التوصية بوقت استخدام Azure DDoS Protection Standard

  • 7 دقائق

الهجوم الموزع لحجب الخدمة (DDoS) أحد أكبر المخاوف المتعلقة بالأمان والتوفّر التي تساور العملاء الذين ينقلون تطبيقاتهم إلى السحابة. يحاول هجوم رفض الخدمة الموزع (DDoS) استنفاد موارد التطبيق، ما يجعل التطبيق غير متاح للمستخدمين الشرعيين. يمكن استهداف هجمات DDoS في أي نقطة نهاية يمكن الوصول إليها بشكل عام عبر الإنترنت.

توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية. الحماية بسيطة لتمكين على أي شبكة ظاهرية جديدة أو موجودة، ولا تتطلب إجراء لأي تغييرات في التطبيق أو الموارد.

رسم تخطيطي يوضح مثالا على بنية رفض حماية الخدمة الموزعة من Azure.

يحمي Azure DDoS Protection في طبقات شبكة الطبقة 3 والطبقة 4. لحماية تطبيقات الويب في الطبقة 7، تحتاج إلى إضافة حماية في طبقة التطبيق باستخدام عرض WAF.

مستويات

حماية شبكة DDoS

توفر Azure DDoS Network Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات تخفيف DDoS محسنة للدفاع ضد هجمات DDoS. يتم ضبطها تلقائيًا للمساعدة في حماية موارد Azure المحددة في شبكة افتراضية.

DDoS IP Protection

DDoS IP Protection هو نموذج IP للدفع لكل حماية. تحتوي DDoS IP Protection على نفس الميزات الهندسية الأساسية مثل DDoS Network Protection، ولكنها ستختلف في الخدمات ذات القيمة المضافة التالية: دعم الاستجابة السريعة ل DDoS، وحماية التكلفة، والخصومات على WAF.

الميزات الأساسية

  • مراقبة دائمة لنسبة استخدام الشبكة: تُراقب أنماط نسبة استخدام الشبكة لتطبيقك على مدار الساعة طوال أيام الأسبوع بحثًا عن مؤشرات هجوم مُوزع لحجب الخدمة. تعمل حماية Azure DDoS على تخفيف حدة الهجوم على الفور وتلقائيًا بمجرد اكتشافه.

  • ضبط الوقت الحقيقي التكيفي: يتعلم جمع معلومات حركة المرور الذكية نسبة استخدام الشبكة لتطبيقك بمرور الوقت، ويحدد ملف التعريف الأكثر ملاءمة للخدمة ويحدثه. يتم ضبط ملف التعريف مع تغير نسبة استخدام الشبكة بمرور الوقت.

  • تحليلات حماية DDoS والمقاييس والتنبيه: تطبق Azure DDoS Protection ثلاثة نهج تخفيف تم ضبطها تلقائيا (TCP SYN وTCP وUDP) لكل عنوان IP عام للمورد المحمي، في الشبكة الظاهرية التي تم تمكين DDoS لها. تُكوّن حدود النُهج تلقائيًا عبر جمع معلومات نسبة استخدام الشبكة المستندة إلى التعلم الآلي. يحدث تخفيف DDoS لعنوان IP المُعرض للهجوم فقط عند تجاوز حد النهج.

    • تحليلات الهجوم: احصل على تقارير مُفصلة بزيادات مدتها خمس دقائق أثناء الهجوم، ومُلخص كامل بعد انتهاء الهجوم. يتم تسجيل تدفق تقليل النقل المستمر في Microsoft Sentinel أو نظام إدارة معلومات الأمان والأحداث غير المتصل (SIEM) للمراقبة القريبة من الوقت الحقيقي أثناء التعرض لأي هجوم.
    • مقاييس الهجوم: يمكن الوصول إلى المقاييس الموجزة من كل هجوم من خلال Azure Monitor.
    • تنبيهات الهجوم: يمكن تكوين التنبيهات عند بداية الهجوم ونهايته وخلال مدة الهجوم باستخدام مقاييس الهجوم المُضمنة. تتكامل التنبيهات في برنامجك التشغيلي مثل سجلات Microsoft Azure Monitor وSplunk وAzure Storage والبريد الإلكتروني ومدخل Azure.

  • الاستجابة السريعة ل Azure DDoS: أثناء الهجوم النشط، يمكن للعملاء الوصول إلى فريق الاستجابة السريعة ل DDoS (DRR)، الذين يمكنهم المساعدة في التحقيق في الهجوم أثناء الهجوم وتحليل ما بعد الهجوم.

  • تكامل محلي للنظام الأساسي: مُدمج محليًا في Azure. يتضمن التكوين من خلال مدخل Azure. يفهم Azure DDoS Protection مواردك وتكوين الموارد.

  • حماية مفتاح التشغيل: يحمي التكوين المبسط على الفور جميع الموارد على شبكة ظاهرية بمجرد تمكين حماية شبكة DDoS. لا يلزم التدخل أو تعريف المستخدم. وبالمثل، يحمي التكوين المبسط مورد IP عام على الفور عند تمكين DDoS IP Protection له.

  • الحماية متعددة الطبقات: عند نشرها باستخدام جدار حماية تطبيق ويب (WAF)، تحمي Azure DDoS Protection كلا من طبقة الشبكة (الطبقة 3 و4، التي تقدمها Azure DDoS Protection) وفي طبقة التطبيق (الطبقة 7، التي تقدمها WAF).

  • نطاق التخفيف الواسع النطاق: يمكن تخفيف جميع ناقلات الهجوم L3/L4، مع القدرة العالمية، للحماية من أكبر هجمات DDoS المعروفة.

  • ضمان التكلفة: يمكنك تلقي رصيد لخدمة توسيع نطاق التطبيق ونقل البيانات مقابل تكاليف الموارد المتكبدة نتيجة لهجمات DDoS الموثقة.

بناء الأنظمة

تم تصميم Azure DDoS Protection للخدمات التي يتم نشرها في شبكة ظاهرية. بالنسبة إلى الخدمات الأخرى، تنطبق حماية DDoS الافتراضية على مستوى البنية الأساسية، والتي تحمي من الهجمات الشائعة على مستوى الشبكة.

التسعير

بالنسبة إلى حماية شبكة DDoS، ضمن مستأجر، يمكن استخدام خطة حماية DDoS واحدة عبر اشتراكات متعددة، لذلك ليست هناك حاجة لإنشاء أكثر من خطة حماية DDoS واحدة. بالنسبة إلى DDoS IP Protection، ليست هناك حاجة لإنشاء خطة حماية DDoS. يمكن للعملاء تمكين حماية DDoS IP على أي مورد IP عام.

أفضل الممارسات

تكبير فعالية استراتيجية حماية DDoS والتخفيف منها باتباع أفضل الممارسات التالية:

  • تصميم التطبيقات والبنية الأساسية الخاصة بك مع مراعاة التكرار والمرونة.
  • تنفيذ نهج أمان متعدد الطبقات، بما في ذلك الشبكة والتطبيق وحماية البيانات.
  • إعداد خطة استجابة للحوادث لضمان استجابة منسقة لهجمات DDoS.