Vad är Azure DDoS Protection?
Distribuerade överbelastningsattacker (DDoS) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker uttömma ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.
Azure DDoS Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Protection är enkelt att aktivera i alla nya eller befintliga virtuella nätverk och kräver inga program- eller resursändringar.
Azure DDoS Protection skyddar på layer 3- och layer 4-nätverksskikt. För skydd av webbprogram på nivå 7 måste du lägga till skydd på programskiktet med hjälp av ett WAF-erbjudande. Mer information finns i Program-DDoS-skydd.
Nivåer
DDoS-nätverksskydd
Azure DDoS Network Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Mer information om hur du aktiverar DDoS Network Protection finns i Snabbstart: Skapa och konfigurera Azure DDoS Network Protection med hjälp av Azure Portal.
DDoS IP-skydd
DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i följande mervärdestjänster: DDoS snabbsvarssupport, kostnadsskydd och rabatter på WAF. Mer information om hur du aktiverar DDoS IP Protection finns i Snabbstart: Skapa och konfigurera Azure DDoS IP Protection med Azure PowerShell.
Mer information om nivåerna finns i Jämförelse av DDoS Protection-nivå.
Huvudfunktioner
Alltid på trafikövervakning: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan och letar efter indikatorer för DDoS-attacker. Azure DDoS Protection minimerar omedelbart och automatiskt attacken när den har identifierats.
Anpassningsbar realtidsjustering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid.
DDoS Protection-analys, mått och aviseringar: Azure DDoS Protection tillämpar tre automatiskt anpassade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen, i det virtuella nätverk som har DDoS aktiverat. Principtrösklarna konfigureras automatiskt via maskininlärningsbaserad nätverkstrafikprofilering. DDoS-minskning sker endast för en IP-adress under attack när principtröskelvärdet överskrids.
Attackanalys: Få detaljerade rapporter i femminuterssteg under en attack och en fullständig sammanfattning när attacken har avslutats. Strömma flödesloggar för åtgärdsflöden till Microsoft Sentinel eller ett SIEM-system (offlinesäkerhetsinformation och händelsehantering) för övervakning i nära realtid under en attack. Mer information finns i Visa och konfigurera DDoS-diagnostikloggning .
Attackmått: Sammanfattade mått från varje attack är tillgängliga via Azure Monitor. Mer information finns i Visa och konfigurera DDoS-skyddstelemetri .
Attackaviseringar: Aviseringar kan konfigureras i början och stoppet av en attack och under attackens varaktighet med hjälp av inbyggda attackmått. Aviseringar integreras i din operativa programvara som Microsoft Azure Monitor-loggar, Splunk, Azure Storage, e-post och Azure Portal. Mer information finns i Visa och konfigurera DDoS-skyddsaviseringar .
Azure DDoS Rapid Response: Under en aktiv attack har Azure DDoS Network Protection-aktiverade kunder åtkomst till DRR-teamet (DDoS Rapid Response), som kan hjälpa till med attackutredning under en attack- och efterattackanalys. Mer information finns i Azure DDoS Rapid Response.
Intern plattformsintegrering: Internt integrerad i Azure. Innehåller konfiguration via Azure Portal. Azure DDoS Protection förstår dina resurser och din resurskonfiguration.
Nyckelfärdigt skydd: Förenklad konfiguration skyddar omedelbart alla resurser i ett virtuellt nätverk så snart DDoS Network Protection har aktiverats. Ingen åtgärd eller användardefinition krävs. På samma sätt skyddar förenklad konfiguration omedelbart en offentlig IP-resurs när DDoS IP Protection är aktiverat för den.
Skydd i flera lager: När det distribueras med en brandvägg för webbprogram (WAF) skyddar Azure DDoS Protection både på nätverksskiktet (Layer 3 och 4, som erbjuds av Azure DDoS Protection) och på programskiktet (Layer 7, som erbjuds av en WAF). WAF-erbjudanden inkluderar Azure Application Gateway WAF SKU och brandväggserbjudanden för webbprogram från tredje part som är tillgängliga på Azure Marketplace.
Omfattande minskningsskala: Alla L3/L4-attackvektorer kan minimeras, med global kapacitet, för att skydda mot de största kända DDoS-attackerna.
Kostnadsgaranti: Ta emot tjänstkredit för dataöverföring och utskalning av program för resurskostnader som uppstår till följd av dokumenterade DDoS-attacker.
Arkitektur
Azure DDoS Protection är utformat för tjänster som distribueras i ett virtuellt nätverk. För andra tjänster gäller DDoS-standardskyddet på infrastrukturnivå, vilket skyddar mot vanliga attacker på nätverksnivå. Mer information om arkitekturer som stöds finns i DDoS Protection-referensarkitekturer.
Prissättning
För DDoS Network Protection, under en klientorganisation, kan en enda DDoS-skyddsplan användas i flera prenumerationer, så du behöver inte skapa fler än en DDoS-skyddsplan. För DDoS IP Protection behöver du inte skapa en DDoS-skyddsplan. Kunder kan aktivera DDoS IP-skydd på alla offentliga IP-resurser.
Mer information om priser för Azure DDoS Protection finns i Priser för Azure DDoS Protection.
Metodtips
Maximera effektiviteten i din DDoS-strategi för skydd och minskning genom att följa dessa metodtips:
- Utforma dina program och infrastruktur med redundans och motståndskraft i åtanke.
- Implementera en säkerhetsmetod i flera lager, inklusive nätverk, program och dataskydd.
- Förbered en incidenthanteringsplan för att säkerställa ett samordnat svar på DDoS-attacker.
Mer information om metodtips finns i Grundläggande metodtips.
Vanliga frågor
Vanliga frågor och svar finns i vanliga frågor och svar om DDoS Protection.