Nejčastější dotazy ke službě Azure DDoS Protection

Distribuovaný odepření služby (DDoS) je typ útoku, kdy útočník odesílá do aplikace více požadavků, než je aplikace schopná zpracovat. Výsledným účinkem jsou prostředky, které jsou vyčerpány, což má vliv na dostupnost aplikace a schopnost obsluhovat své zákazníky. V posledních několika letech zaznamenalo odvětví prudký nárůst útoků, přičemž útoky se stávají sofistikovanějšími a většími. Útoky DDoS je možné cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS, které brání útokům DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků. Další informace najdete v přehledu služby Azure DDoS Protection. 

Plány ochrany před útoky DDoS mají pevný měsíční poplatek, který pokrývá až 100 veřejných IP adres. K dispozici je ochrana pro další prostředky.

V rámci tenanta je možné použít jeden plán ochrany před útoky DDoS napříč několika předplatnými, takže není potřeba vytvářet více než jeden plán ochrany před útoky DDoS.

Když je služba Application Gateway s WAF nasazená ve virtuální síti chráněné službou DDoS, neplatíte za WAF žádné další poplatky – za službu Application Gateway platíte nižší sazbou než WAF. Tato zásada se vztahuje na skladové položky služby Application Gateway verze 1 i v2.

Další podrobnosti najdete na stránce s cenami služby Azure DDoS Protection.

Pokud potřebujete chránit méně než 15 prostředků veřejné IP adresy, je nákladově efektivnější možností úroveň ochrany IP adres. Pokud máte k ochraně více než 15 prostředků veřejné IP adresy, je úroveň Network Protection nákladově efektivnější. Network Protection také nabízí další funkce, včetně slev DDoS Protection Rapid Response (DRR), záruk ochrany nákladů a slev firewallu webových aplikací (WAF).

Ano. Služba Azure DDoS Protection je ve výchozím nastavení odolná proti zónám.

K zajištění odolnosti zón není nutná žádná konfigurace zákazníka. Odolnost proti zónám pro prostředky Azure DDoS Protection je ve výchozím nastavení dostupná a spravovaná samotnou službou.

Zákazníci můžou službu Azure DDoS Protection používat v kombinaci s firewallem webových aplikací (WAF) k ochraně v síťové vrstvě (vrstva 3 i 4, nabízená službou Azure DDoS Protection) a v aplikační vrstvě (vrstva 7, nabízená WAF). Nabídky WAF zahrnují skladovou položku WAF služby Azure Application Gateway a nabídky firewallu webových aplikací třetích stran dostupné na Azure Marketplace.

Služby spuštěné v Azure jsou ze své podstaty chráněné výchozí ochranou DDoS na úrovni infrastruktury. Ochrana, která chrání infrastrukturu, má mnohem vyšší prahovou hodnotu, než má většina aplikací kapacitu pro zpracování a neposkytuje telemetrii nebo upozorňování, takže zatímco objem provozu může být platformou vnímán jako neškodný, může to být pro aplikaci, která ji obdrží, zničující.

Onboardingem do služby Azure DDoS Protection získá aplikace vyhrazené monitorování pro detekci útoků a prahových hodnot specifických pro aplikace. Služba bude chráněná profilem, který je vyladěný na očekávaný objem provozu a poskytuje mnohem přísnější ochranu před útoky DDoS.

Veřejné IP adresy ve virtuálních sítích založených na ARM jsou v současné době jediným typem chráněného prostředku. Mezi chráněné prostředky patří veřejné IP adresy připojené k virtuálnímu počítači IaaS, nástroji pro vyrovnávání zatížení (Classic a Standard Load Balancers), clusteru Application Gateway (včetně WAF), brány firewall, bastionu, brány VPN Gateway, Service Fabric nebo síťového virtuálního zařízení založeného na IaaS (NVA). Ochrana také pokrývá rozsahy veřejných IP adres přenesených do Azure prostřednictvím vlastních předpon IP adres (BYOIPs).

Další informace o omezeních najdete v referenčních architekturách služby Azure DDoS Protection.

Ve verzi Preview se podporují jenom chráněné prostředky založené na ARM. Virtuální počítače v nasazeních Classic/RDFE se nepodporují. Podpora se v současné době neplánuje pro klasické nebo RDFE prostředky. Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Veřejné IP adresy připojené ke službám PaaS s více tenanty se v současné době nepodporují. Mezi nepodporované prostředky patří virtuální IP adresy úložiště, virtuální IP adresy služby Event Hubs a aplikace app/Cloud Services. Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Abyste mohli povolit ochranu před útoky DDoS, musíte mít veřejné koncové body vaší služby přidružené k virtuální síti v Azure. Mezi příklady návrhů patří:

• Weby (IaaS) v Azure a back-endové databáze v místním datacentru.
• Application Gateway v Azure (ochrana před útoky DDoS povolená ve službě App Gateway nebo WAF) a webech v místních datacentrech.

Další informace najdete v referenčních architekturách služby Azure DDoS Protection.

Ve scénářích s veřejnou IP adresou bude služba DDoS Protection podporovat jakoukoli aplikaci bez ohledu na to, kde je přidružená doména zaregistrovaná nebo hostovaná, pokud je přidružená veřejná IP adresa hostovaná v Azure.

Ne, v tuto chvíli bohužel není přizpůsobení zásad dostupné.

Ne, v tuto chvíli bohužel není k dispozici ruční konfigurace.

Podívejte se na testování prostřednictvím simulací.

Metriky by se měly zobrazit na portálu během 5 minut. Pokud je váš prostředek napadený, začnou se na portálu během 5 až 7 minut zobrazovat další metriky.

Ne, Ochrana před útoky Azure DDoS neukládá zákaznická data.

Scénáře, ve kterých je jeden virtuální počítač spuštěný za veřejnou IP adresou, ale nedoporučuje se. Zmírnění útoků DDoS nemusí okamžitě zahájit při zjištění útoku DDoS. V důsledku toho se nasazení jednoho virtuálního počítače, které nemůže škálovat na více instancí, v takových případech zhoršuje. Další informace najdete v tématu Základní osvědčené postupy.