何时使用 Azure DDoS 防护
在这里,我们将比较 DDoS 基础结构防护服务和 DDoS 防护服务,以更好地了解升级的好处。 在本单元中,你将进一步了解 DDoS 防护 SKU 之间的主要区别,以及如何在应用程序中构建抵御 DDoS 攻击的复原能力。 你将使用此信息来确定哪个 SKU 适用于 Contoso。
在 Azure 上构建经历 DDoS 后可复原的服务
Azure DDoS 基础结构防护自动保护 Azure 中部署的每个服务,无需额外成本,也不需要更改应用程序或用户的配置。
在决定从 Azure DDoS 基础结构防护升级到 Azure DDoS 防护时,务必对关键 Azure 资源进行 DDoS 攻击风险分析。 即使有可用的内置 DDoS 服务,最好也不要只依赖部署后防护。 构建可复原的并且经过测试能够抵御拒绝服务攻击或快速从其恢复的应用程序非常重要。
用于提供工作负荷复原能力的 Azure 框架
Azure 团队已发布了一个用于设计工作负荷复原能力的框架。 此框架是一个指导原则的集合,你可以遵循这些原则来提高工作负荷的质量。
在构建或部署工作负荷时,必须针对以下方面进行设计:
- 安全性。 在开发生命周期中及早确定并记录安全要求。 此实践有助于确保安全性在整个应用程序生命周期中都是一个优先考虑的事项。 设计不当的应用程序可能会有低效的例程,这些例程会使用过多的资源,这可能导致服务中断,即使请求速率很低也是如此。
- 可伸缩性。 Azure 提供对应用程序进行水平自动缩放的功能,但如果出现 DDoS 攻击,你必须设计应用程序以满足此需求。 当应用程序依赖于服务的单一部署时,会导致单一故障点。 预配多个实例能够提高复原能力和可伸缩性。
- 深层防御。 深层防御是一种广为接受的策略,它使用多种安全措施来保护组织的资产。 通过分层设置甚至是重复设置 Azure 服务的安全防御,可以降低攻击成功的几率。 你还可以了解并理解内置 Azure 平台的功能,从而增强你的设计的安全性和健壮性。 使用 Azure 服务的另一个好处是减小了应用程序的攻击面。 深层防御纳入了组织的所有安全措施来解决与应用程序保护相关的所有问题。
这些措施可帮助你增强安全性并满足法规要求。 解决了构建在经历 DDoS 后可复原的应用程序的注意事项问题后,你现在需要确定你需要哪些 Azure DDoS 防护功能。 下表比较了 DDoS 防护层和 DDoS 基础结构防护层的主要功能。
功能 | DDoS 基础结构防护 | DDoS 网络保护 | DDoS IP 保护 |
---|---|---|---|
主动的流量监视和始终启用的检测 | 是 | 是 | 是 |
自动缓解攻击 | 是 | 是 | 是 |
可用性保证 | 否 | 是 | 是 |
成本保护 | 否 | 是 | 否 |
针对客户应用程序优化的缓解策略 | 否 | 是 | 是 |
指标和警报 | 否 | 是 | 是 |
缓解报告 | 否 | 是 | 是 |
缓解流日志 | 否 | 是 | 是 |
DDoS 快速响应支持 | 否 | 是 | 否 |
其他 DDoS 防护功能
使用 DDoS 防护时,流量始终保留在 Azure 区域内。 将流量保留在本地区域内还有助于提高性能,因为 DDoS 防护在 Azure 区域内执行攻击缓解措施。 Azure DDoS 防护可缓解最靠近应用程序的攻击流量。 但是,如果 Microsoft 确定攻击规模很大,则会使用全球范围内的 Azure 网络在攻击者发起攻击的地方抵御攻击。
Microsoft 使用此深层防御策略来保护你的后端服务和 Azure 服务,例如 Azure Front Door 和 Azure应用程序网关。
DDoS 防护提供了比 DDoS 基础结构防护更多的功能。 如果你确定某些应用程序是关键应用程序(例如大容量的创收电子商务网站),则建议选择 DDoS 防护。
你确定了 DDoS IP 保护 SKU 非常适用于你的小型组织,因为它是一种按 IP 付费的服务。 你已了解,在 Contoso 扩展其服务后,你可以切换到 DDoS 网络保护 SKU 以实现虚拟网络保护、DDoS 快速响应支持和成本保证。