Когда следует использовать защиту от атак DDoS Azure
Здесь мы сравниваем службу защиты инфраструктуры DDoS и службу защиты от атак DDoS, чтобы получить лучшее представление о преимуществах обновления. В этом уроке вы узнаете больше о ключевых различиях между номерами SKU защиты от атак DDoS и о создании устойчивости к атакам DDoS в приложениях. Вы будете использовать эти сведения, чтобы решить, какой номер SKU подходит для Contoso.
Создание служб в Azure, устойчивых к атакам DDoS
Защита инфраструктуры DDoS Azure автоматически защищает каждую развернутую службу в Azure без дополнительных затрат, а также не требует изменений в конфигурации приложений или пользователей.
При принятии решения об обновлении с Azure DDoS Infrastructure Protection до защиты от атак DDoS Azure важно выполнить анализ рисков для атаки DDoS на ключевые ресурсы Azure. Несмотря на наличие встроенных служб защиты от атак DDoS, мы не рекомендуем полагаться только на защиту после развертывания. Важно уже при разработке приложения предусмотреть и проверить механизмы поддержки устойчивости или быстрого восстановления при атаках типа "отказ в обслуживании".
Платформа Azure для устойчивости рабочих нагрузок
Группа разработчиков Azure опубликовала платформу для создания механизмов устойчивости рабочих нагрузок. Эта платформа — набор регламентирующих принципов, которые позволяют улучшить качество рабочей нагрузки.
При создании или развертывании рабочей нагрузки важно учесть следующее:
- Безопасность. Выявляйте и документируйте требования безопасности с самых ранних этапов жизненного цикла разработки. Эта практика помогает гарантировать, что безопасность является приоритетом на протяжении всего жизненного цикла приложения. Плохо спроектированные приложения могут содержать неэффективные подпрограммы, которые используют чрезмерный объем ресурсов. Это может привести к сбою службы даже при низкой частоте запросов.
- Масштабируемость. Azure предлагает горизонтальное автоматическое масштабирование приложения, но необходимо разработать приложение для удовлетворения этого требования, если есть атака DDoS. Если приложение зависит от одного развертывания конкретной службы, значит, оно имеет единую точку отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.
- Глубинная защита. Глубинная защита обозначает хорошо проверенную стратегию, которая подразумевает применение нескольких мер безопасности для защиты ресурсов организации. Вы можете снизить вероятность успешной атаки, создавая дополнительные уровни и дублируя меры защиты для служб Azure. Кроме того, вы можете повысить безопасность и надежность проекта, изучая и анализируя возможности встроенной платформы Azure. Еще одним преимуществом использования служб Azure является сокращение области атак приложения. Глубинная защита объединяет все меры безопасности, применяемые в организации, для решения всех проблем с обеспечением безопасности приложения.
Эти меры помогут вам повысить уровень безопасности и выполнить нормативные требования. После решения вопросов, связанных с созданием защищенных от атак DDoS приложений, вам нужно выбрать нужные возможности Защиты от атак DDoS Azure. В следующей таблице сравниваются ключевые функции уровней защиты от атак DDoS и защиты инфраструктуры DDoS.
| Компонент | Защита инфраструктуры DDoS | Защита сети от атак DDoS | Защита IP-адресов от атак DDoS |
|---|---|---|---|
| Активный мониторинг трафика и постоянно действующее обнаружение | Да | Да | Да |
| Автоматическое устранение рисков атаки | Да | Да | Да |
| Гарантия доступности | No | Да | Да |
| Защита от затрат | No | Да | Нет |
| Политики защиты, настроенные для клиентского приложения | No | Да | Да |
| Метрики и оповещения | No | Да | Да |
| Отчеты об устранении рисков | No | Да | Да |
| Журналы потоков устранения рисков | No | Да | Да |
| Поддержка быстрого реагирования на атаки DDoS | No | Да | Нет |
Дополнительные функции защиты от атак DDoS
При защите от атак DDoS трафик всегда остается в регионе Azure. Сохранение трафика в локальном регионе также помогает повысить производительность, так как защита от атак DDoS выполняет устранение атак в регионе Azure. Защита от атак DDoS Azure снижает трафик атаки, ближайший к приложению. Однако если корпорация Майкрософт определяет, что объем атак является значительным, он будет использовать глобальный масштаб сети Azure для защиты атаки, в которой она возникает.
Корпорация Майкрософт применяет стратегию глубинной защиты для внутренних клиентских служб и служб Azure, таких как Azure Front Door и Шлюз приложений Azure.
Защита от атак DDoS предоставляет больше возможностей, чем защита инфраструктуры DDoS. Если определить, что некоторые приложения являются критически важными; например, высокий объем, генерирующий доход веб-сайт электронной коммерции, а защита от атак DDoS — это рекомендуемый вариант.
Вы решили, что SKU защиты IP-адресов DDoS идеально подходит для вашей небольшой организации, так как она является оплатой за IP-службу. Вы знаете, что вы можете переключиться на номер SKU защиты сети DDoS для защиты виртуальной сети, поддержку быстрого реагирования DDoS и гарантировать затраты после расширения служб Contoso.