建议何时使用 Azure DDoS 防护标准
分布式拒绝服务(DDoS)攻击是客户将应用程序迁移到云中面临的一些最大可用性和安全问题。 DDoS 攻击尝试耗尽应用程序的资源,使应用程序对合法用户不可用。 DDoS 攻击可以针对可通过 Internet 公开访问的任何终结点。
Azure DDoS 防护与应用程序设计最佳做法相结合,提供了增强的 DDoS 缓解功能来抵御 DDoS 攻击。 它会自动进行优化,以帮助保护虚拟网络中的特定 Azure 资源。 在任何新的或现有的虚拟网络上启用保护非常简单,无需进行任何应用程序或资源更改。
Azure DDoS 防护在第 3 层和第 4 层网络层进行保护。 对于第 7 层的 Web 应用程序保护,需要使用 WAF 产品/服务在应用程序层添加保护。
层
DDoS 网络保护
Azure DDoS 网络保护与应用程序设计最佳做法相结合,提供了增强的 DDoS 缓解功能来抵御 DDoS 攻击。 它会自动进行优化,以帮助保护虚拟网络中的特定 Azure 资源。
DDoS IP 保护
DDoS IP 防护是按付费保护的 IP 模型。 DDoS IP 防护包含与 DDoS 网络保护相同的核心工程功能,但在以下增值服务中将有所不同:DDoS 快速响应支持、成本保护和 WAF 折扣。
主要功能
不间断流量监控:应用程序的流量模式全天候、每周 7 天监控,检测DDoS攻击指标。 检测到攻击后,Azure DDoS 防护会立即自动缓解攻击。
自适应实时优化:智能流量分析会随着时间推移了解应用程序的流量,并选择和更新最适合你的服务的配置文件。 随着流量随时间的变化,资料会进行调整。
DDoS 防护的分析数据、指标和警报功能:在已启用 DDoS 的虚拟网络中,Azure DDoS 防护为每个公共 IP 应用三种自动调优的缓解策略(TCP SYN、TCP 和 UDP)。 策略阈值通过基于机器学习的网络流量分析自动配置。 仅当超过策略阈值时,才会针对受攻击的 IP 地址进行 DDoS 缓解。
- 攻击分析:在攻击期间每五分钟获取一次详细报告,并在攻击结束后进行完整总结。 将缓解流日志流式传输到 Microsoft Sentinel 或脱机安全信息和事件管理(SIEM)系统,以便在攻击期间进行准实时监视。
- 攻击指标:可通过 Azure Monitor 访问每个攻击的汇总指标。
- 攻击警报:可以使用内置攻击指标在攻击开始时和停止配置警报,并在攻击持续时间内配置警报。 警报集成到作软件中,例如Microsoft Azure Monitor 日志、Splunk、Azure 存储、电子邮件和 Azure 门户。
Azure DDoS 快速响应:在主动攻击期间,客户可以访问 DDoS 快速响应(DRR)团队,他们可以在攻击和攻击后分析期间帮助调查攻击。
原生平台集成:原生集成到 Azure 中。 包括通过 Azure 门户进行配置。 Azure DDoS 防护能够理解您的资源及其配置。
通键保护:启用 DDoS 网络保护后,简化的配置会立即保护虚拟网络上的所有资源。 无需干预或用户定义。 同样,简化的配置在启用 DDoS IP 保护时立即保护公共 IP 资源。
多层保护:使用 Web 应用程序防火墙(WAF)进行部署时,Azure DDoS 防护可在网络层(Azure DDoS 防护提供的第 3 层和第 4 层(由 Azure DDoS 防护提供)和应用程序层(WAF 提供的第 7 层)进行保护。
广泛的缓解规模:可以使用全球容量缓解所有 L3/L4 攻击途径,以防止最大的已知 DDoS 攻击。
成本保证:因已记录的 DDoS 攻击导致的资源成本,可获得用于数据传输和应用程序扩展的服务信用额度。
建筑
Azure DDoS 防护专为虚拟网络中部署的服务而设计。 对于其他服务,将应用默认基础结构级 DDoS 防护,该保护可抵御常见的网络层攻击。
定价
对于 DDoS 网络保护,在租户环境下,可以在多个订阅中使用单个 DDoS 保护计划,因此无需创建多个 DDoS 保护计划。 对于 DDoS IP 保护,无需创建 DDoS 保护计划。 客户可以在任何公共 IP 资源上启用 DDoS IP 保护。
最佳做法
通过遵循以下最佳做法,最大程度地提高 DDoS 保护和缓解策略的有效性:
- 考虑到冗余和复原能力,设计应用程序和基础结构。
- 实现多层安全方法,包括网络、应用程序和数据保护。
- 准备事件响应计划,确保协调响应 DDoS 攻击。