Azure DDoS Protection – Referenzarchitekturen

Azure DDoS Protection ist für Dienste konzipiert, die in einem virtuellen Netzwerk bereitgestellt werden. Die folgenden Referenzarchitekturen sind nach Szenarios angeordnet, wobei Architekturmuster gruppiert sind.

Hinweis

Zu den geschützten Ressourcen gehören öffentliche IPs, die an eine IaaS-VM (mit Ausnahme einer einzelnen VM, die mit einer öffentlichen IP-Adresse ausgeführt) angefügt sind, Load Balancer (klassische Load & Balancer Standard), Application Gateway-Cluster (einschließlich WAF), Firewall, Bastion, VPN Gateway, Service Fabric, IaaS-basiertes virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) oder Azure API Management (nur Premium-Tarif), verbunden mit einem virtuellen Netzwerk (VNet) im externen Modus. Der Schutz umfasst auch öffentliche IP-Adressbereiche, die über benutzerdefinierte IP-Präfixe (BYOIPs) in Azure gelangen. PaaS-Dienste (mit mehreren Mandanten), die Azure App Service-Umgebung für Power Apps, Azure API Management in anderen als den oben unterstützten Bereitstellungsmodi umfassen, oder Azure Virtual WAN werden derzeit nicht unterstützt.

Die Arbeitsauslastungen virtueller Computer (Windows/Linux)

Anwendung wird auf virtuellen Computern mit Lastenausgleichsmodul ausgeführt

Diese Referenzarchitektur zeigt eine Reihe von bewährten Methoden für die Ausführung mehrerer virtueller Windows-Computer in einer Skalierungsgruppe hinter einem Lastenausgleich, um die Verfügbarkeit und Skalierbarkeit zu verbessern. Diese Architektur kann für eine zustandslose Arbeitsauslastung wie einen Webserver verwendet werden.

In dieser Architektur wird eine Workload auf mehrere VM-Instanzen verteilt. Es gibt eine einzelne öffentliche IP-Adresse, und der Internetdatenverkehr wird durch ein Lastenausgleichsmodul auf die virtuellen Computer verteilt.

Beim Lastenausgleich werden die eingehenden Internetanforderungen an die VM-Instanzen verteilt. Virtual Machine Scale Sets ermöglichen das horizontale Hoch- oder Herunterskalieren der Anzahl der VMs – sowohl manuell als auch automatisch basierend auf vordefinierten Regeln. Dies ist wichtig, wenn die Ressource einem DDoS-Angriff ausgesetzt ist. Weitere Informationen zu dieser Referenzarchitektur finden Sie unter Windows N-schichtige-Anwendung in Azure.

DDoS-Netzwerkschutz in der VM-Architektur

Diagramm der DDoS-Netzwerkschutz-Referenzarchitektur für eine Anwendung, die auf virtuellen Computern mit Lastenausgleich ausgeführt wird.

DDoS-Netzwerkschutz ist im virtuellen Netzwerk des Azure-Lastenausgleichsmoduls (Internet) aktiviert, dem die öffentliche IP-Adresse zugeordnet wurde.

DDoS-IP-Schutz (Vorschau) – VM-Architektur

Diagramm der DDoS-IP-Schutz-Referenzarchitektur für eine Anwendung, die auf virtuellen Computern mit Lastenausgleich ausgeführt wird.

DDoS-IP-Schutz ist auf der öffentlichen Frontend-IP-Adresse eines öffentlichen Lastenausgleichsmoduls aktiviert.

Auf Windows-n-Schichten ausgeführte Anwendung

Es gibt viele Möglichkeiten für die Implementierung einer n-schichtigen Architektur. Die folgenden Diagramme zeigen eine typische dreischichtige Webanwendung. Diese Architektur baut auf dem Artikel Ausführen von VMs mit Lastenausgleich zur Steigerung von Skalierbarkeit und Verfügbarkeit auf. In der Internet- und Unternehmensschicht werden VMs mit Lastenausgleich verwendet.

DDoS-Netzwerkschutz in der Architektur der Windows N-Ebene

Diagramm der DDoS-Netzwerkschutz-Referenzarchitektur für eine Anwendung, die auf der Windows N-Ebene ausgeführt wird.

In dieser Architektur ist DDoS-Netzwerkschutz im virtuellen Netzwerk aktiviert. Für alle öffentlichen IP-Adressen im virtuellen Netzwerk ist DDoS Protection für Schicht 3 und Schicht 4 aktiviert. Stellen Sie für den Schutz von Layer 7 Application Gateway in der WAF-SKU bereit. Weitere Informationen zu dieser Referenzarchitektur finden Sie unter Windows N-schichtige-Anwendung in Azure.

DDoS-IP-Schutz (Vorschau) in der Architektur der Windows N-Ebene

Diagramm der DDoS-IP-Schutz-Referenzarchitektur für eine Anwendung, die auf der Windows N-Ebene ausgeführt wird.

In diesem Architekturdiagramm ist der DDoS-IP-Schutz auf der öffentlichen IP-Adresse aktiviert.

Hinweis

Szenarien, in denen eine einzelne VM mit einer öffentlichen IP-Adresse ausgeführt wird, werden nicht unterstützt. Die DDoS-Entschärfung wird möglicherweise nicht sofort initiiert, wenn ein DDoS-Angriff erkannt wird. Daher wird eine einzelne VM-Bereitstellung, die nicht aufskaliert werden kann, in solchen Fällen herunterfahren.

PaaS-Webanwendung

Diese Referenzarchitektur zeigt die Ausführung einer Azure App Service-Anwendung in einer einzelnen Region. Diese Architektur demonstriert eine Reihe empfohlener Verfahren für eine Webanwendung, die Azure App Service und Azure SQL-Datenbank verwendet. Die Standby-Region ist für Failoverszenarios eingerichtet.

Azure Traffic Manager leitet eingehende Anforderungen an Application Gateway in einer der Regionen weiter. Während des normalen Betriebs werden Anforderungen an Application Gateway in der aktiven Region weitergeleitet. Wenn diese Region nicht mehr verfügbar ist, führt Traffic Manager ein Failover zu Application Gateway in der Standby-Region aus.

Der gesamte für die Webanwendung bestimmte Datenverkehr aus dem Internet wird über Traffic Manager an die öffentliche Application Gateway-IP-Adresse weitergeleitet. (siehe Application Gateway support for multi-tenant back ends (Application Gateway-Unterstützung für mehrinstanzenfähige Back-Ends)). In diesem Szenario ist der App-Dienst (Web-Apps) selbst nicht direkt nach außen gerichtet und wird von Application Gateway geschützt.

Sie sollten die Application Gateway-WAF-SKU (Verhinderungsmodus) zum Schutz vor Angriffen auf Schicht 7 (HTTP/HTTPS/Websocket) konfigurieren. Darüber hinaus werden die Web-Apps so konfiguriert, dass sie Datenverkehr nur über die Application Gateway-IP-Adresse akzeptieren (siehe IP and Domain Restrictions for Windows Azure Web Sites (IP- und Domäneneinschränkungen für Windows Azure-Websites)).

Weitere Informationen über diese Referenzarchitektur finden Sie unter Hochverfügbare Webanwendungen für mehrere Regionen.

DDoS-Netzwerkschutz mit PaaS-Webanwendungsarchitektur

Diagramm der DDoS-Netzwerkschutz-Referenzarchitektur für eine PaaS-Webanwendung.

In diesem Architekturdiagramm ist DDoS-Netzwerkschutz im virtuellen Web App Gateway-Netzwerk aktiviert.

DDoS-IP-Schutz (Vorschau) mit PaaS-Webanwendungsarchitektur

Diagramm der DDoS-IP-Schutz-Referenzarchitektur für eine PaaS-Webanwendung.

In diesem Architekturdiagramm ist DDoS-IP-Schutz auf der öffentlichen IP-Adresse aktiviert, die dem Webanwendungsgateway zugeordnet ist.

Entschärfung für Non-Web-PaaS-Dienste

HDInsight unter Azure

Diese Referenzarchitektur zeigt das Konfigurieren von DDoS Protection für Azure HDInsight-Cluster. Stellen Sie sicher, dass der HDInsight-Cluster mit einem virtuellen Netzwerk verknüpft und DDoS Protection in diesem virtuellen Netzwerk aktiviert ist.

Bereiche „HDInsight“ und „Erweiterte Einstellungen“ mit Einstellungen zum virtuellen Netzwerk

Auswahl für Aktivierung von DDoS Protection

In dieser Architektur wird der für den HDInsight-Cluster bestimmte Datenverkehr aus dem Internet an die öffentliche IP-Adresse weitergeleitet, die dem HDInsight-Gatewaylastenausgleich zugeordnet ist. Der Gatewaylastenausgleich sendet dann den Datenverkehr direkt an die Hauptknoten oder Workerknoten. Da DDoS Protection im virtuellen HDInsight-Netzwerk aktiviert wird, erhalten alle öffentlichen IP-Adressen im virtuellen Netzwerk DDoS-Schutz für Schicht 3 und Schicht 4. Diese Referenzarchitektur kann mit Referenzarchitekturen für n-Schichten und mehrere Regionen kombiniert werden.

Weitere Informationen zu dieser Referenzarchitektur finden Sie in der Dokumentation Erweitern von Azure HDInsight per Azure Virtual Network.

Hub-and-Spoke-Netzwerktopologie mit Azure Firewall und Azure Bastion

Diese Referenzarchitektur beschreibt eine Hub-and-Spoke-Topologie mit Azure Firewall innerhalb des Hubs als DMZ für Szenarien, die eine zentrale Kontrolle von Sicherheitsaspekten erfordern. Azure Firewall ist eine verwaltete Firewall als Dienst und wird in einem eigenen Subnetz platziert. Azure Bastion wird bereitgestellt und in einem eigenen Subnetz platziert.

Es gibt zwei Spokes, die per VNET-Peering mit dem Hub verbunden sind, und keine Spoke-zu-Spoke-Konnektivität. Wenn Sie Spoke-zu-Spoke-Konnektivität benötigen, müssen Sie Routen erstellen, um Datenverkehr von einem Spoke an die Firewall weiterzuleiten, die ihn dann an den anderen Spoke weiterleiten kann. Alle öffentlichen IP-Adressen, die sich innerhalb des Hubs befinden, werden durch DDoS Protection geschützt. In diesem Szenario unterstützt die Firewall im Hub die Steuerung des aus dem Internet eingehenden Datenverkehrs, während die öffentliche IP-Adresse der Firewall geschützt wird. Azure DDoS Protection schützt auch die öffentliche IP-Adresse der Bastion.

DDoS Protection ist für Dienste konzipiert, die in einem virtuellen Netzwerk bereitgestellt werden. Weitere Informationen finden Sie unter Bereitstellen eines dedizierten Azure-Diensts in virtuellen Netzwerken.

DDoS-Netzwerkschutz im Hub-and-Spoke-Netzwerk

Diagramm einer Hub-and-Spoke-Architektur mit DDoS-Netzwerkschutz, mit Firewall, Bastion und Azure DDoS Protection.

In diesem Architekturdiagramm ist DDoS-Netzwerkschutz im virtuellen Hub-Netzwerk aktiviert.

DDoS-IP-Schutz (Vorschau) im Hub-and-Spoke-Netzwerk

Diagramm einer Hub-and-Spoke-Architektur mit DDoS-IP-Schutz, mit Firewall, Bastion und Azure DDoS Protection.

In diesem Architekturdiagramm ist DDoS-IP-Schutz auf der öffentlichen IP-Adresse aktiviert.

Hinweis

Azure DDoS Protection schützt die öffentlichen IP-Adressen der Azure-Ressource. DDoS-Infrastrukturschutz, der keine Konfiguration erfordert und standardmäßig aktiviert ist, schützt nur die zugrunde liegende Azure-Plattforminfrastruktur (z. B. Azure DNS). Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection Standard. Weitere Informationen zur Hub-and-Spoke-Topologie finden Sie unter Hub-and-Spoke-Netzwerktopologie.

Nächste Schritte