Was ist Azure DDoS Protection?

DDoS-Angriffe (Distributed Denial of Service) stellen eines der größten Verfügbarkeits- und Sicherheitsprobleme für Kunden dar, die ihre Anwendungen in die Cloud verschieben. Ein DDoS-Angriff hat das Ziel, die Ressourcen einer Anwendung zu verbrauchen, damit sie für berechtigte Benutzer nicht mehr verfügbar ist. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.

Azure DDoS Protection, kombiniert mit bewährten Anwendungsentwurfsmethoden, bietet erweiterte Features zur DDoS-Entschärfung, um vor DDoS-Angriffen zu schützen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendung oder Ressource.

Diagramm: Referenzarchitektur für eine durch DDoS geschützte PaaS-Webanwendung

Hauptvorteile

Stets verfügbare Überwachung des Datenverkehrs

Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche auf Anzeichen für DDoS-Angriffe überwacht. Azure DDoS Protection wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde.

Adaptive Echtzeitoptimierung

Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an.

DDoS Protection: Telemetriedaten, Überwachung und Warnungen

Azure DDoS Protection wendet drei automatisch optimierte Entschärfungsrichtlinien (TCP-SYN, TCP und UDP) für jede öffentliche IP-Adresse der geschützten Ressource in dem virtuellen Netzwerk an, für das DDoS aktiviert ist. Die Schwellenwerte der Richtlinien werden automatisch über unsere Profilerstellung für Netzwerkdatenverkehr konfiguriert, die auf Machine Learning basiert. Die DDoS-Entschärfung wird nur dann für eine IP-Adresse durchgeführt, die einem Angriff ausgesetzt ist, wenn der Richtlinienschwellenwert überschritten wird.

Azure DDoS Rapid Response

Während eines laufenden Angriffs können sich Kunden mit Azure DDoS Protection an das DRR-Team (DDoS Rapid Response) wenden, das sie bei der Untersuchung während eines Angriffs sowie bei der Analyse nach Angriffen unterstützt. Weitere Informationen finden Sie unter Azure DDoS Rapid Response.

SKU

Azure DDoS Protection wird in zwei verfügbaren SKUs (DDoS-IP-Schutz (Vorschau) und DDoS-Netzwerkschutz) angeboten. Weitere Informationen zu den SKUs finden Sie im SKU-Vergleich.

Native Plattformintegration

Nativ in Azure integriert. Umfasst die Konfiguration über das Azure-Portal. Azure DDoS Protection erkennt Ihre Ressourcen und die Ressourcenkonfiguration.

Sofort einsatzbereiter Schutz

Dank vereinfachter Konfiguration sind alle Ressourcen in einem virtuellen Netzwerk sofort geschützt, sobald DDoS-Netzwerkschutz aktiviert wird. Es sind weder Benutzereingriffe noch Benutzerdefinitionen erforderlich. Ebenso schützt die vereinfachte Konfiguration sofort eine öffentliche IP-Ressource, wenn DDoS-IP-Schutz für sie aktiviert ist.

Mehrschichtiger Schutz

Bei der Bereitstellung mit einer Web Application Firewall (WAF) sorgt Azure DDoS Protection für Schutz sowohl auf Netzwerkebene (Ebene 3 und 4, angeboten von Azure DDoS Protection) als auch auf Anwendungsebene (Schicht 7, angeboten von einer WAF). WAF-Angebote umfassen Azure Application Gateway-WAF-SKU sowie Web Application Firewall-Angebote von Drittanbietern, die in Azure Marketplace verfügbar sind.

Umfangreiche Angriffsabwehr

Alle L3/L4-Angriffsvektoren können mit einer weltweiten Kapazität zum Schutz vor den größten bekannten DDoS-Angriffen abgewehrt werden.

Angriffsanalysen

Rufen Sie während eines Angriffs detaillierte Berichte in 5-Minuten-Inkrementen und nach dem Angriff eine vollständige Zusammenfassung ab. Streamen Sie Datenflussprotokolle der Entschärfung an Microsoft Sentinel oder an ein Offline-SIEM-System (Security Information and Event Management), um einen Angriff annähernd in Echtzeit zu überwachen. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren der DDoS-Diagnoseprotokollierung.

Angriffsmetriken

Mit Azure Monitor kann auf eine Zusammenfassung der Metriken für jeden Angriff zugegriffen werden. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren der DDoS Protection-Telemetrie.

Warnungen vor Angriffen

Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden. Warnungen werden in Ihre Betriebssoftware wie Microsoft Azure Monitor-Protokolle, Splunk, Azure Storage, E-Mail und das Azure-Portal integriert. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren von DDoS Protection-Warnungen.

Kostengarantie

Sie erhalten eine Gutschrift für die Datenübertragungen und die horizontale Skalierung von Anwendungen auf Ressourcenkosten, die infolge von dokumentierten DDoS-Angriffen entstehen.

Aufbau

Azure DDoS Protection ist konzipiert für Dienste, die in einem virtuellen Netzwerk bereitgestellt werden. Für andere Dienste gilt der standardmäßige DDoS-Schutz auf Infrastrukturebene, der vor gängigen Angriffen auf der Netzwerkebene schützt. Weitere Informationen zu den unterstützten Architekturen finden Sie unter DDoS Protection – Referenzarchitekturen.

Preise

Für DDoS-Netzwerkschutz kann innerhalb eines Mandanten ein einzelner DDoS-Schutzplan für mehrere Abonnements verwendet werden, damit nicht mehrere DDoS-Schutzpläne erstellt werden müssen. Für DDoS-IP-Schutz muss kein DDoS-Schutzplan erstellt werden. Kunden können DDoS für jede öffentliche IP-Ressource aktivieren.

Informationen zu den Preisen für Azure DDoS Protection finden Sie unter Azure DDoS Protection: Preisübersicht.

Häufig gestellte Fragen zu DDoS Protection

Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu DDoS Protection.

Nächste Schritte