Azure DDoS-beveiliging beschrijven

  • 4 minuten

Elk bedrijf, groot of klein, kan het doelwit zijn van een ernstige netwerkaanval. De aard van deze aanvallen kan zijn om een verklaring te maken of omdat de aanvaller een uitdaging wilde.

Gedistribueerde Denial of Service-aanvallen

Het doel van een DDoS-aanval (Distributed Denial of Service) is om de resources op uw toepassingen en servers te overbelasten, waardoor ze niet reageren of traag zijn voor echte gebruikers. Een DDoS-aanval richt zich meestal op elk openbaar apparaat dat toegankelijk is via internet.

De drie meest voorkomende typen DDoS-aanvallen zijn:

  • Volumetrische aanvallen: dit zijn aanvallen op basis van volumes die de netwerklaag overspoelen met schijnbaar legitiem verkeer, waardoor de beschikbare bandbreedte wordt overspoeld. Legitiem verkeer kan niet passeren.
  • Protocolaanvallen: protocolaanvallen maken een doel ontoegankelijk door serverbronnen met valse protocolaanvragen die zwakke plekken in protocollen van laag 3 (netwerk) en laag 4 (transport) misbruiken.
  • Aanvallen op de bronlaag (toepassingslaag): deze aanvallen zijn gericht op webtoepassingspakketten om de overdracht van gegevens tussen hosts te verstoren.

Wat is Azure DDoS Protection?

De Azure DDoS Protection-service is ontworpen om uw toepassingen en servers te beschermen door netwerkverkeer te analyseren en alles te negeren dat lijkt op een DDoS-aanval.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

De Azure DDoS Protection-service beveiligt op laag 3 (netwerklaag) en laag 4 (transportlaag). De belangrijkste voordelen zijn onder andere:

  • Always-on-verkeerscontrole: Uw verkeerspatronen van uw toepassing worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Azure DDoS Protection beperkt de aanval onmiddellijk en automatisch, zodra deze is gedetecteerd. Als onderdeel van de beperking wordt verkeer dat naar de beveiligde resource wordt verzonden, omgeleid door de DDoS-beveiligingsservice en worden verschillende controles uitgevoerd. Azure DDoS Protection vermindert aanvalsverkeer en stuurt het resterende verkeer door naar de beoogde bestemming. Binnen een paar minuten na detectie van aanvallen ontvangt u een melding met behulp van metrische gegevens van Azure Monitor.
  • Adaptieve realtime afstemming: Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast naarmate het verkeer na verloop van tijd verandert.
  • DDoS Protection-telemetrie, bewaking en waarschuwingen: Azure DDoS Protection biedt uitgebreide telemetrie via Azure Monitor. U kunt waarschuwingen configureren voor alle metrische gegevens van Azure Monitor die door DDoS Protection worden gebruikt. U kunt logboekregistratie integreren met Azure Event Hubs, Azure Monitor-logboeken en Azure Storage voor geavanceerde analyse via de azure Monitor Diagnostics-interface.

Azure DDoS Protection ondersteunt twee laagtypen, DDoS IP Protection en DDoS-netwerkbeveiliging. De laag wordt geconfigureerd in Azure Portal wanneer u Azure DDoS Protection configureert.

  • DDoS-netwerkbeveiliging: de DDoS-netwerkbeveiligingsservice (beschikbaar als een SKU), gecombineerd met aanbevolen procedures voor het ontwerpen van toepassingen, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources.
  • DDoS IP Protection: DDoS IP Protection is een betalen per beveiligd IP-model. DDoS IP Protection bevat dezelfde kernfuncties als DDoS-netwerkbeveiliging, maar verschilt ervan dat het geen toegevoegde services bevat, zoals DDoS-ondersteuning voor snelle respons, kostenbeveiliging en kortingen op Web Application Firewall (WAF) die deel uitmaken van DDoS-netwerkbeveiliging. Zie Vergelijking van azure DDoS Protection-laag voor een volledig overzicht van de functies en bijbehorende lagen

Een veelvoorkomende vraag die vaak wordt gesteld, is waarom u DDos Protection-services kunt toevoegen als services die worden uitgevoerd in Azure inherent worden beveiligd door de standaard DDoS-beveiliging op infrastructuurniveau? De reden hiervoor is dat de beveiliging die de infrastructuur beschermt een hogere drempelwaarde heeft dan de meeste toepassingen de capaciteit hebben om te verwerken en geen telemetrie of waarschuwingen biedt. Dus hoewel het verkeersvolume door het platform als ongevaarlijk kan worden beschouwd, kan het verwoestend zijn voor de toepassing die het ontvangt. Door de onboarding naar de Azure DDoS Protection-service uit te schakelen, krijgt de toepassing toegewezen bewaking om aanvallen en toepassingsspecifieke drempelwaarden te detecteren. Een service wordt beveiligd met een profiel dat is afgestemd op het verwachte verkeersvolume, wat een betere verdediging biedt tegen DDoS-aanvallen.

Zoals eerder vermeld, beveiligt Azure DDos Protection op laag 3 en laag 4. Voor beveiliging van webtoepassingen op laag 7 (de toepassingslaag) moet u beveiliging op de toepassingslaag toevoegen met behulp van een WaF-aanbieding (Web Application Firewall) die wordt beschreven in een volgende les van deze module.