DDoS-Schutz unter Front Door

Azure Front Door bietet mehrere Features und Merkmale, die helfen können, DDoS-Angriffe (Denial of Service) zu verhindern. Diese Features können verhindern, dass Angreifer auf Ihre Anwendung zugreifen und deren Verfügbarkeit und Leistung beeinträchtigen.

DDoS-Infrastrukturschutz

Front Door wird durch den DDoS-Standardschutz der Azure-Infrastruktur geschützt. Die vollständige Skalierung und Kapazität des global bereitgestellten Front Door-Netzwerks bietet über AlwaysOn-Datenverkehrsüberwachung und Risikominderung in Echtzeit Schutz vor häufigen Vermittlungsschichtangriffen. Dieser DDoS-Infrastrukturschutz hat sich in der Praxis beim Schutz von Unternehmens- und Endkundendiensten von Microsoft vor großangelegten Angriffen bewährt.

Protokollblockierung

Front Door akzeptiert nur Datenverkehr über die HTTP- und HTTPS-Protokolle und verarbeitet nur gültige Anforderungen mit einem bekannten Host-Header. Dieses Verhalten trägt dazu bei, einige gängige DDoS-Angriffstypen abzuschwächen, darunter volumetrische Angriffe, die auf verschiedene Protokolle und Ports verteilt sind, DNS-Verstärkungsangriffe und TCP-Poisoningangriffe.

Kapazitätsabsorption

Front Door ist ein hochgradig skalierter, global verteilter Dienst. Wir haben viele Kunden, einschließlich der großen Cloudprodukte von Microsoft, die pro Sekunde Hunderttausende von Anforderungen erhalten. Front Door befindet sich am Rand des Azure-Netzwerks und absorbiert großvolumige Angriffe und isoliert sie geografisch. Dadurch kann verhindert werden, dass schädlicher Datenverkehr über den Rand des Azure-Netzwerks hinausgeht.

Zwischenspeicherung

Die Zwischenspeicherungsfunktionen von Front Door können verwendet werden, um Back-Ends vor durch einen Angriff generierten großen Datenverkehrsvolumen zu schützen. Zwischengespeicherte Ressourcen werden von den Front Door-Edgeknoten zurückgegeben, sodass sie nicht an Ihr Back-End weitergeleitet werden. Sogar kurze Cacheablaufzeiten (Sekunden oder Minuten) bei dynamischen Antworten können die Auslastung von Back-End-Diensten erheblich verringern. Weitere Informationen zum Zwischenspeichern von Konzepten und Mustern finden Sie unter Caching und Cachefremdes Muster.

Web Application Firewall (WAF)

Die Azure Web Application Firewall für Azure Front Door kann verwendet werden, um eine Reihe von unterschiedlichen Arten von Angriffen abzuschwächen:

  • Die Verwendung des verwalteten Regelsatzes bietet Schutz gegen eine Reihe häufiger Angriffe.
  • Datenverkehr von außerhalb einer definierten geografischen Region oder innerhalb einer definierten Region kann blockiert oder an eine statische Webseite umgeleitet werden. Weitere Informationen finden Sie unter Was ist die Geofilterung in einer Domäne für Azure Front Door Service?.
  • IP-Adressen und -Bereiche, die Sie als bösartig identifizieren, können blockiert werden.
  • Die Ratenbegrenzung kann angewendet werden, um zu verhindern, dass IP-Adressen ihren Dienst zu häufig aufrufen.
  • Sie können benutzerdefinierte WAF-Regeln erstellen, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden.

Für weiteren Schutz

Wenn Sie weiteren Schutz benötigen, können Sie Azure DDoS Protection Standard für das VNET aktivieren, in dem Ihre Back-Ends bereitgestellt werden. DDoS Protection Standard-Kunden profitieren von weiteren Vorteilen wie Kostenschutz, SLA-Garantie und Zugang zu Experten des DDoS Rapid Response-Teams für Soforthilfe im Angriffsfall.

Nächste Schritte