Co je Azure DDoS Protection?
Distribuované útoky na dostupnost služeb (DDoS) patří k největším hrozbám pro dostupnost a zabezpečení, se kterými se musejí zákazníci přesouvající aplikace do cloudu vyrovnávat. Útok DDoS se pokusí vyčerpat prostředky aplikace a znepřístupňuje aplikaci legitimním uživatelům. Útoky DDoS můžou cílit na jakýkoli koncový bod, který je veřejně dostupný přes internet.
Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS, které brání útokům DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků.
Azure DDoS Protection chrání vrstvy 3 a 4 síťové vrstvy. Pro ochranu webových aplikací ve vrstvě 7 je potřeba přidat ochranu aplikační vrstvy pomocí nabídky WAF. Další informace najdete v tématu Ochrana před útoky DDoS aplikace.
Úrovně
Ochrana sítě DDoS
Azure DDoS Network Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS pro ochranu před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti. Další informace o povolení služby DDoS Network Protection najdete v tématu Rychlý start: Vytvoření a konfigurace služby Azure DDoS Network Protection pomocí webu Azure Portal.
Ochrana před útoky DDoS IP
DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale bude se lišit v následujících službách s přidanou hodnotou: podpora rychlých odpovědí DDoS, ochrana nákladů a slevy na WAF. Další informace o povolení ochrany IP adres DDoS najdete v tématu Rychlý start: Vytvoření a konfigurace ochrany IP adres Azure DDoS pomocí Azure PowerShellu.
Další informace o úrovních najdete v tématu Porovnání vrstev DDoS Protection.
Klíčové funkce
Nepřetržité monitorování provozu: Vzorce provozu vaší aplikace se monitorují 24 hodin denně, 7 dní v týdnu a hledají indikátory útoků DDoS. Azure DDoS Protection okamžitě a automaticky zmírní útok, jakmile se zjistí.
Adaptivní ladění v reálném čase: Profilace inteligentního provozu zjišťuje provoz vaší aplikace v průběhu času a vybírá a aktualizuje profil, který je pro vaši službu nejvhodnější. Profil se upraví tak, jak se v průběhu času mění provoz.
Analýzy ochrany před útoky DDoS Protection, metriky a upozorňování: Azure DDoS Protection používá pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti s povolenou službou DDoS tři automaticky vyladěné zásady zmírnění rizik (TCP SYN, TCP a UDP). Prahové hodnoty zásad se automaticky konfigurují prostřednictvím profilace síťového provozu založeného na strojovém učení. Omezení rizik útoku DDoS se provádí u IP adresy, která je napadena, pouze když dojde k překročení prahové hodnoty zásad.
Analýza útoku: Získejte podrobné sestavy v pětiminutových přírůstcích během útoku a úplný souhrn po skončení útoku. Streamujte protokoly toku zmírnění rizik do Microsoft Sentinelu nebo do offline systému pro správu událostí (SIEM) pro monitorování téměř v reálném čase během útoku. Další informace najdete v tématu Zobrazení a konfigurace protokolování diagnostiky DDoS.
Metriky útoku: Souhrnné metriky z každého útoku jsou přístupné prostřednictvím služby Azure Monitor. Další informace najdete v tématu Zobrazení a konfigurace telemetrie ochrany před útoky DDoS.
Upozorňování na útoky: Výstrahy je možné nakonfigurovat na začátku a zastavení útoku a po dobu trvání útoku pomocí předdefinovaných metrik útoku. Výstrahy se integrují do vašeho provozního softwaru, jako jsou protokoly služby Microsoft Azure Monitor, Splunk, Azure Storage, e-mail a Azure Portal. Další informace najdete v tématu Zobrazení a konfigurace upozornění ochrany před útoky DDoS.
Rychlá reakce Azure DDoS: Během aktivního útoku mají zákazníci s podporou služby Azure DDoS Network Protection přístup k týmu DDoS Rapid Response (DRR), který může pomoct s vyšetřováním útoku během útoku a po útoku. Další informace najdete v tématu Azure DDoS Rapid Response.
Integrace nativní platformy: Nativně integrovaná do Azure. Zahrnuje konfiguraci prostřednictvím webu Azure Portal. Azure DDoS Protection rozumí vašim prostředkům a konfiguraci prostředků.
Ochrana na klíč: Zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti, jakmile je povolená ochrana před útoky DDoS Network Protection. Není vyžadován žádný zásah ani definice uživatele. Podobně zjednodušená konfigurace okamžitě chrání prostředek veřejné IP adresy, když je pro něj povolená ochrana ip adres před útoky DDoS.
Vícevrstvá ochrana: Při nasazení s firewallem webových aplikací (WAF) azure DDoS Protection chrání jak v síťové vrstvě (vrstva 3, tak 4, nabízená službou Azure DDoS Protection) a v aplikační vrstvě (vrstva 7, nabízená WAF). Nabídky WAF zahrnují skladovou položku WAF služby Azure Application Gateway a nabídky firewallu webových aplikací třetích stran dostupné na Azure Marketplace.
Rozsáhlé škálování omezení rizik: Všechny vektory útoku L3/L4 je možné zmírnit s globální kapacitou, aby se chránily před největšími známými útoky DDoS.
Záruka nákladů: Příjem kreditu služby pro přenos dat a škálování aplikace na více instancí za náklady na prostředky vzniklé v důsledku zdokumentovaných útoků DDoS.
Architektura
Azure DDoS Protection je navržený pro služby nasazené ve virtuální síti. U jiných služeb platí výchozí ochrana DDoS na úrovni infrastruktury, která chrání před běžnými útoky na síťovou vrstvu. Další informace o podporovaných architekturách najdete v referenčních architekturách DDoS Protection.
Ceny
V případě služby DDoS Network Protection můžete v rámci tenanta použít jeden plán ochrany před útoky DDoS napříč několika předplatnými, takže není potřeba vytvářet více než jeden plán ochrany před útoky DDoS. Pro ochranu před útoky DDoS IP není potřeba vytvořit plán ochrany před útoky DDoS. Zákazníci můžou povolit ochranu IP adres DDoS u jakéhokoli prostředku veřejné IP adresy.
Další informace o cenách služby Azure DDoS Protection najdete na stránce s cenami služby Azure DDoS Protection.
Osvědčené postupy
Maximalizujte efektivitu strategie ochrany před útoky DDoS a zmírnění rizik pomocí těchto osvědčených postupů:
- Navrhněte své aplikace a infrastrukturu s ohledem na redundanci a odolnost.
- Implementujte přístup k vícevrstvému zabezpečení, včetně sítě, aplikace a ochrany dat.
- Připravte plán reakce na incidenty, který zajistí koordinovanou reakci na útoky DDoS.
Často kladené dotazy
Nejčastější dotazy najdete v nejčastějších dotazech k DDoS Protection.