就何时使用 Azure DDoS 防护标准层提供建议
分布式拒绝服务 (DDoS) 攻击是将应用程序移动到云的客户所面临的一些最大的可用性和安全性问题。 DDoS 攻击尝试耗尽应用程序的资源,使应用程序对于合法用户不可用。 DDoS 攻击可能会将任何可通过 Internet 公开访问的终结点作为目标。
Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。 可在任何新的或现有的虚拟网络上启用保护,且无需对应用程序或资源做出任何更改。
Azure DDoS 防护在第 3 层和第 4 层网络层进行保护。 对于第 7 层的 Web 应用程序保护,需要使用 WAF 产品/服务在应用程序层添加保护。
层
DDoS 网络保护
Azure DDoS 网络保护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。
DDoS IP 保护
DDoS IP 保护是一种按受保护 IP 进行计费的模型。 DDoS IP 保护包含与 DDoS 网络保护相同的核心工程功能,但在以下增值服务中将有所不同:DDoS 快速响应支持、成本保护和 WAF 折扣。
关键功能
始终可用的流量监视:全天候监视应用程序流量模式,以寻找 DDoS 攻击的迹象。 一旦检测到攻击,Azure DDoS 防护会立即自动缓解攻击。
自适应实时优化:智能流量分析了解一段时间的应用程序流量,并选择和更新最适合你的服务的配置文件。 当流量随时间变化时,配置文件将进行调整。
DDoS 防护分析、指标和警报:Azure DDoS 防护对启用了 DDoS 的虚拟网络中受保护资源的每个公共 IP 应用三种自动优化的缓解策略(TCP SYN、TCP 和 UDP)。 策略阈值是通过基于机器学习的网络流量分析自动配置的。 仅当超过策略阈值时,才会对受攻击的 IP 地址进行 DDoS 缓解。
- 攻击分析:在攻击期间以五分钟为增量获取详细报告,在攻击结束后获取完整摘要。 将缓解流日志流式传输到 Microsoft Sentinel 或离线安全信息和事件管理 (SIEM) 系统,以便在攻击期间进行准实时监视。
- 攻击指标:可以通过 Azure Monitor 访问每个攻击的汇总指标。
- 攻击警报: 可以使用内置攻击指标在攻击开始和停止时以及攻击持续期间配置警报。 警报会集成到操作软件中,如 Microsoft Azure Monitor 日志、Splunk、Azure 存储、电子邮件和 Azure 门户。
Azure DDoS 快速响应:在主动攻击期间,客户有权联系 DDoS 快速响应 (DRR) 团队,该团队可在攻击过程中帮助进行攻击调查,并且可在攻击之后帮助进行分析。
本机平台集成:本机集成到 Azure 中。 包括通过 Azure 门户进行配置。 Azure DDoS 防护了解你的资源和资源配置。
统包保护:启用 DDoS 网络保护后,简化后的配置会立即保护虚拟网络上的所有资源。 要求没有干预或用户定义。 同样,启用 DDoS IP 保护后,简化后的配置会立即保护公共 IP 资源。
多层保护:与 Web 应用程序防火墙 (WAF) 一起部署时,Azure DDoS 防护在网络层(由 Azure DDoS 防护提供支持的第 3 层和第 4 层)和应用程序层(由 WAF 提供支持的第 7 层)均提供保护。
广泛的缓解规模:可以使用全球容量缓解所有 L3/L4 攻击途径,从而防止最大的已知 DDoS 攻击。
成本保证:获得因记录的 DDoS 攻击而产生的资源成本的数据传输和应用程序横向扩展服务额度。
体系结构
Azure DDoS 防护面向虚拟网络中部署的服务。 对于其他服务,会应用默认的基础结构级 DDoS 防护,这可防范常见网络层攻击。
定价
对于 DDoS 网络保护,在租户下,可以跨多个订阅使用单个 DDoS 防护计划,因此无需创建多个 DDoS 防护计划。 对于 DDoS IP 保护,无需创建 DDoS 防护计划。 客户可对任何公共 IP 资源启用 DDoS IP 保护。
最佳方案
请通过遵循以下最佳做法来最大程度地提高 DDoS 防护和缓解策略的有效性:
- 在设计应用程序和基础结构时考虑到冗余和复原能力。
- 实现多层安全方法,包括网络、应用程序和数据保护。
- 准备事件响应计划,确保对 DDoS 攻击的协调响应。