Quando usare Protezione DDoS di Azure
In questa unità vengono confrontati il servizio Protezione dell'infrastruttura DDoS e il servizio Protezione DDoS per illustrare i vantaggi dell'aggiornamento. Questa unità offre maggiori informazioni sulle differenze principali tra gli SKU di Protezione DDoS e sulla creazione di resilienza contro gli attacchi DDoS nelle applicazioni. Queste informazioni verranno usate per decidere quale SKU è adatto per Contoso.
Creazione di servizi resilienti agli attacchi DDoS in Azure
Protezione dell'infrastruttura DDoS di Azure protegge automaticamente ogni servizio distribuito in Azure senza costi aggiuntivi né modifiche alla configurazione di applicazioni o utenti.
Se si decide di eseguire l'aggiornamento da Protezione dell'infrastruttura DDoS di Azure a Protezione DDoS di Azure, è importante eseguire un'analisi dei rischi di attacchi DDoS contro le risorse chiave di Azure. Anche con i servizi DDoS predefiniti disponibili, è preferibile non basarsi solo sulla protezione post-distribuzione. La creazione di un'applicazione resiliente e testata per resistere o recuperare rapidamente dopo un attacco Denial of Service è importante.
Framework di Azure per la resilienza del carico di lavoro
Il team di Azure ha pubblicato un framework per progettare il carico di lavoro in modo da garantirne la resilienza. Questo framework è costituito da una raccolta di principi guida che è possibile seguire per migliorare la qualità di un carico di lavoro.
Quando si crea o si distribuisce un carico di lavoro, è importante pensare in termini di:
- Sicurezza. Identificare e documentare i requisiti di sicurezza nelle fasi iniziali del ciclo di vita dello sviluppo. Questa procedura consente di garantire che la sicurezza sia una priorità per l'intero ciclo di vita di un'applicazione. Le applicazioni progettate in modo non corretto possono avere routine inefficienti che usano risorse eccessive e causano un'interruzione del servizio, anche con un tasso di richieste basso.
- Scalabilità. Anche se Azure offre il ridimensionamento orizzontale automatico di un'applicazione, è necessario progettarla in modo che soddisfi questa richiesta in caso di attacco DDoS. Se l'applicazione dipende da una singola distribuzione di un servizio, comporta un singolo punto di errore. Il provisioning di più istanze rende il sistema più resiliente e scalabile.
- Difesa avanzata. La difesa avanzata è una strategia ampiamente accettata che usa più misure di sicurezza per proteggere le risorse di un'organizzazione. È possibile ridurre le probabilità di riuscita di un attacco attraverso la sovrapposizione e persino la duplicazione delle difese di sicurezza per i servizi di Azure. È anche possibile migliorare la sicurezza e l'affidabilità della progettazione conoscendo e comprendendo le funzionalità della piattaforma Azure incorporata. Un ulteriore vantaggio dell'uso dei servizi di Azure consiste in una riduzione della superficie di attacco dell'applicazione. La difesa avanzata include tutte le misure di sicurezza dell'organizzazione per risolvere tutti i problemi relativi alla protezione di un'applicazione.
Queste misure consentono di migliorare la sicurezza e soddisfare i requisiti normativi. Dopo avere esaminato le considerazioni per la creazione di applicazioni resilienti agli attacchi DDoS, è ora necessario determinare le funzionalità di Protezione DDoS di Azure necessarie. La tabella seguente confronta le funzionalità principali dei livelli di Protezione DDoS e Protezione dell'infrastruttura DDoS.
| Funzionalità | Protezione dell'infrastruttura DDoS | Protezione della rete DDoS | Protezione IP DDoS |
|---|---|---|---|
| Monitoraggio del traffico attivo e rilevamento always on | Sì | Sì | Sì |
| Mitigazione automatica degli attacchi | Sì | Sì | Sì |
| Garanzia di disponibilità | No | Sì | Sì |
| Protezione dei costi | No | Sì | No |
| Criteri di mitigazione ottimizzati per l'applicazione del cliente | No | Sì | Sì |
| Metriche e avvisi | No | Sì | Sì |
| Report di mitigazione | No | Sì | Sì |
| Log dei flussi di mitigazione | No | Sì | Sì |
| Supporto DDoS Rapid Response | No | Sì | No |
Altre funzionalità di Protezione DDoS
Con Protezione DDoS, il traffico rimane sempre all'interno dell'area di Azure. Mantenere il traffico all'interno dell'area locale aiuta anche a migliorare le prestazioni, perché Protezione DDoS mitiga gli attacchi in un'area di Azure. Protezione DDoS di Azure mitiga il traffico in attacco più vicino all'applicazione. Tuttavia, se Microsoft rileva un volume di attacco significativo, userà la scala globale della rete di Azure per difendere l'ambiente dall'attacco all'origine.
Microsoft usa questa strategia di difesa avanzata per proteggere i servizi back-end e i servizi di Azure, ad esempio Frontdoor e il gateway applicazione di Azure.
Protezione DDoS offre più funzionalità rispetto a Protezione dell'infrastruttura DDoS. Se si stabilisce la criticità di alcune applicazioni, ad esempio un sito Web di e-commerce a volume elevato che genera ricavi, è consigliabile scegliere Protezione DDoS.
Si è deciso che lo SKU Protezione IP DDoS è perfetto per la piccola organizzazione perché è un servizio a pagamento per IP. Si sa che è possibile passare allo SKU Protezione della rete DDoS per la protezione della rete virtuale, il supporto di risposta rapida DDoS e la garanzia dei costi dopo che Contoso avrà ampliato i suoi servizi.