Kiedy należy używać usługi Azure DDoS Protection
W tym miejscu porównaliśmy usługę DDoS Infrastructure Protection i usługę DDoS Protection, aby lepiej zrozumieć korzyści wynikające z uaktualniania. W tej lekcji dowiesz się więcej o kluczowych różnicach między jednostkami SKU usługi DDoS Protection i o tworzeniu odporności przed atakami DDoS na aplikacje. Użyjesz tych informacji, aby zdecydować, która jednostka SKU jest odpowiednia dla firmy Contoso.
Tworzenie odpornych na ataków DDoS usług na platformie Azure
Usługa Azure DDoS Infrastructure Protection automatycznie chroni każdą wdrożoną usługę na platformie Azure bez dodatkowych kosztów, a także nie wymaga zmian w konfiguracji aplikacji ani użytkowników.
Podczas podejmowania decyzji o uaktualnieniu z usługi Azure DDoS Infrastructure Protection do usługi Azure DDoS Protection ważne jest, aby przeprowadzić analizę ryzyka ataku DDoS na kluczowe zasoby platformy Azure. Nawet w przypadku wbudowanych usług DDoS, które są dostępne, lepiej nie polegać tylko na ochronie po wdrożeniu. Tworzenie aplikacji odpornej i przetestowanej pod kątem odporności lub szybkiego odzyskiwania po ataku typu "odmowa usługi" jest ważne.
Struktura platformy Azure na potrzeby odporności obciążeń
Zespół platformy Azure opublikował platformę do projektowania obciążenia pod kątem odporności. Ta struktura to zbiór wytycznych, które można zastosować, aby poprawić jakość obciążenia.
Podczas budowania lub wdrażania projektu ważne jest zaplanowanie projektu w taki sposób, aby:
- Bezpieczeństwo. Identyfikowanie i dokumentowanie wymagań dotyczących zabezpieczeń na wczesnym etapie cyklu projektowania. Ta praktyka pomaga zapewnić, że bezpieczeństwo jest priorytetem w całym cyklu życia aplikacji. Źle zaprojektowane aplikacje mogą mieć nieefektywne procedury, które korzystają z nadmiernych zasobów, co może spowodować awarię usługi, nawet przy niskim tempie żądań.
- Skalowalność. Platforma Azure oferuje skalowanie automatyczne aplikacji w poziomie, ale w przypadku ataku DDoS należy zaprojektować aplikację w celu spełnienia tego zapotrzebowania. Gdy aplikacja zależy od pojedynczego wdrożenia usługi, powoduje to wystąpienie pojedynczego punktu awarii. Konfigurowanie wielu wystąpień sprawia, że system jest bardziej odporny i skalowalny.
- Obrona warstwowa. Ochrona w głębi systemu to dobrze akceptowana strategia, która używa wielu środków zabezpieczeń do ochrony zasobów organizacji. Możesz zmniejszyć prawdopodobieństwo pomyślnego ataku, warstwując, a nawet duplikując zabezpieczenia dla usług platformy Azure. Możesz również zwiększyć bezpieczeństwo i niezawodność projektu, znając i rozumiejąc możliwości wbudowanej platformy Azure. Kolejną zaletą korzystania z usług platformy Azure jest zmniejszenie obszaru ataków aplikacji. Ochrona w głębi systemu obejmuje wszystkie środki bezpieczeństwa organizacji, aby rozwiązać wszystkie problemy związane z zabezpieczaniem aplikacji.
Te środki mogą pomóc zwiększyć bezpieczeństwo i spełnić wymagania prawne. Po zapoznaniu się z zagadnieniami dotyczącymi tworzenia aplikacji odpornych na atak DDoS należy teraz określić, które funkcje usługi Azure DDoS Protection są potrzebne. W poniższej tabeli porównaliśmy najważniejsze funkcje warstw ochrony przed atakami DDoS i ochronę infrastruktury DDoS.
| Funkcja | Ochrona infrastruktury przed atakami DDoS | Ochrona sieci przed atakami DDoS | Ochrona adresów IP przed atakami DDoS |
|---|---|---|---|
| Aktywne monitorowanie ruchu & stałe wykrywanie | Tak | Tak | Tak |
| Automatyczne ograniczanie ryzyka ataków | Tak | Tak | Tak |
| Gwarancja dostępności | Nie | Tak | Tak |
| Ochrona kosztów | Nie | Tak | Nie |
| Zasady ograniczania ryzyka dostosowane do aplikacji klienta | Nie | Tak | Tak |
| Alerty dotyczące metryk & | Nie | Tak | Tak |
| Raporty ograniczania ryzyka | Nie | Tak | Tak |
| Dzienniki przepływu ograniczania ryzyka | Nie | Tak | Tak |
| Obsługa szybkiego reagowania na atak DDoS | Nie | Tak | Nie |
Dodatkowe funkcje ochrony przed atakami DDoS
Dzięki usłudze DDoS Protection ruch zawsze pozostaje w regionie świadczenia usługi Azure. Utrzymywanie ruchu w regionie lokalnym pomaga również w wydajności, ponieważ usługa DDoS Protection ogranicza ryzyko ataku w regionie świadczenia usługi Azure. Usługa Azure DDoS Protection ogranicza ruch ataków najbliżej aplikacji. Jeśli jednak firma Microsoft określi, że skala ataków jest znacząca, użyje globalnej skali sieci platformy Azure do obrony przed atakiem, z którego pochodzi.
Firma Microsoft korzysta z tej strategii ochrony w celu ochrony usług zaplecza i usług platformy Azure, takich jak Azure Front Door i Azure Application Gateway.
Usługa DDoS Protection oferuje więcej funkcji niż ochrona infrastruktury przed atakami DDoS. Jeśli ustalisz, że niektóre aplikacje są krytyczne, na przykład witryna internetowa handlu elektronicznego generująca duże przychody, wtedy ochrona przed atakami DDoS jest zalecanym wyborem.
Podjęto decyzję, że jednostka SKU ochrony adresów IP przed atakami DDoS jest idealna dla twojej małej organizacji, ponieważ jest to usługa płatności za adres IP. Wiesz, że możesz przełączyć się na ofertę SKU ochrony sieci DDoS, aby uzyskać ochronę sieci wirtualnej, wsparcie szybkiego reagowania na DDoS i gwarancję kosztów, gdy firma Contoso rozwinie swoje usługi.