使用 Azure DDoS 保護的時機
在這裡,我們會比較 DDoS 基礎結構保護服務和 DDoS 保護服務,以進一步了解升級的優點。 在本單元中,您將深入了解 DDoS 保護 SKU 之間的主要差異,以及如何在應用程式中建立對 DDoS 攻擊的復原能力。 您將使用此資訊來決定哪個 SKU 適合於 Contoso。
在 Azure 上建立 DDoS 復原服務
Azure DDoS 基礎結構保護會自動保護 Azure 中每個已部署的服務,不需額外費用,也不需要變更應用程式或使用者的設定。
當您決定要從 Azure DDoS 基礎結構保護升級為 Azure DDoS 保護時,請務必針對您的重要 Azure 資源進行 DDoS 攻擊的風險分析。 即使有內建的 DDoS 服務可用,最好也不要依賴部署後的保護。 建立具有復原能力並經過測試可承受或迅速從阻絕服務攻擊中復原的應用程式,是很重要的。
適用於工作負載復原的 Azure 架構
Azure 小組已發佈用來設計復原工作負載的架構。 此架構是指導準則的集合,您可以遵循這些原則來改善工作負載的品質。
建立或部署您的工作負載時,請務必將下列各項納入設計考量:
- 安全性。 及早在開發生命週期中識別及記錄安全性需求。 此做法可協助您確保安全性在應用程式的整個生命週期中具有優先權。 設計不良的應用程式可能會有使用過多資源的無效率常式,可能會導致服務中斷,甚至是低要求率。
- 可擴縮性。 Azure 可提供應用程式的水平自動調整功能,但如果發生 DDoS 攻擊,則您必須設計您的應用程式以符合此需求。 如果應用程式相依於服務的單一部署,則會建立單一失敗點。 佈建多個執行個體可讓系統更有彈性且更具延展性。
- 深層防禦。 深層防禦是一種接受使用多個安全性措施來保護組織資產的完整策略。 您可以藉由分層,甚至複製 Azure 服務的安全性防禦,來降低成功攻擊的機會。 您也可以藉由明白及了解內建 Azure 平台的功能,來增強設計的安全性和可靠性。 使用 Azure 服務的另一個優點是減少應用程式的受攻擊面。 深層防禦併入了所有組織的安全性措施,以解決保護應用程式的所有相關問題。
這些措施可協助您加強安全性並符合法規需求。 解決建立 DDoS 復原應用程式的考量之後,您現在需要判斷需要 Azure DDoS 保護的功能。 下表比較 DDoS 保護標準層級和 DDoS 基礎結構保護的主要功能。
| 功能 | DDoS 基礎結構保護 | DDoS 網路保護 | DDoS IP 保護 |
|---|---|---|---|
| 作用中的流量監視和隨時偵測 | Yes | .是 | Yes |
| 自動降低攻擊風險 | Yes | .是 | Yes |
| 可用性保證 | No | .是 | Yes |
| 成本保護 | No | .是 | No |
| 為客戶應用程式量身打造的風險降低原則 | No | .是 | Yes |
| 計量與警示 | No | .是 | Yes |
| 風險降低報告 | No | .是 | Yes |
| 風險降低流量記錄 | No | .是 | Yes |
| DDoS 快速回應支援 | No | .是 | No |
額外的 DDoS 保護功能
使用 DDoS 保護時,流量一律會保留在 Azure 區域內。 保持流量在本地區域內對效能也有幫助,因為 DDoS 保護會在 Azure 區域內降低攻擊風險。 Azure DDoS 保護可降低最接近應用程式的攻擊流量。 不過,如果 Microsoft 發現攻擊量很龐大,則會使用 Azure 網路的全域規模來保護攻擊來源。
Microsoft 會使用此深度防禦策略來保護您的後端服務和 Azure 服務,例如 Azure Front Door 和 Azure 應用程式閘道。
DDoS 保護提供比 DDoS 基礎結構保護更多的功能。 如果您判斷特定應用程式很重要 (例如,高容量、收益產生的電子商務網站),則建議選擇 DDoS 保護。
您決定了 DDoS IP 保護 SKU 對於您的小型組織來說非常適合,因為它是一種按 IP 支付的服務。 您知道,一旦 Contoso 擴充其服務,您可以切換到 DDoS 網路保護 SKU 來獲得虛擬網路保護、DDoS 快速回應支援及成本保證。