Kdy použít Azure DDoS Protection
Tady porovnáme službu DDoS Infrastructure Protection a službu DDoS Protection, abychom získali lepší představu o výhodách upgradu. V této lekci se dozvíte více o klíčových rozdílech mezi skladovými jednotkami DDoS Protection a o vytváření odolnosti proti útokům DDoS na vaše aplikace. Tyto informace použijete k rozhodnutí, která skladová položka je pro Společnost Contoso správná.
Vytváření služeb odolných proti útoky DDoS v Azure
Azure DDoS Infrastructure Protection automaticky chrání každou nasazenou službu v Azure bez dalších nákladů a nevyžaduje také změny konfigurace aplikací nebo uživatelů.
Při rozhodování o upgradu z Azure DDoS Infrastructure Protection na Azure DDoS Protection je důležité provést analýzu rizik útoku DDoS na vaše klíčové prostředky Azure. I s integrovanými službami DDoS, které jsou k dispozici, je vhodnější nespoléhat pouze na ochranu po nasazení. Vytvoření aplikace, která je odolná a otestovaná tak, aby vydržela nebo rychle se zotavila z útoku na dostupnost služby, je důležitá.
Architektura Azure pro odolnost úloh
Tým Azure publikoval architekturu pro návrh úloh pro zajištění odolnosti. Tato architektura je kolekce hlavních principů, které můžete dodržovat, abyste zlepšili kvalitu úlohy.
Při sestavování nebo nasazování úloh je důležité navrhnout následující:
- Zabezpečení. Identifikujte a zdokumentujte požadavky na zabezpečení v rané fázi životního cyklu vývoje. Tento postup vám pomůže zajistit, aby zabezpečení bylo prioritou po celý životní cyklus aplikace. Špatně navržené aplikace můžou mít neefektivní rutiny, které využívají nadměrné prostředky, což může způsobit výpadek služby i s nízkou mírou požadavků.
- Škálovatelnost. Azure nabízí horizontální automatické škálování aplikace, ale pokud dojde k útoku DDoS, musíte navrhnout aplikaci tak, aby splňovala tuto poptávku. Když aplikace závisí na jediném nasazení služby, dojde k jedinému bodu selhání. Zřizování více instancí zvyšuje odolnost a škálovatelnost vašeho systému.
- Hloubková obrana. Hloubková obrana je dobře přijatá strategie, která k ochraně prostředků organizace používá více bezpečnostních opatření. Můžete snížit pravděpodobnost úspěšného útoku vrstvením a dokonce duplikováním ochrany zabezpečení pro služby Azure. Zabezpečení a robustnost návrhu můžete také vylepšit tím, že znáte a pochopíte možnosti integrované platformy Azure. Další výhodou používání služeb Azure je snížení prostoru pro útoky vaší aplikace. Hloubková obrana zahrnuje všechna bezpečnostní opatření organizace, která řeší všechny problémy související se zabezpečením aplikace.
Tato opatření vám můžou pomoct zvýšit zabezpečení a splnit zákonné požadavky. Po vyřešení aspektů vytváření odolných aplikací DDoS teď potřebujete určit, které funkce služby Azure DDoS Protection potřebujete. Následující tabulka porovnává klíčové funkce úrovní DDoS Protection a DDoS Infrastructure Protection.
| Funkce | Ochrana infrastruktury DDoS | Ochrana sítě DDoS | Ochrana před útoky DDoS IP |
|---|---|---|---|
| Aktivní monitorování provozu a detekce vždy zapnuto | Ano | Ano | Yes |
| Automatické zmírnění útoků | Ano | Ano | Yes |
| Záruka dostupnosti | No | Ano | Yes |
| Cost Protection | No | Ano | No |
| Zásady zmírnění rizik vyladěné pro zákaznickou aplikaci | No | Ano | Yes |
| Metriky a výstrahy | No | Ano | Yes |
| Sestavy zmírnění rizik | No | Ano | Yes |
| Protokoly toku omezení rizik | No | Ano | Yes |
| Podpora rychlé odezvy DDoS | No | Ano | No |
Další funkce ochrany před útoky DDoS
V případě ochrany před útoky DDoS zůstává provoz vždy v rámci oblasti Azure. Udržování provozu v rámci místní oblasti také pomáhá s výkonem, protože DDoS Protection provádí zmírnění útoků v oblasti Azure. Azure DDoS Protection zmírní provoz útoku nejblíže aplikaci. Pokud ale Microsoft zjistí, že je objem útoku významný, použije globální rozsah sítí Azure k ochraně útoku, kde pochází.
Microsoft používá tuto strategii hloubkové ochrany k ochraně back-endových služeb a služeb Azure, jako jsou Azure Front Door a Aplikace Azure Gateway.
DDoS Protection nabízí více funkcí než DDoS Infrastructure Protection. Pokud zjistíte, že některé aplikace jsou kritické; Například web pro elektronické obchodování s vysokým objemem výnosů a pak je doporučenou volbou DDoS Protection.
Rozhodli jste se, že skladová položka DDoS IP Protection je ideální pro vaši malou organizaci, protože se jedná o službu s platbami za IP adresu. Víte, že můžete přepnout na skladovou položku DDoS Network Protection pro ochranu virtuální sítě, podporu DDoS Rapid Response a záruku nákladů, jakmile společnost Contoso rozšíří své služby.