Delen via

DDoS Protection in Azure Front Door

  • Artikel

Azure Front Door is een CDN (Content Delivery Network) waarmee u uw oorsprongen kunt beschermen tegen HTTP(S) DDoS-aanvallen door verkeer te distribueren over de 192 edge Points of Presence (POPs) wereldwijd. Deze POP's maken gebruik van het grote privé-WAN van Azure om uw webtoepassingen en -services sneller en veiliger te leveren aan uw eindgebruikers. Azure Front Door bevat laag 3, 4 en 7 DDoS-beveiliging en een WaF (Web Application Firewall) om uw toepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen.

DDoS-beveiliging voor infrastructuur

Azure Front Door profiteert van de DDoS-standaardbeveiliging van de Azure-infrastructuur. Met deze beveiliging worden netwerklaagaanvallen in realtime bewaakt en beperkt met behulp van de wereldwijde schaal en capaciteit van het netwerk van Azure Front Door. Het heeft een bewezen trackrecord voor het beschermen van de enterprise- en consumentenservices van Microsoft tegen grootschalige aanvallen.

Protocolblokkering

Azure Front Door ondersteunt alleen HTTP- en HTTPS-protocollen en vereist een geldige Host header voor elke aanvraag. Dit gedrag helpt veelvoorkomende DDoS-aanvalstypen te voorkomen, zoals volumetrische aanvallen met behulp van verschillende protocollen en poorten, DNS-amplificatieaanvallen en TCP-vergiftigingsaanvallen.

Capaciteitsabsorbatie

Azure Front Door is een grootschalige, wereldwijd gedistribueerde service die veel klanten bedient, waaronder de eigen cloudproducten van Microsoft, die honderden duizenden aanvragen per seconde verwerken. Azure Front Door kan grote volumeaanvallen onderscheppen en geografisch isoleren aan de rand van het Azure-netwerk, zodat schadelijk verkeer zich niet meer dan de rand van het Azure-netwerk bevindt.

Caching

U kunt cachemogelijkheden van Azure Front Door gebruiken om uw back-ends te beschermen tegen grote verkeersvolumes die worden gegenereerd door een aanval. Azure Front Door Edge-knooppunten retourneren resources in de cache, om te voorkomen dat ze naar uw back-end worden doorgestuurd. Zelfs korte verlooptijden van de cache (seconden of minuten) voor dynamische reacties kunnen de belasting van uw back-endservices aanzienlijk verminderen. Zie Cacheoverwegingen en cache-aside-patroon voor meer informatie over cacheconcepten en -patronen.

Web Application Firewall (WAF)

U kunt Azure Web Application Firewall (WAF) gebruiken om verschillende soorten aanvallen te beperken:

  • De beheerde regelset beschermt uw toepassing tegen veel voorkomende aanvallen. Zie Beheerde regels voor meer informatie.
  • Verkeer van specifieke geografische regio's naar een statische webpagina blokkeren of omleiden. Zie Geofiltering voor meer informatie.
  • IP-adressen en bereiken blokkeren die zijn geïdentificeerd als schadelijk. Zie IP-beperkingen voor meer informatie.
  • Frequentiebeperking toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Snelheidsbeperking voor meer informatie.
  • Maak aangepaste WAF-regels om HTTP- of HTTPS-aanvallen automatisch te blokkeren en te beperken met bekende handtekeningen.
  • De beheerde regelset voor botbeveiliging beschermt uw toepassing tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.

Raadpleeg de DDoS-beveiliging van de toepassing voor hulp bij het gebruik van Azure WAF om te beschermen tegen DDoS-aanvallen.

Virtual Network Origins beveiligen

Schakel Azure DDoS Protection in op uw oorspronkelijke virtuele netwerk om uw openbare IP-adressen te beschermen tegen DDoS-aanvallen. Deze service biedt meer voordelen, zoals kostenbeveiliging, een SLA-garantie en toegang tot het DDoS Rapid Response-team voor deskundige hulp tijdens een aanval.

Verbeter de beveiliging van uw door Azure gehoste origins met behulp van Azure Private Link om de toegang tot Azure Front Door te beperken. Met deze functie wordt een privénetwerkverbinding tot stand gebracht tussen Azure Front Door en uw toepassingsservers, waardoor uw origins niet meer zichtbaar zijn voor het openbare internet.

Volgende stappen