Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak implementovat ochranu před útoky DDoS vložené vrstvy 7 (L7) pro úlohy citlivé na latenci v Azure pomocí Nástroje pro vyrovnávání zatížení brány a virtuálních zařízení partnerských sítí. Dozvíte se o scénářích, architektuře, krocích nasazení a osvědčených postupech pro komplexní zmírnění rizik útoků DDoS.
Přehled
Azure DDoS Protection poskytuje robustní nepřetržitou obranu na síťové vrstvě (L3/4), která rychle detekuje a snižuje riziko útoků během 30 až 60 sekund. I když se zaměřuje na ochranu před objemovými a protokolovými hrozbami, může být pro ještě větší zabezpečení přidána kontrola aplikační vrstvy (L7).
Některé úlohy, jako jsou hry, webové aplikace, finanční služby a streamovací služby, požadují velmi nízkou latenci a nepřetržitou ochranu. U těchto scénářů zajišťuje vložená ochrana, že veškerý provoz je proaktivně směrován přes kanál ochrany před útoky DDoS. Tento přístup nejen zajišťuje okamžité zmírnění rizik, ale také umožňuje hloubkovou kontrolu datových částí paketů, což pomáhá zjišťovat a blokovat útoky s nízkým objemem, které cílí na ohrožení zabezpečení na aplikační vrstvě (L7).
Partnerská virtuální síťová zařízení nasazená pomocí Vyrovnávání zatížení brány a integrovaná se službou Azure DDoS Protection nabízejí komplexní vloženou ochranu před útoky DDoS pro scénáře s vysokou dostupností a výkonem. Tato kombinace poskytuje L3-L7 ochranu před objemovými útoky DDoS a útoky DDoS s nízkou intenzitou.
Scénáře
Ochrana před útoky DDoS vložená L7 je cenná pro:
- Webové aplikace: Chrání před záplavami HTTP a pomalými útoky.
- Finanční služby: Chrání transakční systémy před cílovými útoky na aplikační vrstvu.
- Služby streamování: Zajišťuje nepřerušované streamování zmírněním útoků malého rozsahu a cílených útoků.
- Herní úlohy: Zabraňuje krátkým výpadkům a přerušením způsobeným cílenými útoky na herní servery.
Co je Nástroj pro vyrovnávání zatížení brány?
Gateway Load Balancer je typ Azure Load Balanceru navržený pro vysoce výkonné a vysoce dostupné scénáře s NVAs třetích stran.
Pomocí Nástroje pro vyrovnávání zatížení brány můžete snadno nasazovat, škálovat a spravovat síťová virtuální zařízení. Nástroj pro vyrovnávání zatížení brány můžete připojit ke svému veřejnému koncovému bodu pomocí jediného kroku konfigurace. Tato funkce umožňuje přidat síťové virtuální přístroje do síťové cesty pro scénáře, jako jsou brány firewall, pokročilé analýzy paketů, systémy detekce neoprávněných vniknutí, systémy prevence neoprávněných vniknutí nebo jiná vlastní řešení. Nástroj pro vyrovnávání zatížení brány také udržuje symetrii toku ke konkrétní instanci v back-endovém fondu a zajišťuje konzistenci relace.
Další informace najdete v tématu Nástroj pro vyrovnávání zatížení brány.
Architektura
Útoky DDoS na úlohy citlivé na latenci, jako je hraní her, můžou způsobit výpadky trvající 2 až 10 sekund a narušit dostupnost. Nástroj Gateway Load Balancer umožňuje ochranu těchto úloh tím, že zajišťuje vložení příslušných síťových virtuálních zařízení do cesty příchozího internetového provozu. Jakmile připojíte Load Balancer brány k front-endu veřejného Load Balanceru úrovně Standard nebo ke konfiguraci IP virtuálního počítače, provoz do a z koncového bodu aplikace se automaticky směruje přes Load Balancer brány – není zapotřebí žádná další konfigurace.
Příchozí provoz kontrolují NVAs (síťová virtuální zařízení) a čistý provoz se vrací do backendové infrastruktury (například herních serverů).
Provoz proudí z virtuální sítě příjemce do virtuální sítě poskytovatele a pak se vrátí do virtuální sítě příjemce. Virtuální sítě uživatelů a poskytovatelů můžou být v různých předplatných, tenantech nebo oblastech, což umožňuje větší flexibilitu a snadnou správu.
Kroky toku provozu:
- Provoz z internetu se připojuje k veřejné IP adrese Standardního Load Balanceru.
- Provoz se přesměruje do Vyrovnávače zatížení brány, který jej přesměruje do partnerských síťových virtuálních zařízení.
- Síťová virtuální zařízení (NVAs) kontrolují a filtrují provoz, zmírňují útoky na úrovni L7.
- Čistý provoz se vrací na backend servery ke zpracování.
- Azure DDoS Protection poskytuje další ochranu L3/L4 v Load Balanceru úrovně Standard.
Povolení služby Azure DDoS Protection ve virtuální síti front-endu veřejného nástroje pro vyrovnávání zatížení úrovně Standard nebo virtuálního počítače chrání před útoky DDoS typu L3/4.
Podrobné pokyny k nasazení najdete v tématu Ochrana veřejného nástroje pro vyrovnávání zatížení pomocí služby Azure DDoS Protection.
Osvědčené postupy
Pokud chcete zajistit efektivní ochranu před útoky DDoS pomocí Nástroje pro vyrovnávání zatížení brány a partnerských síťových virtuálních zařízení, postupujte podle těchto osvědčených postupů.
Odpovídajícím způsobem škálujte síťová virtuální zařízení pro zpracování objemu provozu ve špičce:
Ujistěte se, že vaše síťová virtuální zařízení mají velikost a jsou nakonfigurovaná tak, aby vyhovovala nejvyšší očekávané úrovni provozu. Nedostatečně zřízené síťové virtuální zařízení se můžou stát kritickým bodem, což snižuje efektivitu zmírnění rizik útoků DDoS a potenciálně ovlivňuje výkon aplikace. Pomocí monitorovacích nástrojů Azure můžete sledovat vzory provozu a podle potřeby upravit škálování. Další informace najdete v tématu Azure Monitor a Network Watcher.
Nasazujte síťová virtuální zařízení v konfiguraci s vysokou dostupností, abyste se vyhnuli jediným bodům selhání:
Nakonfigurujte několik síťových virtuálních zařízení v konfiguraci aktivní-aktivní nebo aktivní-pasivní, abyste zajistili nepřetržitou ochranu, i když jedno zařízení selže nebo vyžaduje údržbu. Pomocí sond stavu služby Azure Load Balancer můžete monitorovat stav síťového virtuálního zařízení a automaticky přesměrovat provoz, jestliže se instance stane nedostupnou. Další informace najdete v tématu Sondy stavu Azure Load Balanceru.
Pravidelné monitorování a ladění síťových virtuálních zařízení za účelem zajištění optimálního výkonu:
Nepřetržitě monitorujte výkon a stav síťových virtuálních zařízení pomocí řídicích panelů specifických pro Azure Monitor, Network Watcher a síťové virtuální zařízení. Zkontrolujte protokoly a výstrahy o neobvyklé aktivitě nebo snížení výkonu. Pravidelně aktualizujte software a podpisy NVA, abyste se chránili před nejnovějšími hrozbami.
Otestujte nastavení ochrany před útoky DDoS a ověřte kompletní tok provozu a zmírnění rizik:
Pravidelně simulujte scénáře útoků DDoS a proveďte testy převzetí funkce při selhání, abyste zajistili, že systém ochrany funguje podle očekávání. Ověřte, že provoz prochází síťovými virtuálními zařízeními podle očekávání a že se správně aktivují mitigační akce. Zdokumentujte výsledky testu a podle potřeby aktualizujte konfiguraci nebo runbooky, abyste vyřešili případné problémy. Další informace naleznete v tématu Testování ochrany před útoky DDoS.
Další kroky
- Další informace o našem spouštěcím partnerovi A10 Networks
- Přečtěte si další informace o Nástroji pro vyrovnávání zatížení brány.
- Přečtěte si další informace o službě Azure Private Link a o tom, jak ji můžete používat s nástrojem pro vyrovnávání zatížení brány.
- Přečtěte si další informace o architektuře Azure DDoS Protection.