Zaleca się użycie usługi Azure DDoS Protection w wersji Standard.

  • 7 min

Ataki typu "rozproszona odmowa usługi" (DDoS) to jedne z największych problemów z dostępnością i zabezpieczeniami, z którymi borykają się klienci przenoszący swoje aplikacje do chmury. Atak DDoS próbuje wyczerpać zasoby aplikacji, dzięki czemu aplikacja jest niedostępna dla uprawnionych użytkowników. Ataki DDoS mogą być kierowane do dowolnego punktu końcowego, który jest publicznie dostępny za pośrednictwem Internetu.

Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochrona jest prosta do włączenia w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga żadnych zmian aplikacji ani zasobów.

Diagram przedstawiający przykład architektury rozproszonej odmowy usługi platformy Azure.

Usługa Azure DDoS Protection chroni warstwę 3 i warstwę 4 sieci. Aby chronić aplikacje internetowe na warstwie 7, należy dodać ochronę na poziomie aplikacji, korzystając z oferty WAF.

Poziomy

Ochrona sieci przed atakami DDoS

Usługa Azure DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej.

Ochrona adresów IP przed atakami DDoS

Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona DDoS IP zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS, ale różnią się w następujących usługach dodanych do wartości: szybkie reagowanie na DDoS, ochrona kosztów i rabaty na WAF.

Kluczowe funkcje

  • Monitorowanie ruchu zawsze włączonego: Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Usługa Azure DDoS Protection natychmiast i automatycznie ogranicza atak po jego wykryciu.

  • Adaptacyjne dostrajanie w czasie rzeczywistym: inteligentne profilowanie ruchu uczy się wzorców ruchu Twojej aplikacji i wybiera oraz aktualizuje profil, który jest najbardziej odpowiedni dla Twojej usługi. Profil zmienia się wraz ze zmianami ruchu w miarę upływu czasu.

  • Analiza, metryki i alerty usługi DDoS Protection: Usługa Azure DDoS Protection stosuje trzy automatycznie dostrojone zasady ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu w sieci wirtualnej z włączoną funkcją DDoS. Progi zasad są konfigurowane automatycznie za pośrednictwem profilowania ruchu sieciowego opartego na uczeniu maszynowym. Ograniczenie ryzyka ataków DDoS występuje dla adresu IP objętego atakiem tylko wtedy, gdy próg zasad zostanie przekroczony.

    • Analiza ataków: uzyskaj szczegółowe raporty w pięciominutowych odstępach podczas ataku oraz kompletny raport po jego zakończeniu. Przesyłanie strumieniowe dzienników przepływu ograniczania ryzyka do usługi Microsoft Sentinel lub systemu zarządzania informacjami i zdarzeniami w trybie offline (SIEM) na potrzeby monitorowania niemal w czasie rzeczywistym podczas ataku.
    • Metryki ataku: podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor.
    • Alerty ataku: alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku. Alerty integrują się z oprogramowaniem operacyjnym, takimi jak dzienniki usługi Microsoft Azure Monitor, splunk, Azure Storage, poczta e-mail i witryna Azure Portal.

  • Szybka reakcja usługi Azure DDoS: podczas aktywnego ataku klienci mają dostęp do zespołu DDoS Rapid Response (DRR), który może pomóc w badaniu ataku podczas analizy ataku i analizy po ataku.

  • Natywna integracja platformy: natywnie zintegrowana z platformą Azure. Obejmuje konfigurację za pośrednictwem witryny Azure Portal. Usługa Azure DDoS Protection rozumie zasoby i konfigurację zasobów.

  • Ochrona pod kluczem: Uproszczona konfiguracja natychmiast chroni wszystkie zasoby w sieci wirtualnej natychmiast po włączeniu ochrony sieci przed atakami DDoS. Nie jest wymagana żadna interwencja ani definicja użytkownika. Podobnie uproszczona konfiguracja natychmiast chroni zasób publicznego adresu IP po włączeniu ochrony adresów IP przed atakami DDoS.

  • Ochrona wielowarstwowa: po wdrożeniu za pomocą zapory aplikacji internetowej (WAF) usługa Azure DDoS Protection chroni zarówno w warstwie sieciowej (warstwa 3 i 4 oferowana przez usługę Azure DDoS Protection) jak i w warstwie aplikacji (warstwa 7 oferowana przez zaporę aplikacji internetowej).

  • Obszerna skala ograniczania ryzyka: wszystkie wektory ataków L3/L4 można ograniczyć, przy użyciu globalnej pojemności, aby chronić przed największymi znanymi atakami DDoS.

  • Gwarancja kosztów: uzyskanie kredytów serwisowych na pokrycie kosztów zasobów wynikających z udokumentowanych ataków DDoS, obejmujących transfer danych i skalowanie aplikacji.

Architektura

Usługa Azure DDoS Protection jest przeznaczona dla usług wdrożonych w sieci wirtualnej. W przypadku innych usług stosowana jest domyślna ochrona przed atakami DDoS na poziomie infrastruktury, która chroni przed typowymi atakami w warstwie sieciowej.

Ceny

W przypadku ochrony przed atakami DDoS w ramach dzierżawy pojedynczy plan ochrony przed atakami DDoS może być używany w wielu subskrypcjach, dlatego nie ma potrzeby tworzenia więcej niż jednego planu ochrony przed atakami DDoS. W przypadku ochrony przed atakami DDoS IP nie ma potrzeby tworzenia planu ochrony przed atakami DDoS. Klienci mogą włączyć ochronę adresów IP przed atakami DDoS na dowolnym zasobie publicznego adresu IP.

Najlepsze rozwiązania

Maksymalizuj skuteczność strategii ochrony przed atakami DDoS i ograniczania ryzyka, postępując zgodnie z następującymi najlepszymi rozwiązaniami:

  • Projektowanie aplikacji i infrastruktury z myślą o nadmiarowości i odporności.
  • Zaimplementuj wielowarstwowe podejście zabezpieczeń, w tym sieć, aplikację i ochronę danych.
  • Przygotuj plan reagowania na zdarzenia, aby zapewnić skoordynowaną reakcję na ataki DDoS.