ما هو Azure DDoS Protection؟

  • 12 دقائق

توفر Microsoft حماية البنية الأساسية ل DDoS لجميع عملاء Azure مجانا. تقدم Microsoft أيضا خدمات إضافية في خدمة DDoS Protection الخاصة بها.

حماية البنية الأساسية ل Azure DDoS أو حماية Azure DDoS

أنت تحقق من مزايا Contoso للترقية إلى Azure DDoS Protection لخدماتك التي تعمل في Azure. الدافع لتقييم خيار الترقية هذا، في توافق آراء خبراء الأمان موزع لحجب الخدمة، هو تزايد وتيرة هجمات موزع لحجب الخدمة وتطوره.

يجب ألا تكون نسبة استخدام الشبكة للهجوم في نطاق تيرابيت في الثانية الواحدة لإيقاف تشغيل أحد التطبيقات. يمكن أن يؤثر أي هجوم مستهدف محدد على توفر تطبيق يعمل في Azure، والذي يتلقى نسبة استخدام الشبكة من الإنترنت العام.

ما هو الهجوم الموزع لحجب الخدمة؟

في هجوم موزع لحجب الخدمة، يغمر المتسلل النظام عمدًا، مثل الخادم، وموقع الويب، أو غيرها من موارد الشبكة، مع نسبة وهمية لاستخدام الشبكة. يتم توصيل أجهزة الكمبيوتر في شبكة أوامر وتحكم منسقة، تسمى botnet. جهة خارجية ضارة تتحكم في البرامج المتصل بالإنترنت لإطلاق هجوم موزع لحجب الخدمة. يؤدي النشاط إلى رفض الخدمات للمستخدمين الشرعيين، من خلال غمر قدرات الخدمة. يمكن استهداف هجمات موزع لحجب الخدمة في أي نقطة نهاية يمكن الوصول إليها بشكل عام من خلال الإنترنت.

الصورة التالية تصور هجومًا موزعًا لحجب الخدمة نموذجي من برنامج متصل بالإنترنت.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

بعض هجمات موزع لحجب الخدمة الشائعة هي:

  • هجمات حجمية. هذه الهجمات تستخدم أنظمة متعددة مصابة لغمر طبقة الشبكة مع كمية كبيرة من نسبة استخدام الشبكة التي تبدو مشروعة. الأنظمة المتعددة المخترقة عادة ما تكون جزءًا من برنامج متصل بالإنترنت إجرامي. أنواع هجمات موزع لحجب الخدمة الحجمي هي:

    • عمليات غمر بروتوكول مخطط بيانات المستخدم. يرسل المتطفل حزم بروتوكول مخطط بيانات المستخدم، عادةً كبيرة، إلى وجهة واحدة أو إلى منافذ عشوائية. يمكن للأنظمة المهاجمة تزييف هوية عنوان IP الخاص بهم بسهولة، لأن بروتوكول مخطط بيانات المستخدم بدون اتصال.
    • عمليات غمر التضخيم. يتم غمر خادم DNS بطلبات شرعية على ما يبدو للخدمة. هدف المتطفل هو التشبع من خدمة DNS عن طريق استنفاد سعة عرض النطاق الترددي.
    • عمليات غمر أخرى للحزمة المزيفة للهوية. إرسال كميات هائلة من نسبة استخدام الشبكة زائفة إلى مورد.

  • هجمات البروتوكول. تستهدف هذه الهجمات الطبقة 3 أو الطبقة 4 من نموذج OSI. تستغل نقطة ضعف في بروتوكول تحكم الإرسال. مثال على هجوم موزع لحجب الخدمة المستند إلى بروتوكول غمر SYN ببروتوكول تحكم الإرسال الذي يستغل جزء من تأكيد اتصال. يرسل المتطفل سلسلة طلبات SYN لبروتوكول تحكم الإرسال، لتجاهل رد SYN+ACK. هذا الهجوم موجه نحو هدف بهدف غمر الهدف وجعله غير مستجيب.

  • هجمات طبقة الموارد (التطبيق). تستهدف هجمات الموارد الطبقة "العليا" في نموذج OSI لتعطيل نقل البيانات بين المضيفين. تتضمن هذه الهجمات طبقة-7 لتستغل بروتوكول HTTP، وحقنة هجمات SQL، والبرمجة النصية عبر المواقع، وهجمات التطبيقات الأخرى.

عروض Azure DDoS Protection

حماية موزع لحجب الخدمة تشبه نظام النسخ الاحتياطي الآمن والوظيفي. قيمة النسخ الاحتياطي لمؤسستك غير واضحة حتى تكون هناك حاجة إليها. توفر حماية موزع لحجب الخدمة، مثل النسخ الاحتياطي، تخفيف المخاطر ضد التهديدات المحتملة.

حماية البنية الأساسية ل DDoS

يوفر Azure حماية مستمرة ضد هجمات موزع لحجب الخدمة. لا تخزن حماية DDoS بيانات العملاء. بدون تكلفة إضافية، تحمي Azure DDoS Infrastructure Protection كل خدمة Azure تستخدم عناوين IPv4 وIPv6 العامة. تساعد خدمة حماية موزع لحجب الخدمة هذه على حماية كافة خدمات Azure، بما في ذلك النظام الأساسي كخدمة (PaaS) مثل Azure DNS. لا تتطلب DDoS Infrastructure Protection تكوين المستخدم أو تغييرات التطبيق.

توفر Azure DDoS Infrastructure Protection ما يلي:

  • مراقبة نسبة استخدام الشبكة النشطة والكشف قيد التشغيل. تراقب DDoS Infrastructure Protection أنماط حركة مرور التطبيق الخاص بك طوال اليوم، كل يوم، والبحث عن مؤشرات هجمات DDoS.
  • تخفيف من مخاطر الهجوم التلقائي. بمجرد الكشف عن الهجوم، يتم تخفيفه.
  • اتفاقية مستوى خدمة DDoS Infrastructure Protection (SLA)، والتي تستند إلى منطقة Azure مع دعم أفضل جهد.

الخدمات التي تعمل على Azure محمية بطبيعتها بواسطة حماية DDoS على مستوى البنية الأساسية الافتراضية. ومع ذلك، فإن الحماية التي تحمي البنية الأساسية لها حد أعلى بكثير من معظم التطبيقات لديها القدرة على التعامل معها، ولا توفر بيانات تتبع الاستخدام أو التنبيه، لذلك في حين أن حجم حركة المرور قد ينظر إليه على أنه غير ضار من قبل النظام الأساسي، فإنه يمكن أن يكون مدمرا للتطبيق الذي يتلقاه.

من خلال الإلحاق بخدمة Azure DDoS Protection، يحصل التطبيق على مراقبة مخصصة للكشف عن الهجمات والحدود الخاصة بالتطبيق. سيتم حماية الخدمة بملف تعريف يتم ضبطه مع حجم نسبة استخدام الشبكة المتوقع، مما يوفر دفاعاً أكثر إحكاماً ضد هجمات DDoS.

حماية شبكة Azure DDoS

توفر حماية شبكة DDoS ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية.

تصف القائمة التالية ميزات وفوائد حماية شبكة DDoS:

  • حماية 100 من موارد IP العامة.
  • وتوفر بيانات تعريفية لنسبة استخدام الشبكة الذكية، والتي ستتعرف عليها في الوحدة التالية.
  • توفر تكاملاً أصليًا في مدخل Azure للإعداد والتوزيع. يتيح هذا المستوى من التكامل ل DDoS Protection تحديد موارد Azure وتكويناتها.
  • عند تمكين DDoS Network Protection لشبكة ظاهرية، تتم حماية جميع الموارد الموجودة على تلك الشبكة تلقائيا. ولا يلزم اتخاذ أي إجراء إداري آخر.
  • موارد الشبكة الخاصة بك تحت مراقبة نسبة استخدام الشبكة ثابتة لمؤشرات هجوم موزع لحجب الخدمة. بمجرد اكتشافه، تتدخل DDoS Network Protection وتخفف من الهجوم تلقائيا.
  • يساعد على تأمين الطبقات 3 و4 في طبقة الشبكة. كما يوفر حماية التطبيق (الطبقة 7) مع Azure Web Application Firewall، المضمن مع بوابة Azure. نظرا لأن بوابة Azure وجدار حماية تطبيق الويب مواجهان للإنترنت، فإن حماية DDoS تحمي واجهات الشبكة الخاصة بهم. استراتيجية الحماية هذه هي مثال على الحماية متعددة الطبقات أو الدفاعية المتعمقة.
  • ويقدم تقارير تحليلية مفصلة عن الهجوم خلال الهجوم على فترات مدتها خمس دقائق وتقرير بعد اتخاذ إجراء للحصول على ملخص كامل للحدث، عندما ينتهي الهجوم.
  • يتضمن دعمًا لدمج سجلات التخفيف من المخاطر عن طريق Microsoft Defender for Cloud أو Microsoft Sentinel أو نظام إدارة معلومات الأمان والأحداث غير المتصل (SIEM) لإجراء مراقبة شبه آنية عند التعرض لهجوم ما.
  • يجمع Azure Monitor مراقبة القياس عن بعد من حماية شبكة DDoS للوصول إلى مقاييس الهجوم الملخصة.

Azure DDoS IP Protection

DDoS IP Protection هو نموذج IP للدفع لكل حماية. تحتوي DDoS IP Protection على نفس الميزات الهندسية الأساسية مثل DDoS Network Protection، ولكنها ستختلف في الخدمات ذات القيمة المضافة التالية:

  • دعم الاستجابة السريعة لموزع لحجب الخدمة
  • حماية التكلفة
  • خصومات على WAF.

خدمات ذات قيمة مضافة

ضمان التكلفة ودعم الاستجابة السريعة ل DDoS هما من ميزات حماية شبكة DDoS المهمة الأخرى.

ضمان التكلفة

في بداية هجوم DDoS، غالبا ما تؤدي الزيادة في النطاق الترددي للشبكة و/أو زيادة عدد الأجهزة الظاهرية إلى تشغيل التوسيع التلقائي للخدمة التي تعمل في Azure.

إشعار

يتلقى العملاء الذين تم إلحاقهم ب DDoS Protection رصيد الخدمة لتوسيع نطاق التطبيق وتكلفة النطاق الترددي للشبكة التي يتحملونها أثناء هجوم موزع لحجب الخدمة موثق. توفر Microsoft هذا الرصيد مباشرةً.

دعم الاستجابة السريعة لموزع لحجب الخدمة

أنشأت Microsoft فريق الاستجابة السريعة لحماية موزع لحجب الخدمة. يمكنك الاتصال بهذا الفريق للحصول على المساعدة في أثناء هجوم موزع لحجب الخدمة وطلب تحليل لاحق للهجوم. يتبع فريق الاستجابة السريعة لحماية موزع لحجب الخدمة نموذج دعم الاستجابة السريعة من Azure.

يمكنك إعلام الفريق بفتح طلب دعم على مدخل Azure. اتصل بالفريق إذا:

  • تخطط شركتك لحدث ظاهري من المتوقع أن يزيد بشكل كبير من نسبة استخدام الشبكة.
  • هناك هجوم يحط بشدة من أداء نظام الأعمال الهام المحمي.
  • يحدد فريق الأمان الخاص بك أن الموارد المحمية تتعرض للهجوم، ولكن حماية DDoS لا تخفف من الهجوم بشكل فعال.