších útoků aplikací.

Nabídky služby Azure DDoS Protection

Ochrana před útoky DDoS se podobá zabezpečenému a funkčnímu systému zálohování. Hodnota zálohy pro vaši organizaci není vidět, dokud ji nepotřebujete. Ochrana před útoky DDoS, jako je zálohování, poskytuje zmírnění rizik před potenciálními hrozbami.

Ochrana infrastruktury DDoS

Azure poskytuje nepřetržitou ochranu před útoky DDoS. Ochrana před útoky DDoS neukládá zákaznická data. Azure DDoS Infrastructure Protection bez dalších poplatků chrání všechny služby Azure, které používají veřejné adresy IPv4 a IPv6. Tato služba ochrany před útoky DDoS pomáhá chránit všechny služby Azure, včetně služeb PaaS (platforma jako služba), jako je Azure DNS. Ochrana infrastruktury DDoS nevyžaduje žádné změny konfigurace uživatele ani aplikace.

Azure DDoS Infrastructure Protection poskytuje:

  • Monitorování aktivního provozu a detekce always-on Ochrana infrastruktury DDoS monitoruje vzorce provozu aplikací celý den, každý den a hledá indikátory útoků DDoS.
  • Automatické zmírnění útoků. Po zjištění útoku se zmírní.
  • Smlouva o úrovni služeb DDoS Infrastructure Protection (SLA), která je založená na oblasti Azure s podporou maximálního úsilí.

Služby spuštěné v Azure jsou ze své podstaty chráněné výchozí ochranou DDoS na úrovni infrastruktury. Ochrana, která chrání infrastrukturu, má mnohem vyšší prahovou hodnotu, než má většina aplikací kapacitu pro zpracování a neposkytuje telemetrii ani upozorňování, takže zatímco objem provozu může být platformou vnímán jako neškodný, může to být pro aplikaci, která ji obdrží, zničující.

Onboardingem do služby Azure DDoS Protection získá aplikace vyhrazené monitorování pro detekci útoků a prahových hodnot specifických pro aplikace. Služba bude chráněná profilem, který je vyladěný na očekávaný objem provozu a poskytuje mnohem přísnější ochranu před útoky DDoS.

Azure DDoS Network Protection

DDoS Network Protection poskytuje vylepšené funkce omezení rizik útoků DDoS, které brání útokům DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti.

Následující seznam popisuje funkce a výhody služby DDoS Network Protection:

  • Ochrana pro 100 prostředků veřejné IP adresy
  • Poskytuje inteligentní profilaci provozu, o které se dozvíte v další lekci.
  • Poskytuje nativní integraci na webu Azure Portal pro nastavení a nasazení. Tato úroveň integrace umožňuje službě DDoS Protection identifikovat vaše prostředky Azure a jejich konfigurace.
  • Pokud je pro virtuální síť povolená ochrana před útoky DDoS, všechny prostředky v této síti se automaticky chrání. Není potřeba žádný jiný administrativní postup.
  • Vaše síťové prostředky jsou pod konstantním monitorováním provozu pro označení útoku DDoS. Po zjištění služba DDoS Network Protection zasáhne a automaticky zmírní útok.
  • Pomáhá zabezpečit vrstvy 3 a 4 v síťové vrstvě. Poskytuje také ochranu aplikací (vrstva 7) pomocí služby Azure Web Application Firewall, která je součástí služby Azure Gateway. Vzhledem k tomu, že brána Azure Gateway a firewall webových aplikací jsou internetové, DDoS Protection chrání svá síťová rozhraní. Tato strategie ochrany je příkladem vícevrstevné ochrany nebo hloubkové ochrany.
  • Poskytuje podrobné analytické sestavy útoku během útoku v pětiminutových intervalech a sestavu po akci pro kompletní souhrn události, když útok skončí.
  • Zahrnuje podporu integrace protokolů pro zmírnění rizik s Microsoft Defenderem pro cloud, Microsoft Sentinel nebo offline systémem pro správu informací a událostí (SIEM) pro monitorování téměř v reálném čase během útoku.
  • Azure Monitor shromažďuje telemetrii monitorování ze služby DDoS Network Protection pro přístup k souhrnným metrikám útoků.

Azure DDoS IP Protection

DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale bude se lišit v následujících službách s přidanou hodnotou:

  • Podpora rychlé odezvy DDoS
  • Ochrana nákladů
  • Slevy na WAF.

Služby přidané hodnotou

Záruka nákladů a podpora rychlé reakce DDoS jsou dvě z dalších důležitých funkcí DDoS Network Protection.

Záruka nákladů

Na začátku útoku DDoS se zvýšení šířky pásma sítě nebo vertikálního navýšení kapacity počtu virtuálních počítačů často aktivuje automatické horizontální navýšení kapacity služby spuštěné v Azure.

Poznámka:

Zákazníci, kteří jsou na palubě služby DDoS Protection, obdrží kredit služby pro škálování aplikace na více systémů a náklady na šířku pásma sítě, ke kterým dochází během zdokumentovaného útoku DDoS. Microsoft tento kredit poskytuje přímo.

Podpora rychlé odezvy DDoS

Společnost Microsoft vytvořila tým rychlé reakce DDoS Protection. Tento tým vám může pomoct při útoku DDoS a požádat o analýzu po útoku. Tým rychlé odezvy DDoS Protection se řídí modelem podpory rychlé reakce Azure.

Tým můžete upozornit otevřením žádosti o podporu na webu Azure Portal. Obraťte se na tým, pokud:

  • Vaše společnost plánuje virtuální událost, u které se očekává výrazné zvýšení síťového provozu.
  • Došlo k útoku, který výrazně snižuje výkon chráněného důležitého obchodního systému.
  • Váš bezpečnostní tým zjistí, že chráněné prostředky jsou napadeny, ale DDoS Protection útok efektivně nezmírňuje.