In diesem Artikel werden häufig gestellte Fragen zu Azure DDoS Protection beantwortet.
Was ist ein Distributed Denial-of-Service-Angriff (DDoS)?
Distributed Denial-of-Service oder DDoS ist eine Art von Angriff, bei dem ein Angreifer mehr Anforderungen an eine Anwendung sendet, als von der Anwendung bewältigt werden kann. Dies führt zu einer Verknappung der Ressourcen, was sich auf die Verfügbarkeit der Anwendung und die Fähigkeit zum Erfüllen der Anforderungen ihrer Benutzer auswirkt. In den letzten Jahren hat die Branche eine deutliche Zunahme derartiger Angriffe erlebt, die immer ausgefeilter und umfangreicher geworden sind. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.
Was ist der Azure DDoS Protection-Dienst?
Azure DDoS Protection, kombiniert mit bewährten Anwendungsentwurfsmethoden, bietet erweiterte Features zur DDoS-Entschärfung, um vor DDoS-Angriffen zu schützen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendung oder Ressource. Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection Standard.
Wie ist das Preismodell aufgebaut?
Für DDoS-Schutzpläne gilt eine feste monatliche Gebühr, die bis zu 100 öffentliche IP-Adressen abdeckt. Schutz für zusätzliche Ressourcen ist verfügbar.
Innerhalb eines Mandanten kann ein einzelner DDoS-Schutzplan für mehrere Abonnements verwendet werden, damit nicht mehrere DDoS-Schutzpläne erstellt werden müssen.
Wenn Application Gateway mit WAF in einem VNET mit DDoS-Schutz bereitgestellt wird, fallen für WAF keine zusätzliche Gebühren an. Sie zahlen für die Application Gateway-Instanz die Gebühr für „Klein“ ohne WAF. Diese Richtlinie gilt sowohl für Application Gateway-Instanzen mit einem SKU der Version 1 als auch der Version 2.
Weitere Informationen und Preise finden Sie unter Azure DDoS Protection – Preise.
Welche Azure DDoS Protection-Stufe sollte ich auswählen?
Wenn Sie weniger als 15 öffentliche IP-Adressressourcen schützen müssen, ist die IP-Schutzebene die kostengünstigere Option. Wenn Sie mehr als 15 öffentliche IP-Adressressourcen zum Schützen haben, ist die Netzwerkschutzebene kostengünstiger. Der Netzwerkschutz bietet auch zusätzliche Features, einschließlich DDoS Protection Rapid Response (DRR), Kostenschutzgarantien und WAF (Web Application Firewall)-Rabatte.
Ist die Dienst zonenresilient?
Ja. Azure DDoS Protection ist standardmäßig zonenresilient.
Wie konfiguriere ich den Dienst so, dass er zonenresilient ist?
Es ist keine Kundenkonfiguration erforderlich, um Zonenresilienz zu ermöglichen. Zonenresilienz ist für Azure DDoS Protection-Ressourcen standardmäßig verfügbar und wird vom Dienst selbst verwaltet.
Was gilt für Schutz auf Dienstebene (Ebene 7)?
Kunden können den Dienst Azure DDoS Protection in Kombination mit einer Web Application Firewall (WAF) zum Schutz sowohl auf Netzwerkebene (Ebene 3 und 4, angeboten von Azure DDoS Protection) als auch auf Anwendungsebene (Ebene 7, angeboten von einer WAF) verwenden. WAF-Angebote umfassen Azure Application Gateway-WAF-SKU sowie Web Application Firewall-Angebote von Drittanbietern, die in Azure Marketplace verfügbar sind.
Sind Dienste in Azure ohne den Dienst unsicher?
In Azure ausgeführte Dienste sind automatisch durch den DDoS-Standardschutz auf Infrastrukturebene geschützt. Der Schutz, der die Infrastruktur absichert, hat jedoch eine viel höhere Schwelle, als die meisten Anwendungen bewältigen können, und bietet keine Telemetrie oder Warnfunktionen. Während also ein Datenverkehrsaufkommen von der Plattform als harmlos eingestuft werden kann, kann es für die Anwendung, die es empfängt, verheerend sein.
Durch die Integration in den Dienst Azure DDoS Protection wird die Anwendung dediziert zur Erkennung von Angriffen und anwendungsspezifischen Schwellenwerten überwacht. Ein Dienst wird mit einem Profil geschützt, das auf das zu erwartende Datenverkehrsaufkommen abgestimmt ist, was eine wesentlich konsequentere Abwehr von DDoS-Angriffen ermöglicht.
Welche geschützten Ressourcentypen werden unterstützt?
Öffentliche IP-Adressen in auf Azure Resource Manager (ARM) basierenden virtuellen Netzwerken (VNETs) sind derzeit der einzige geschützte Ressourcentyp. Zu den geschützten Ressourcen gehören öffentliche IP-Adressen, die an eine IaaS-VM angefügt sind, Load Balancer (klassische und Standard-Load Balancer), Application Gateway-Cluster (einschließlich WAF), Firewall, Bastion, VPN Gateway, Service Fabric oder ein IaaS-basiertes virtuelles Netzwerkgerät (Network Virtual Appliance, NVA). Der Schutz umfasst auch öffentliche IP-Adressbereiche, die über benutzerdefinierte IP-Präfixe (BYOIPs) in Azure gelangen.
Informationen zu Einschränkungen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.
Werden klassische bzw. durch RDFE geschützte Ressourcen unterstützt?
In der Vorschauphase werden nur ARM-basierte geschützte Ressourcen unterstützt. VMs in klassischen/RDFE-Bereitstellungen werden nicht unterstützt. Unterstützung für klassische/RDFE-Ressourcen ist zurzeit nicht geplant. Weitere Informationen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.
Kann ich meine PaaS-Ressourcen mit DDoS Protection schützen?
Öffentliche IP-Adressen, die mehrinstanzenfähigen Einzel-VIP-PaaS-Diensten zugeordnet sind, werden derzeit nicht unterstützt. Beispiele für nicht unterstützte Ressourcen sind Speicher-VIPs, VIPs von Event Hubs und App Services-/Cloud Services-Anwendungen. Weitere Informationen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.
Kann ich meine lokalen Ressourcen mithilfe von DDoS Protection schützen?
Die öffentlichen Endpunkte Ihres Diensts müssen mit einem VNET in Azure verbunden sein, damit sie für DDoS-Schutz aktiviert werden können. Beispiele hierfür sind:
- Websites (IaaS) in Azure und Back-End-Datenbanken im lokalen Rechenzentrum
- Application Gateway in Azure (DDoS-Schutz in App Gateway/WAF aktiviert) und Websites in lokalen Rechenzentren
Weitere Informationen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.
Kann ich eine Domäne außerhalb von Azure registrieren und einer geschützten Ressource wie VM oder ELB zuordnen?
Für die Szenarien mit öffentlichen IP-Adressen unterstützt der Dienst DDoS Protection sämtliche Anwendungen unabhängig davon, wo die zugehörige Domäne registriert ist oder gehostet wird, solange die zugehörige öffentliche IP-Adresse in Azure gehostet wird.
Kann ich die für die VNETs und öffentlichen IP-Adressen geltende DDoS-Richtlinie manuell konfigurieren?
Nein, eine Richtlinienanpassung ist derzeit leider nicht möglich.
Kann ich bestimmte IP-Adressen einer Positivliste/Sperrliste hinzufügen?
Nein, eine manuelle Konfiguration ist derzeit leider nicht möglich.
Wie kann ich DDoS Protection testen?
Weitere Informationen finden Sie unter Durchführen von Simulationstests.
Wie lange dauert das Laden der Metriken in das Portal?
Die Metriken sollten binnen 5 Minuten im Portal sichtbar sein. Wenn Ihre Ressource angegriffen wird, werden andere Metriken innerhalb von 5-7 Minuten im Portal angezeigt.
Speichert der Dienst Kundendaten?
Nein, in Azure DDoS Protection werden keine Kundendaten gespeichert.
Wird eine einzelne VM-Bereitstellung hinter öffentlicher IP unterstützt?
Szenarien, in denen eine einzelne VM mit einer öffentlichen IP-Adresse ausgeführt wird, werden unterstützt, aber nicht empfohlen. Die DDoS-Entschärfung wird möglicherweise nicht sofort initiiert, wenn ein DDoS-Angriff erkannt wird. Daher wird eine einzelne VM-Bereitstellung, die nicht aufskaliert werden kann, in solchen Fällen heruntergehen. Weitere Informationen finden Sie unter Grundlegende bewährte Methoden.