När du ska använda Azure DDoS Protection
Här jämför vi DDoS Infrastructure Protection-tjänsten och DDoS Protection-tjänsten för att få en bättre uppfattning om fördelarna med uppgradering. I den här lektionen får du lära dig mer om de viktigaste skillnaderna mellan DDoS Protection-SKU:er och om hur du skapar återhämtning mot DDoS-attacker i dina program. Du använder den här informationen för att bestämma vilken SKU som är rätt för Contoso.
Skapa DDoS-motståndskraftiga tjänster i Azure
Azure DDoS Infrastructure Protection skyddar automatiskt varje distribuerad tjänst i Azure utan extra kostnad och kräver inte heller ändringar i konfigurationen av program eller användare.
När du bestämmer dig för att uppgradera från Azure DDoS Infrastructure Protection till Azure DDoS Protection är det viktigt att göra en riskanalys för en DDoS-attack på dina viktiga Azure-resurser. Även med de inbyggda DDoS-tjänsterna som är tillgängliga är det bättre att inte bara förlita sig på skydd efter distributionen. Det är viktigt att skapa ett program som är motståndskraftigt och testat för att motstå eller snabbt återställa från en överbelastningsattack.
Azure-ramverket för återhämtning av arbetsbelastningar
Azure-teamet har publicerat ett ramverk för att utforma din arbetsbelastning för återhämtning. Det här ramverket är en samling vägledande principer som du kan följa för att förbättra kvaliteten på en arbetsbelastning.
När du skapar eller distribuerar din arbetsbelastning är det viktigt att utforma för:
- Säkerhet. Identifiera och dokumentera säkerhetskrav tidigt i utvecklingslivscykeln. Den här metoden hjälper dig att säkerställa att säkerhet är en prioritet under hela livscykeln för ett program. Dåligt utformade program kan ha ineffektiva rutiner som använder överdrivna resurser, vilket kan orsaka avbrott i tjänsten, även med en låg begärandefrekvens.
- Skalbarhet. Azure erbjuder horisontell autoskalning av ett program, men du måste utforma ditt program för att möta denna efterfrågan om det sker en DDoS-attack. När programmet är beroende av en enda distribution av en tjänst resulterar det i en enda felpunkt. Etablering av flera instanser gör systemet mer motståndskraftigt och mer skalbart.
- Skydd på djupet. Skydd på djupet är en väl accepterad strategi som använder flera säkerhetsåtgärder för att skydda en organisations tillgångar. Du kan minska risken för en lyckad attack genom att lägga lager och till och med duplicera säkerhetsskydd för Azure-tjänster. Du kan också förbättra säkerheten och robustheten i din design genom att känna till och förstå funktionerna i den inbyggda Azure-plattformen. En annan fördel med att använda Azure-tjänster är en minskning av programmets attackyta. Skydd på djupet omfattar alla organisationens säkerhetsåtgärder för att hantera alla problem som rör skydd av ett program.
De här åtgärderna kan hjälpa dig att förbättra säkerheten och uppfylla regelkraven. När du har tagit itu med övervägandena för att skapa DDoS-motståndskraftiga program måste du nu avgöra vilka funktioner i Azure DDoS Protection du behöver. I följande tabell jämförs de viktigaste funktionerna i DDoS Protection-nivåerna och DDoS Infrastructure Protection.
| Funktion | DDoS-infrastrukturskydd | DDoS-nätverksskydd | DDoS IP-skydd |
|---|---|---|---|
| Aktiv trafikövervakning och alltid vid identifiering | Ja | Ja | Ja |
| Automatisk attackreducering | Ja | Ja | Ja |
| Tillgänglighetsgaranti | Nej | Ja | Ja |
| Kostnadsskydd | Nej | Ja | Nej |
| Åtgärdsprinciper som är anpassade till kundprogram | Nej | Ja | Ja |
| Mått och aviseringar | Nej | Ja | Ja |
| Åtgärdsrapporter | Nej | Ja | Ja |
| Flödesloggar för minskning | Nej | Ja | Ja |
| Stöd för snabba DDoS-svar | Nej | Ja | Nej |
Ytterligare DDoS Protection-funktioner
Med DDoS Protection finns trafiken alltid kvar i Azure-regionen. Att hålla trafiken inom den lokala regionen hjälper också till med prestanda, eftersom DDoS Protection utför attackreduceringen i en Azure-region. Azure DDoS Protection minskar den attacktrafik som är närmast programmet. Men om Microsoft identifierar att attackvolymen är betydande använder den den globala skalan för Azure-nätverk för att försvara attacken där den har sitt ursprung.
Microsoft använder den här djupgående strategin för att skydda dina serverdelstjänster och dina Azure-tjänster som Azure Front Door och Azure Application Gateway.
DDoS Protection erbjuder fler funktioner än DDoS Infrastructure Protection. Om du bedömer att vissa program är kritiska; till exempel en webbplats för E-handel med stora volymer och intäkter, och DDoS Protection är det rekommenderade valet.
Du har bestämt dig för att DDoS IP Protection SKU är perfekt för din lilla organisation eftersom det är en betala per IP-tjänst. Du vet att du kan växla till DDoS Network Protection SKU för skydd av virtuella nätverk, stöd för DDoS Rapid Response och kostnadsgaranti när Contoso utökar sina tjänster.