Freigeben über

DDoS-Schutz in Azure Front Door

  • Artikel

Azure Front Door ist ein Content Delivery Network (CDN), das Ihnen dabei hilft, Ihre Ursprünge vor HTTP(S)-DDoS-Angriffen zu schützen, indem sie den Datenverkehr weltweit über seine 192 Edge-POPs (Points of Presence) verteilen. Diese POPs verwenden das große private WAN von Azure, um Ihre Webanwendungen und Dienste schneller und sicherer für Ihre Endbenutzer bereitzustellen. Azure Front Door umfasst den DDoS-Schutz der Ebenen 3, 4 und 7 und eine Web Application Firewall (WAF), um Ihre Anwendungen vor allgemeinen Exploits und Sicherheitsrisiken zu schützen.

DDoS-Infrastrukturschutz

Azure Front Door profitiert vom standardmäßigen DDoS-Schutz der Azure-Infrastruktur. Dieser Schutz überwacht und entschärft Angriffe auf Netzwerkebenen in Echtzeit mithilfe der globalen Skalierung und Kapazität des Azure Front Door-Netzwerks. Es hat sich außerdem in der Praxis beim Schutz von Unternehmens- und Endkundendiensten von Microsoft vor großangelegten Angriffen bewährt.

Protokollblockierung

Azure Front Door unterstützt nur HTTP- und HTTPS-Protokolle und erfordert einen gültigen Host-Header für jede Anforderung. Dieses Verhalten trägt dazu bei, gängige DDoS-Angriffstypen zu verhindern, darunter volumetrische Angriffe, die verschiedene Protokolle und Ports verwenden, DNS-Verstärkungsangriffe und TCP-Poisoningangriffe.

Kapazitätsabsorption

Azure Front Door ist ein umfangreicher, global verteilter Dienst, der viele Kunden bedient, einschließlich der eigenen Cloudprodukte von Microsoft, die Hunderte von Tausenden von Anforderungen pro Sekunde verarbeiten. Am Rand des Azure-Netzwerks positioniert, kann Azure Front Door Large Volume Attacks abfangen und geografisch isolieren und verhindern, dass bösartiger Datenverkehr über die Edge des Azure-Netzwerks hinausgeht.

Caching

Sie können die Zwischenspeicherungsfunktionen von Azure Front Door verwenden, um Back-Ends vor durch einen Angriff generierten großen Datenverkehrsvolumen zu schützen. Azure Front Door Edge-Knoten geben zwischengespeicherte Ressourcen zurück, indem sie die Weiterleitung an Ihr Back-End vermeiden. Sogar kurze Cacheablaufzeiten (Sekunden oder Minuten) bei dynamischen Antworten können die Auslastung Ihrer Back-End-Dienste erheblich verringern. Weitere Informationen zum Zwischenspeichern von Konzepten und Mustern finden Sie unter Caching und Cachefremdes Muster.

Web Application Firewall (WAF)

Sie können die Azure Web Application Firewall (WAF) verwenden, um verschiedene Arten von Angriffen abzuschwächen:

  • Der verwaltete Regelsatz schützt Ihre Anwendung vor vielen gängigen Angriffen. Weitere Informationen finden Sie unter Verwaltete Regeln.
  • Blockieren oder Umleiten von Datenverkehr aus bestimmten geografischen Regionen zu einer statischen Webseite. Weitere Informationen finden Sie unter Was ist die Geofilterung in einer Domäne für Azure Front Door Service?.
  • Blockieren sie IP-Adressen und Bereiche, die als böswillig identifiziert wurden. Weitere Informationen finden Sie unter IP-Einschränkungen.
  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Ratenbegrenzung.
  • Erstellen Sie benutzerdefinierte WAF-Regeln, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden.
  • Der vom Botschutz verwaltete Regelsatz schützt Ihre Anwendung vor bekannten fehlerhaften Bots. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

Eine Anleitung zur Verwendung von Azure WAF zum Schutz vor DDoS-Angriffen finden Sie unter DDoS-Schutz für Anwendungen.

Schützen von Ursprüngen des virtuellen Netzwerks

Aktivieren Sie Azure DDoS Protection in Ihrem virtuellen Ursprungsnetzwerk, um Ihre öffentlichen IPs vor DDoS-Angriffen zu schützen. Dieser Dienst bietet mehr Vorteile wie Kostenschutz, SLA-Garantie und Zugriff auf das DDoS Rapid Response Team für Expertenunterstützung während eines Angriffs.

Verbessern Sie die Sicherheit Ihrer von Azure gehosteten Ursprünge, indem Sie Azure Private Link verwenden, um den Zugriff auf Azure Front Door einzuschränken. Dieses Feature ermöglicht eine private Netzwerkverbindung zwischen Azure Front Door und Ihren Anwendungsservern, ohne dass Ihre Ursprünge für das öffentliche Internet verfügbar gemacht werden müssen.

Nächste Schritte