Когда следует использовать защиту от атак DDoS Azure
Здесь мы сравниваем службу защиты инфраструктуры DDoS и службу защиты от атак DDoS, чтобы получить лучшее представление о преимуществах обновления. В этом уроке вы узнаете больше о ключевых различиях между номерами SKU защиты от атак DDoS и о создании устойчивости к атакам DDoS в приложениях. Вы будете использовать эти сведения, чтобы решить, какой номер SKU подходит для Contoso.
Создание устойчивых служб DDoS в Azure
Защита инфраструктуры DDoS Azure автоматически защищает каждую развернутую службу в Azure без дополнительных затрат, а также не требует изменений в конфигурации приложений или пользователей.
При принятии решения об обновлении с Azure DDoS Infrastructure Protection до защиты от атак DDoS Azure важно выполнить анализ рисков для атаки DDoS на ключевые ресурсы Azure. Даже если доступны встроенные службы DDoS, предпочтительнее не полагаться только на защиту после развертывания. Создание приложения, которое является устойчивым и проверенным, чтобы выдержать или быстро восстановиться после атаки типа "отказ в обслуживании", важно.
Платформа Azure для обеспечения устойчивости рабочей нагрузки
Команда Azure опубликовала платформу для разработки рабочей нагрузки для обеспечения устойчивости. Эта платформа представляет собой коллекцию руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки.
При создании или развертывании рабочей нагрузки важно учитывать следующие аспекты.
- Безопасность. Определение и документирование требований к безопасности в начале жизненного цикла разработки. Эта практика помогает гарантировать, что безопасность является приоритетом на протяжении всего жизненного цикла приложения. Плохо разработанные приложения могут иметь неэффективные подпрограммы, использующие чрезмерные ресурсы, которые могут привести к сбою службы, даже с низкой скоростью запросов.
- Масштабируемость. Azure предлагает горизонтальное автоматическое масштабирование приложения, но необходимо разработать приложение для удовлетворения этого требования, если есть атака DDoS. Если приложение зависит от одного развертывания службы, это приводит к возникновению единой точки отказа. Подготовка нескольких экземпляров делает систему более устойчивой и более масштабируемой.
- Глубинная оборона. Глубинная защита является хорошо принятой стратегией, которая использует несколько мер безопасности для защиты активов организации. Вы можете снизить вероятность успешной атаки путем выравнивания и даже дублирования защиты безопасности для служб Azure. Вы также можете повысить безопасность и надежность разработки, зная и понимая возможности встроенной платформы Azure. Еще одним преимуществом использования служб Azure является сокращение области атак приложения. Комплексная защита включает в себя все меры безопасности организации для решения всех аспектов, связанных с обеспечением безопасности приложения.
Эти меры помогут повысить безопасность и соответствовать нормативным требованиям. После того как будут учтены соображения по созданию устойчивых к DDoS-атакам приложений, необходимо определить, какие функции Azure DDoS Protection вам нужны. В следующей таблице сравниваются ключевые функции уровней защиты от атак DDoS и защиты инфраструктуры DDoS.
| Особенность | Защита инфраструктуры DDoS | Защита сети от атак DDoS | Защита IP-адресов от атак DDoS |
|---|---|---|---|
| Активный мониторинг трафика & с постоянным обнаружением | Да | Да | Да |
| Автоматическое устранение рисков атак | Да | Да | Да |
| Гарантия доступности | Нет | Да | Да |
| Защита затрат | Нет | Да | Нет |
| Политики устранения рисков, настроенные для клиентского приложения | Нет | Да | Да |
| Метрики & оповещения | Нет | Да | Да |
| Отчеты по устранению рисков | Нет | Да | Да |
| Журналы потоков смягчения рисков | Нет | Да | Да |
| Поддержка быстрого реагирования DDoS | Нет | Да | Нет |
Дополнительные функции защиты от атак DDoS
При защите от атак DDoS трафик всегда остается в регионе Azure. Сохранение трафика в локальном регионе также помогает повысить производительность, так как защита от атак DDoS выполняет устранение атак в регионе Azure. Защита от атак DDoS Azure снижает трафик атаки, ближайший к приложению. Однако если корпорация Майкрософт определяет, что объем атак является значительным, он будет использовать глобальный масштаб сети Azure для защиты атаки, в которой она возникает.
Корпорация Майкрософт использует эту стратегию глубинной защиты для защиты внутренних служб и служб Azure, таких как Azure Front Door и Шлюз приложений Azure.
Защита от атак DDoS предоставляет больше возможностей, чем защита инфраструктуры DDoS. Если вы определили, что некоторые приложения являются критически важными, например, веб-сайт электронной коммерции с высоким трафиком и доходностью, то защита от атак DDoS — это рекомендуемый выбор.
Вы решили, что услуга защиты IP-адресов от DDoS идеально подходит для вашей небольшой организации, так как это модель оплаты за каждый IP-адрес. Вы знаете, что можете переключиться на SKU защиты сети от DDoS-атак, чтобы обеспечить защиту виртуальной сети, поддержку быстрого реагирования на DDoS-атаки и гарантии по затратам, когда Contoso расширит свои услуги.