Описание защиты от DDoS-атак Azure

  • 4 мин

Любая компания, большая или маленькая, может стать целью серьезной сетевой атаки. Характер этих атак может заключаться в том, чтобы сделать заявление или потому, что злоумышленник хотел вызов.

Атаки DDoS (атаки типа "отказ в обслуживании")

Цель распределенной атаки типа "отказ в обслуживании" (DDoS-атака) заключается в том, чтобы перегрузить ресурсы в приложениях и серверах, заставив их не отвечать или замедлить работу для нормальных пользователей. DDoS-атака обычно нацелена на любое общедоступное устройство, доступ к которому можно получить через Интернет.

Три наиболее частых типа DDoS-атак:

  • Объемные атаки: это атаки на основе томов, которые потопляют сетевой слой с, казалось бы, законным трафиком, подавляя доступную пропускную способность. При этом действительно подлинный трафик не может быть пройти по назначению.
  • Атаки протокола: атаки протокола делают цель недоступной, истощая ресурсы сервера ложными запросами протокола, которые используют слабые места в протоколах уровня 3 (сеть) и уровня 4 (транспорт).
  • Атаки уровня ресурса (приложения) направлены на пакеты веб-приложения и стремятся нарушить передачу данных между узлами.

Что такое служба "Защита от атак DDoS Azure"?

Служба защиты Azure от атак DDoS обеспечивает защиту приложений и серверов, анализируя сетевой трафик и отменяя все, что похоже на атаку DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Служба защиты от атак DDoS Azure защищает уровень 3 (сетевой уровень) и уровень 4 (транспортный уровень). Ниже приведены ключевые преимущества:

  • Постоянный мониторинг трафика: трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак. Защита от атак DDoS Azure мгновенно и автоматически устраняет атаку после обнаружения. В рамках устранения рисков трафик, отправленный защищенному ресурсу, перенаправляется службой защиты от атак DDoS и выполняется несколько проверка. Защита от атак DDoS Azure удаляет трафик атаки и пересылает оставшийся трафик в целевое место. Через несколько минут после обнаружения атак вы получите уведомление с помощью метрик Azure Monitor.
  • Адаптивная настройка в режиме реального времени: интеллектуальное профилирование трафика изучает трафик приложения с течением времени и выбирает и обновляет профиль, наиболее подходящий для вашей службы. Этот профиль корректируется с изменением трафика с течением времени.
  • Данные телеметрии защиты от атак DDoS, мониторинга и оповещения: Защита от атак DDoS Azure предоставляет широкие возможности телеметрии с помощью Azure Monitor. Вы можете настроить получение оповещений для любой метрики Azure Monitor, которую использует защита от атак DDoS. Ведение журнала можно интегрировать с Центры событий Azure, журналами Azure Monitor и служба хранилища Azure для расширенного анализа с помощью интерфейса диагностики Azure Monitor.

Защита от атак DDoS Azure поддерживает два типа, защиту IP-адресов DDoS и защиту сети DDoS. Уровень настраивается в портал Azure при настройке защиты от атак DDoS Azure.

  • Защита сети DDoS: служба защиты от сети DDoS (доступная как SKU), в сочетании с рекомендациями по проектированию приложений, предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов.
  • Защита IP-адресов DDoS: защита IP-адресов DDoS — это модель с оплатой за защищенный IP-адрес. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но отличается в том, что она не включает такие службы, как поддержка быстрого реагирования DDoS, защита затрат и скидки на Брандмауэр веб-приложений (WAF), которые являются частью защиты сети DDoS. Полный список функций и соответствующих уровней см. в разделе "Сведения о сравнении уровня защиты от атак DDoS Azure"

Часто возникает вопрос о том, почему рекомендуется добавлять службы защиты от атак DDos, если службы, работающие в Azure, изначально защищены защитой от атак DDoS уровня инфраструктуры по умолчанию? Причина заключается в том, что защита, которая защищает инфраструктуру, имеет более высокое пороговое значение, чем большинство приложений имеет емкость для обработки, и не предоставляет данные телеметрии или оповещения. Таким образом, хотя объем трафика может рассматриваться как безвредный платформой, он может быть разрушительным для приложения, которое получает его. При подключении к службе защиты от атак DDoS приложение получает выделенный мониторинг для обнаружения атак и определенных пороговых значений приложений. Служба будет защищена с помощью профиля, настроенного на ожидаемый объем трафика, обеспечивая более жесткую защиту от атак DDoS.

Как упоминание, ранее защита от атак DDos Azure защищает от уровня 3 и уровня 4. Для защиты веб-приложений на уровне 7 (уровень приложения) необходимо добавить защиту на уровне приложения с помощью предложения Брандмауэр веб-приложений (WAF), описанного в следующем уроке этого модуля.