ما هو Azure DDoS Protection؟

  • مقالة

الهجوم الموزع لحجب الخدمة (DDoS) أحد أكبر المخاوف المتعلقة بالأمان والتوفّر التي تساور العملاء الذين ينقلون تطبيقاتهم إلى السحابة. يحاول هجوم رفض الخدمة الموزع (DDoS) استنفاد موارد التطبيق، ما يجعل التطبيق غير متاح للمستخدمين الشرعيين. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. الحماية بسيطة لتمكين على أي شبكة ظاهرية جديدة أو موجودة، ولا تتطلب إجراء لأي تغييرات في التطبيق أو الموارد.

Diagram of the reference architecture for an Azure DDoS protected PaaS web application.

يحمي Azure DDoS Protection في طبقات شبكة الطبقة 3 والطبقة 4. لحماية تطبيقات الويب في الطبقة 7، تحتاج إلى إضافة حماية في طبقة التطبيق باستخدام عرض WAF. لمزيد من المعلومات، راجع حماية تطبيق DDoS.

مستويات

حماية شبكة DDoS

توفر Azure DDoS Network Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. لمزيد من المعلومات حول تمكين حماية شبكة DDoS، راجع التشغيل السريع: إنشاء وتكوين حماية شبكة Azure DDoS باستخدام مدخل Microsoft Azure.

DDoS IP Protection

DDoS IP Protection هو نموذج IP للدفع لكل حماية. تحتوي DDoS IP Protection على نفس الميزات الهندسية الأساسية مثل DDoS Network Protection، ولكنها ستختلف في الخدمات ذات القيمة المضافة التالية: دعم الاستجابة السريعة ل DDoS، وحماية التكلفة، والخصومات على WAF. لمزيد من المعلومات حول تمكين DDoS IP Protection، راجع التشغيل السريع: إنشاء وتكوين Azure DDoS IP Protection باستخدام Azure PowerShell.

لمزيد من المعلومات حول المستويات، راجع مقارنة طبقة حماية DDoS.

الميزات الأساسية

  • مراقبة دائمة لنسبة استخدام الشبكة: تُراقب أنماط نسبة استخدام الشبكة لتطبيقك على مدار الساعة طوال أيام الأسبوع بحثًا عن مؤشرات هجوم مُوزع لحجب الخدمة. تقوم Azure DDoS Protection على الفور وبشكل تلقائي بتخفيف الهجوم، بمجرد اكتشافه.

  • ضبط الوقت الحقيقي التكيفي: يتعلم جمع معلومات حركة المرور الذكية نسبة استخدام الشبكة لتطبيقك بمرور الوقت، ويحدد ملف التعريف الأكثر ملاءمة للخدمة ويحدثه. يتم ضبط ملف التعريف مع تغير نسبة استخدام الشبكة بمرور الوقت.

  • تحليلات حماية DDoS والمقاييس والتنبيه: تطبق Azure DDoS Protection ثلاثة نهج تخفيف تم ضبطها تلقائيا (TCP SYN وTCP وUDP) لكل عنوان IP عام للمورد المحمي، في الشبكة الظاهرية التي تم تمكين DDoS لها. تُكوّن حدود النُهج تلقائيًا عبر جمع معلومات نسبة استخدام الشبكة المستندة إلى التعلم الآلي. يحدث تخفيف DDoS لعنوان IP المُعرض للهجوم فقط عند تجاوز حد النهج.

    • تحليلات الهجوم: احصل على تقارير مُفصلة بزيادات مدتها خمس دقائق أثناء الهجوم، ومُلخص كامل بعد انتهاء الهجوم. يتم تسجيل تدفق تقليل النقل المستمر في Microsoft Sentinel أو نظام إدارة معلومات الأمان والأحداث غير المتصل (SIEM) للمراقبة القريبة من الوقت الحقيقي أثناء التعرض لأي هجوم. راجع ⁧⁩عرض وتكوين التسجيل التشخيصي لـ DDoS⁧⁩ لمعرفة المزيد.

    • مقاييس الهجوم: يمكن الوصول إلى المقاييس الموجزة من كل هجوم من خلال Azure Monitor. راجع عرض وتكوين بيانات تتبع استخدام حماية DDoS لمعرفة المزيد.

    • تنبيهات الهجوم: يمكن تكوين التنبيهات عند بداية الهجوم ونهايته وخلال مدة الهجوم باستخدام مقاييس الهجوم المُضمنة. تتكامل التنبيهات في برنامجك التشغيلي مثل سجلات Microsoft Azure Monitor وSplunk وAzure Storage والبريد الإلكتروني ومدخل Azure. راجع عرض تنبيهات حماية DDoS وتكوينها لمعرفة المزيد.

  • الاستجابة السريعة ل Azure DDoS: أثناء الهجوم النشط، يمكن للعملاء الوصول إلى فريق الاستجابة السريعة ل DDoS (DRR)، الذين يمكنهم المساعدة في التحقيق في الهجوم أثناء الهجوم وتحليل ما بعد الهجوم. لمزيد من المعلومات، اطلع على الاستجابة السريعة لـ Azure DDoS.

  • تكامل محلي للنظام الأساسي: مُدمج محليًا في Azure. يتضمن التكوين من خلال مدخل Azure. يفهم Azure DDoS Protection مواردك وتكوين الموارد.

  • حماية مفتاح التشغيل: يحمي التكوين المبسط على الفور جميع الموارد على شبكة ظاهرية بمجرد تمكين حماية شبكة DDoS. لا يلزم التدخل أو تعريف المستخدم. وبالمثل، يحمي التكوين المبسط مورد IP عام على الفور عند تمكين DDoS IP Protection له.

  • الحماية متعددة الطبقات: عند نشرها باستخدام جدار حماية تطبيق ويب (WAF)، تحمي Azure DDoS Protection كلا من طبقة الشبكة (الطبقة 3 و4، التي تقدمها Azure DDoS Protection) وفي طبقة التطبيق (الطبقة 7، التي تقدمها WAF). تشتمل عروض WAF على Azure Application بوابة WAF SKU وعروض جدار حماية تطبيقات الويب التابعة لجهات خارجية المتوفرة في Azure Marketplace.

  • نطاق التخفيف الواسع النطاق: يمكن تخفيف جميع ناقلات الهجوم L3/L4، مع القدرة العالمية، للحماية من أكبر هجمات DDoS المعروفة.

  • ضمان التكلفة: يمكنك تلقي رصيد لخدمة توسيع نطاق التطبيق ونقل البيانات مقابل تكاليف الموارد المتكبدة نتيجة لهجمات DDoS الموثقة.

الهندسة

تم تصميم Azure DDoS Protection للخدمات التي يتم نشرها في شبكة ظاهرية. بالنسبة إلى الخدمات الأخرى، تنطبق حماية DDoS الافتراضية على مستوى البنية الأساسية، والتي تحمي من الهجمات الشائعة على مستوى الشبكة. لمعرفة المزيد حول الهياكل المعتمدة، راجع هياكل مرجع DDoS Protection.

التسعير

بالنسبة إلى حماية شبكة DDoS، ضمن مستأجر، يمكن استخدام خطة حماية DDoS واحدة عبر اشتراكات متعددة، لذلك ليست هناك حاجة لإنشاء أكثر من خطة حماية DDoS واحدة. بالنسبة إلى DDoS IP Protection، ليست هناك حاجة لإنشاء خطة حماية DDoS. يمكن للعملاء تمكين حماية DDoS IP على أي مورد IP عام.

للتعرف على أسعار Azure DDoS Protection، راجع تسعير Azure DDoS Protection.

أفضل الممارسات

تكبير فعالية استراتيجية حماية DDoS والتخفيف منها باتباع أفضل الممارسات التالية:

  • تصميم التطبيقات والبنية الأساسية الخاصة بك مع مراعاة التكرار والمرونة.
  • تنفيذ نهج أمان متعدد الطبقات، بما في ذلك الشبكة والتطبيق وحماية البيانات.
  • إعداد خطة استجابة للحوادث لضمان استجابة منسقة لهجمات DDoS.

لمعرفة المزيد حول أفضل الممارسات، راجع أفضل الممارسات الأساسية.

الأسئلة المتداولة

للاطلاع على الأسئلة المتداولة، راجع الأسئلة المتداولة حول حماية DDoS.

الخطوات التالية