Consigliare quando usare la protezione DDoS Standard di Azure
Gli attacchi Distributed Denial of Service (DDoS) sono alcuni dei problemi di disponibilità e sicurezza più grandi per i clienti che spostano le applicazioni nel cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, rendendo l'applicazione non disponibile per gli utenti legittimi. Gli attacchi DDoS possono essere mirati a qualsiasi endpoint raggiungibile pubblicamente tramite Internet.
Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzato automaticamente per proteggere le risorse di Azure specifiche in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede modifiche all'applicazione o alla risorsa.
Protezione DDoS di Azure protegge al livello 3 e al livello 4 della rete. Per la protezione delle applicazioni Web al livello 7, è necessario aggiungere protezione a livello di applicazione usando un'offerta WAF.
Livelli
Protezione di rete DDoS
Protezione di rete DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzato automaticamente per proteggere le risorse di Azure specifiche in una rete virtuale.
Protezione IP DDoS
Protezione IP DDoS è un modello IP con pagamento in base al consumo. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione di rete DDoS, ma differiscono nei servizi a valore aggiunto seguenti: supporto di risposta rapida DDoS, protezione dei costi e sconti per WAF.
Funzionalità principali
Monitoraggio del traffico always-on: i modelli di traffico dell'applicazione vengono monitorati 24 ore al giorno, 7 giorni alla settimana, cercando indicatori di attacchi DDoS. Protezione DDoS di Azure immediatamente e riduce automaticamente l'attacco, una volta rilevato.
Ottimizzazione in tempo reale adattivo: la profilatura del traffico intelligente apprende il traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio. Il profilo viene modificato man mano che il traffico cambia nel tempo.
Analisi, metriche e avvisi della protezione DDoS: Protezione DDoS di Azure applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale con DDoS abilitato. Le soglie dei criteri vengono configurate automaticamente tramite la profilatura del traffico di rete basata su Machine Learning. La mitigazione DDoS si verifica per un indirizzo IP sotto attacco solo quando viene superata la soglia dei criteri.
- Analisi degli attacchi: ottenere report dettagliati con incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco. Trasmettere i log dei flussi di mitigazione a Microsoft Sentinel o a un sistema SIEM (Security Information and Event Management) offline per il monitoraggio quasi in tempo reale durante un attacco.
- Metriche di attacco: le metriche riepilogate di ogni attacco sono accessibili tramite Monitoraggio di Azure.
- Avvisi di attacco: gli avvisi possono essere configurati all'inizio e all'arresto di un attacco e per tutta la durata dell'attacco, usando le metriche di attacco predefinite. Gli avvisi si integrano nel software operativo, ad esempio i log di Monitoraggio di Microsoft Azure, Splunk, Archiviazione di Azure, Posta elettronica e il portale di Azure.
Risposta rapida DDoS di Azure: durante un attacco attivo, i clienti hanno accesso al team DDoS Rapid Response (DRR), che può aiutare con l'analisi degli attacchi durante un attacco e un'analisi post-attacco.
Integrazione della piattaforma nativa: integrata in modo nativo in Azure. Include la configurazione tramite il portale di Azure. Azure Protezione DDoS comprende le tue risorse e la loro configurazione.
Protezione chiavi in mano: la configurazione semplificata protegge immediatamente tutte le risorse in una rete virtuale non appena la protezione di rete DDoS è abilitata. Non è necessario alcun intervento o definizione utente. Analogamente, la configurazione semplificata protegge immediatamente una risorsa IP pubblica quando è abilitata la protezione IP DDoS.
Protezione a più livelli: quando viene distribuita con un web application firewall (WAF), Protezione DDoS di Azure protegge sia a livello di rete (livello 3 che 4, offerto da Protezione DDoS di Azure) e a livello di applicazione (livello 7, offerto da un WAF).
Scalabilità estesa di mitigazione: tutti i vettori di attacco L3/L4 possono essere mitigati, con capacità globale, per proteggersi dagli attacchi DDoS noti più grandi.
Garanzia dei costi: ricevere il credito del servizio di trasferimento dati e scalabilità orizzontale delle applicazioni per i costi delle risorse sostenuti a seguito di attacchi DDoS documentati.
Architettura
Protezione DDoS di Azure è progettata per i servizi distribuiti in una rete virtuale. Per altri servizi, si applica la protezione DDoS predefinita a livello di infrastruttura, che si difende dagli attacchi comuni a livello di rete.
Prezzi
Per la protezione di rete DDoS, all'interno di un tenant, è possibile usare un singolo piano di protezione DDoS tra più sottoscrizioni, quindi non è necessario creare più di un piano di protezione DDoS. Per la protezione IP DDoS, non è necessario creare un piano di protezione DDoS. I clienti possono abilitare la protezione IP DDoS in qualsiasi risorsa IP pubblica.
Procedure consigliate
Ottimizzare l'efficacia della strategia di protezione e mitigazione DDoS seguendo queste procedure consigliate:
- Progettare le applicazioni e l'infrastruttura tenendo conto della ridondanza e della resilienza.
- Implementare un approccio di sicurezza a più livelli, tra cui rete, applicazione e protezione dei dati.
- Preparare un piano di risposta agli eventi imprevisti per garantire una risposta coordinata agli attacchi DDoS.