Ochrana před útoky DDoS ve službě Front Door

  • Článek

Azure Front Door je síť pro doručování obsahu (CDN), která vám pomůže chránit vaše původy před útoky DDoS http(S) tím, že distribuuje provoz napříč svými 192 hraničními ip adresami po celém světě. Tyto pops využívají naši rozsáhlou privátní síť WAN k rychlejšímu a bezpečnějšímu doručování webových aplikací a služeb koncovým uživatelům. Azure Front Door zahrnuje také ochranu před útoky DDoS vrstvy 3, 4 a 7 a firewall webových aplikací (WAF), které pomáhají chránit vaše aplikace před běžným zneužitím a ohrožením zabezpečení.

Ochrana před útoky DDoS infrastruktury

Azure Front Door přináší výhody výchozí ochrany před útoky DDoS infrastruktury Azure. Tato ochrana monitoruje a snižuje útoky na síťovou vrstvu v reálném čase pomocí globálního škálování a kapacity sítě služby Front Door. Tato ochrana má osvědčený záznam o tom, jak chránit podnikové a spotřebitelské služby Microsoftu před rozsáhlými útoky.

Blokování protokolu

Azure Front Door podporuje pouze protokoly HTTP a HTTPS a pro každý požadavek vyžaduje platnou hlavičku Host. Toto chování pomáhá zabránit některým běžným typům útoků DDoS, jako jsou útoky typu volumetric, které používají různé protokoly a porty, útoky dns amplifikace a útoky typu útok TCP.

Absorpční kapacita

Azure Front Door je rozsáhlá globálně distribuovaná služba. Slouží mnoha zákazníkům, včetně vlastních cloudových produktů Microsoftu, které zpracovávají stovky tisíc požadavků za sekundu. Front Door se nachází na okraji sítě Azure, kde může zachytit a geograficky izolovat rozsáhlé útoky. Front Door proto může zabránit škodlivému provozu v dosažení přes hranice sítě Azure.

Ukládání do mezipaměti

Pomocí funkcí ukládání do mezipaměti služby Front Door můžete chránit back-endy před velkými objemy provozu vygenerovaným útokem. Hraniční uzly služby Front Door vrací prostředky uložené v mezipaměti a vyhněte se jejich předávání do back-endu. I krátká doba vypršení platnosti mezipaměti (v sekundách nebo minutách) u dynamických odpovědí může výrazně snížit zatížení vašich back-endových služeb. Další informace o konceptech a vzorech ukládání do mezipaměti najdete v tématu Ukládání do mezipaměti aspekty a model doplňování mezipaměti.

Web Application Firewall (WAF)

Ke zmírnění mnoha různých typů útoků můžete použít Firewall webových aplikací (WAF) služby Front Door:

  • Sada spravovaných pravidel chrání vaši aplikaci před mnoha běžnými útoky. Další informace najdete v tématu Spravovaná pravidla.
  • Provoz zvenčí nebo uvnitř konkrétní geografické oblasti můžete blokovat nebo přesměrovat na statickou webovou stránku. Další informace najdete v tématu Geografické filtrování.
  • Můžete blokovat IP adresy a rozsahy, které identifikujete jako škodlivé. Další informace najdete v tématu Omezení IP adres.
  • Omezení rychlosti můžete použít, abyste zabránili příliš častému volání IP adres vaší služby. Další informace naleznete v tématu Omezování rychlosti.
  • Můžete vytvořit vlastní pravidla WAF pro automatické blokování a omezování rychlosti útoků HTTP nebo HTTPS, které mají známé podpisy.
  • Sada spravovaných pravidel ochrany robota chrání vaši aplikaci před známými špatnými roboty. Další informace najdete v tématu Konfigurace ochrany robota.

Pokyny k ochraně před útoky DDoS v aplikacích najdete v pokynech k ochraně před útoky DDoS pomocí Azure WAF.

Ochrana původu virtuální sítě

Pokud chcete chránit vaše veřejné IP adresy před útoky DDoS, povolte službu Azure DDoS Protection v původní virtuální síti. Zákazníci DDoS Protection získají další výhody, jako je ochrana nákladů, záruka SLA a přístup k odborníkům z týmu DDoS Rapid Response Team pro okamžitou pomoc během útoku.

Vylepšete zabezpečení zdrojů hostovaných v Azure omezením přístupu ke službě Azure Front Door prostřednictvím služby Azure Private Link. Tato funkce umožňuje privátní síťové připojení mezi Službou Azure Front Door a aplikačními servery a eliminuje nutnost zveřejnit vaše původy pro veřejný internet.

Další kroky