Beschreiben von DDoS-Schutz in Azure

  • 4 Minuten

Jedes Unternehmen kann unabhängig von seiner Größe zum Ziel schwerwiegender Netzwerkangriffe werden. Der Zweck dieser Angriffe besteht möglicherweise darin, bleibenden Eindruck zu hinterlassen, oder vielleicht war der oder die Angreifer*in auf der Suche nach einer Herausforderung.

Verteilte Denial-of-Service-Angriffe

Das Ziel eines verteilten Denial-of-Service-Angriffs (DDoS) ist eine Überlastung der Ressourcen in Ihren Anwendungen und auf Ihren Servern, damit diese für reguläre Benutzer nicht mehr oder nur langsam reagieren. Bei einem DDoS-Angriff wird in der Regel ein beliebiges öffentliches Gerät als Ziel verwendet, auf das über das Internet zugegriffen werden kann.

Zu den drei häufigsten Arten von DDoS-Angriffen gehören die folgenden:

  • Volumetrische Angriffe: Hierbei handelt es sich um volumenbasierte Angriffe, bei denen für die Vermittlungsschicht ein scheinbar berechtigter sehr hoher Datenverkehr erzeugt wird, wodurch die verfügbare Bandbreite überlastet wird. Rechtmäßiger Datenverkehr kann dann nicht mehr verarbeitet werden.
  • Protokollangriffe: Bei Protokollangriffen wird dafür gesorgt, dass auf ein Ziel nicht mehr zugegriffen werden kann, indem Serverressourcen mit falschen Protokollanforderungen überlastet werden, die Schwachstellen in den Protokollen der Schichten 3 (Vermittlungsschicht) und 4 (Transportschicht) ausnutzen.
  • Angriffe in der Ressourcenschicht (Anwendungsschicht) : Das Ziel dieser Art von Angriffen sind Webanwendungspakete, um die Datenübertragung zwischen Hosts zu unterbrechen.

Was ist Azure DDoS Protection?

Der Azure DDoS Protection-Dienst wurde entwickelt, um Ihre Anwendungen und Server zu schützen, indem Netzwerkdatenverkehr analysiert und jeglicher Verkehr verworfen wird, für den der Verdacht auf einen DDoS-Angriff besteht.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Der Azure DDoS Protection-Dienst schützt in Schicht 3 (Vermittlungsschicht) und Schicht 4 (Transportschicht). Wesentliche Vorteile:

  • Stets verfügbare Überwachung des Datenverkehrs: Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche auf Anzeichen für DDoS-Angriffe überwacht. Azure DDoS Protection wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde. Im Rahmen des Abwehrvorgangs wird der an die geschützte Ressource gesendete Datenverkehr von DDoS Protection umgeleitet und mehrfach überprüft. Azure DDoS Protection trennt den Angriffsdatenverkehr und leitet den verbleibenden Datenverkehr an das vorgesehene Ziel weiter. Innerhalb weniger Minuten nach Angriffserkennung werden Sie mithilfe der Metriken von Azure Monitor benachrichtigt.
  • Adaptive Optimierung in Echtzeit: Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an.
  • DDoS Protection: Telemetriedaten, Überwachung und Warnungen: Azure DDoS Protection stellt umfangreiche Telemetriedaten über Azure Monitor zur Verfügung. Sie können Warnungen für alle Azure Monitor-Metriken konfigurieren, die DDoS Protection verwendet. Sie können die Protokollierung mit Azure Event Hubs, Azure Monitor-Protokollen und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integrieren.

Azure DDoS Protection unterstützt zwei Tariftypen, DDoS-IP-Schutz und DDoS-Netzwerkschutz. Der Tarif wird im Azure-Portal konfiguriert, wenn Sie Azure DDoS Protection konfigurieren.

  • DDoS-Netzwerkschutz: Der DDoS-Netzwerkschutzdienst, der als SKU verfügbar ist, bietet in Kombination mit den Best Practices für den Anwendungsentwurf fortschrittliche Mittel zur Abwehr von DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendung oder Ressource.
  • DDoS IP Protection: DDoS IP Protection ist ein Modell mit Zahlung pro geschützter IP-Adresse. DDoS-IP-Schutz umfasst dieselben wichtigen Engineeringfeatures wie DDoS-Netzwerkschutz, unterscheidet sich jedoch insofern, dass Mehrwertdienste wie DDoS Rapid Response-Unterstützung, Kostenschutz und Rabatte auf WAF (Web Application Firewall) nicht enthalten sind, die Teil von DDoS-Netzwerkschutz sind. Eine vollständige Auflistung der Features und entsprechenden Tarife finden Sie unter Informationen zum Vergleich der Azure DDoS Protection-Ebenen

Häufig wird gefragt, warum DDos Protection-Dienste hinzugefügt werden sollen, wenn die in Azure ausgeführten Dienste automatisch durch den DDoS-Standardschutz auf Infrastrukturebene geschützt sind. Der Grund dafür ist, dass der Schutz der Infrastruktur einen höheren Schwellenwert aufweist, als die meisten Anwendungen verarbeiten können, und keine Telemetriedaten oder Warnungen bereitstellt. Während das Datenverkehrsvolumen von der Plattform als harmlos empfunden wird, kann es für die Anwendung, die es empfängt, verheerend sein. Durch die Integration in den Dienst Azure DDoS Protection wird die Anwendung dediziert zur Erkennung von Angriffen und anwendungsspezifischen Schwellenwerten überwacht. Ein Dienst wird mit einem Profil geschützt, das auf das zu erwartende Datenverkehrsaufkommen abgestimmt ist. Dies ermöglicht einen wesentlich besseren Schutz vor DDoS-Angriffen.

Wie bereits erwähnt, schützt Azure DDos Protection in Schicht 3 und Schicht 4. Für den Schutz von Webanwendungen in Schicht 7 (Anwendungsschicht) müssen Sie den Schutz in der Anwendungsschicht mithilfe eines Web Application Firewall-Angebots (WAF) hinzufügen, das in einer nachfolgenden Einheit dieses Moduls beschrieben wird.