Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Následující části popisují klíčové funkce služby Azure DDoS Protection.
Neustálé monitorování provozu
Azure DDoS Protection monitoruje skutečné využití provozu a neustále ho porovnává s prahovými hodnotami definovanými v zásadách DDoS. Při překročení prahové hodnoty provozu se omezení rizik útoků DDoS spustí automaticky. Když se provoz vrátí pod prahové hodnoty, omezení rizik se zastaví.
Během zmírnění rizik se provoz odesílaný do chráněného prostředku přesměruje službou DDoS Protection a provádí se několik kontrol, například:
- Ujistěte se, že pakety odpovídají specifikacím internetu a nejsou poškozené.
- Interact with the client to determine if the traffic is potentially a spoofed packet (for example: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
- Pakety omezení rychlosti, pokud není možné provádět žádnou jinou metodu vynucení.
Azure DDoS Protection zahodí provoz útoku a přesměruje zbývající provoz do zamýšleného cíle. Během několika minut od detekce útoku budete upozorněni pomocí metrik služby Azure Monitor. Konfigurací protokolování telemetrie DDoS Protection můžete protokoly zapisovat do dostupných možností pro budoucí analýzu. Data metrik ve službě Azure Monitor pro DDoS Protection se uchovávají po dobu 30 dnů.
Adaptivní ladění v reálném čase
Složitost útoků (například více-vektorových DDoS útoků) a chování aplikace specifické pro nájemce vyžadují vlastní, na míru šité zásady ochrany pro každého zákazníka. Služba toho dosahuje pomocí dvou přehledů:
Automatické učení vzorů provozu podle jednotlivých zákazníků (podle veřejné IP adresy) pro vrstvu 3 a 4
Minimalizace falešně pozitivních výsledků vzhledem k tomu, že škálování Azure umožňuje absorbovat značné množství provozu.
Telemetrie, monitorování a upozorňování ochrany před DDoS útoky
Azure DDoS Protection zveřejňuje bohatou telemetrii prostřednictvím služby Azure Monitor. Můžete nakonfigurovat výstrahy pro libovolnou metriku služby Azure Monitor, kterou služba DDoS Protection používá. Protokolování můžete integrovat se službou Splunk (Azure Event Hubs), protokoly služby Azure Monitor a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.
Zásady zmírnění rizik služby Azure DDoS Protection
V Azure portálu vyberte Monitor>Metriky. V podokně Metriky vyberte skupinu prostředků, vyberte typ prostředku veřejné IP adresy a vyberte veřejnou IP adresu Azure. Metriky DDoS jsou viditelné v podokně Dostupné metriky .
DDoS Protection používá tři automaticky vyladěné zásady zmírnění rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti, která má povolenou službu DDoS. Prahové hodnoty zásad můžete zobrazit výběrem metriky Příchozí pakety pro aktivaci zmírnění útoků DDoS.
Prahové hodnoty zásad se automaticky konfigurují prostřednictvím profilace síťového provozu založeného na strojovém učení. Omezení rizik útoku DDoS se provádí u IP adresy, která je napadena, pouze když dojde k překročení prahové hodnoty zásad.
Další informace najdete v části Zobrazení a konfigurace telemetrie DDoS Protection.
Metrika pro IP adresu v rámci útoku DDoS
Pokud je veřejná IP adresa napadena, hodnota metriky Pod útokem DDoS nebo ne se změní na 1, protože DDoS Protection provádí zmírnění provozu útoku.
Doporučujeme nakonfigurovat upozornění na tuto metriku. Jakmile se na vaší veřejné IP adrese provede aktivní zmírnění rizik útoků DDoS, zobrazí se vám oznámení.
Další informace najdete v tématu Správa služby Azure DDoS Protection pomocí webu Azure Portal.
Web application firewall for resource attacks
Pokud jde o útoky na prostředky na aplikační vrstvě, měli byste nakonfigurovat firewall webových aplikací (WAF), aby pomohl zabezpečit webové aplikace. WAF kontroluje příchozí webový provoz a blokuje injektáže SQL, skriptování mezi weby, útoky DDoS a další útoky vrstvy 7. Azure poskytuje WAF jako funkci služby Application Gateway pro centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. K dispozici jsou další nabídky WAF od partnerů Azure, které můžou být vhodnější pro vaše potřeby prostřednictvím Azure Marketplace.
Dokonce i firewally webových aplikací jsou náchylné k objemovým útokům a útokům na vyčerpání stavů. Důrazně doporučujeme povolit službu DDoS Protection ve virtuální síti WAF, která pomáhá chránit před multilicenčními útoky a útoky na protokoly. Další informace najdete v části Referenční architektury služby Azure DDoS Protection.
Plánování ochrany
Plánování a příprava jsou zásadní pro pochopení toho, jak bude systém provádět během útoku DDoS. Návrh plánu reakce na řízení incidentů je součástí tohoto úsilí.
Pokud máte službu DDoS Protection, ujistěte se, že je povolená ve virtuální síti internetových koncových bodů. Konfigurace upozornění DDoS pomáhá neustále sledovat potenciální útoky na vaši infrastrukturu.
Monitorujte aplikace nezávisle. Porozumíte normálnímu chování aplikace. Připravte se na akci, pokud se aplikace během útoku DDoS nechová podle očekávání.
Zjistěte, jak vaše služby budou reagovat na útok testováním prostřednictvím simulací DDoS.
Další kroky
- Přečtěte si další informace o referenčních architekturách.