Was ist Azure DDoS Protection?
DDoS-Angriffe (Distributed Denial of Service) stellen eines der größten Verfügbarkeits- und Sicherheitsprobleme für Kunden dar, die ihre Anwendungen in die Cloud verschieben. Ein DDoS-Angriff hat das Ziel, die Ressourcen einer Anwendung zu verbrauchen, damit sie für berechtigte Benutzer nicht mehr verfügbar ist. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.
Azure DDoS Protection, kombiniert mit bewährten Anwendungsentwurfsmethoden, bietet erweiterte Features zur DDoS-Entschärfung, um vor DDoS-Angriffen zu schützen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendung oder Ressource.
Azure DDoS Protection schützt auf Layer 3- und Layer 4-Netzwerkebenen. Um Webanwendungen auf Ebene 7 zu schützen, müssen Sie den Schutz auf der Anwendungsebene durch ein WAF-Angebot ergänzen. Weitere Informationen finden Sie unter DDoS-Schutz für Anwendungen.
Ebenen
DDoS-Netzwerkschutz
Azure DDoS-Netzwerkschutz, kombiniert mit bewährten Methoden des Anwendungsentwurfs, bietet erweiterte Features zur DDoS-Entschärfung, um vor DDoS-Angriffen zu schützen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Weitere Informationen zum Aktivieren von DDoS-Netzwerkschutz finden Sie unter Schnellstart: Erstellen und Konfigurieren von Azure DDoS Protection für Netzwerke über das Azure-Portal.
DDoS-IP-Schutz
DDoS-IP-Schutz ist ein Modell der Zahlung pro geschützte IP. DDoS-IP-Schutz umfasst dieselben wichtigen Engineeringfeatures wie DDoS-Netzwerkschutz, unterscheidet sich jedoch in den folgenden Mehrwertdiensten: DDoS Rapid Response-Unterstützung, Kostenschutz und Rabatte auf WAF. Weitere Informationen zum Aktivieren von DDoS-IP-Schutz finden Sie unter Schnellstart: Erstellen und Konfigurieren von Azure DDoS-IP-Schutz mithilfe von Azure PowerShell.
Weitere Informationen zu den Dienstebenen finden Sie unter Vergleich der DDoS Protection-Dienstebenen.
Wichtige Funktionen
Stets verfügbare Überwachung des Datenverkehrs: Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche auf Anzeichen für DDoS-Angriffe überwacht. Azure DDoS Protection wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde.
Adaptive Optimierung in Echtzeit: Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an.
DDoS Protection-Analysen, -Metriken und -Warnungen: Azure DDoS Protection wendet drei automatisch optimierte Risikominderungsrichtlinien (TCP-SYN, TCP und UDP) für jede öffentliche IP-Adresse der geschützten Ressource in dem virtuellen Netzwerk an, für das DDoS aktiviert ist. Die Schwellenwerte der Richtlinien werden automatisch über unsere Profilerstellung für Netzwerkdatenverkehr konfiguriert, die auf Machine Learning basiert. Die DDoS-Entschärfung wird nur dann für eine IP-Adresse durchgeführt, die einem Angriff ausgesetzt ist, wenn der Richtlinienschwellenwert überschritten wird.
Angriffsanalysen: Rufen Sie während eines Angriffs detaillierte Berichte in 5-Minuten-Inkrementen und nach dem Angriff eine vollständige Zusammenfassung ab. Streamen Sie Datenflussprotokolle der Entschärfung an Microsoft Sentinel oder an ein Offline-SIEM-System (Security Information and Event Management), um einen Angriff annähernd in Echtzeit zu überwachen. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren der DDoS-Diagnoseprotokollierung.
Angriffsmetriken: Mit Azure Monitor kann auf eine Zusammenfassung der Metriken für jeden Angriff zugegriffen werden. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren der DDoS Protection-Telemetrie.
Angriffswarnungen: Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden. Warnungen werden in Ihre Betriebssoftware wie Microsoft Azure Monitor-Protokolle, Splunk, Azure Storage, E-Mail und das Azure-Portal integriert. Weitere Informationen finden Sie unter Anzeigen und Konfigurieren von DDoS Protection-Warnungen.
Azure DDoS Rapid Response: Während eines laufenden Angriffs können sich Kunden mit aktiviertem Azure DDoS-Netzwerkschutz an das DRR-Team (DDoS Rapid Response) wenden, das sie bei der Untersuchung während eines Angriffs sowie bei der Analyse nach Angriffen unterstützt. Weitere Informationen finden Sie unter Azure DDoS Rapid Response.
Native Plattformintegration: Nativ in Azure integriert. Umfasst die Konfiguration über das Azure-Portal. Azure DDoS Protection erkennt Ihre Ressourcen und die Ressourcenkonfiguration.
Schlüsselfertiger Schutz: Dank vereinfachter Konfiguration sind alle Ressourcen in einem virtuellen Netzwerk sofort geschützt, sobald der DDoS-Netzwerkschutz aktiviert wird. Es sind weder Benutzereingriffe noch Benutzerdefinitionen erforderlich. Ebenso schützt die vereinfachte Konfiguration sofort eine öffentliche IP-Ressource, wenn DDoS-IP-Schutz für sie aktiviert ist.
Schutz auf mehreren Ebenen: Bei der Bereitstellung mit einer Web Application Firewall (WAF) sorgt Azure DDoS Protection für Schutz sowohl auf Netzwerkebene (Layer 3 und 4, angeboten von Azure DDoS Protection) als auch auf Anwendungsebene (Layer 7, angeboten von einer WAF). WAF-Angebote umfassen Azure Application Gateway-WAF-SKU sowie Web Application Firewall-Angebote von Drittanbietern, die in Azure Marketplace verfügbar sind.
Umfangreiche Risikominderungsstaffelung: Alle L3/L4-Angriffsvektoren können mit einer weltweiten Kapazität zum Schutz vor den größten bekannten DDoS-Angriffen abgewehrt werden.
Kostengarantie: Sie erhalten eine Gutschrift für Datenübertragungen und die horizontale Skalierung von Anwendungsdiensten für Ressourcenkosten, die durch dokumentierte DDoS-Angriffen entstanden sind.
Aufbau
Azure DDoS Protection ist konzipiert für Dienste, die in einem virtuellen Netzwerk bereitgestellt werden. Für andere Dienste gilt der standardmäßige DDoS-Schutz auf Infrastrukturebene, der vor gängigen Angriffen auf der Netzwerkebene schützt. Weitere Informationen zu den unterstützten Architekturen finden Sie unter DDoS Protection – Referenzarchitekturen.
Preise
Für DDoS-Netzwerkschutz kann innerhalb eines Mandanten ein einzelner DDoS-Schutzplan für mehrere Abonnements verwendet werden, damit nicht mehrere DDoS-Schutzpläne erstellt werden müssen. Für DDoS-IP-Schutz muss kein DDoS-Schutzplan erstellt werden. Kunden können den DDoS-IP-Schutz für jede beliebige öffentliche IP-Adressressource aktivieren.
Informationen zu den Preisen für Azure DDoS Protection finden Sie unter Azure DDoS Protection: Preisübersicht.
Bewährte Methoden
Maximieren Sie die Effektivität Ihrer DDoS-Schutz- und Risikominderungsstrategie, indem Sie diese bewährten Methoden befolgen:
- Entwerfen Sie Ihre Anwendungen und Infrastruktur unter Berücksichtigung von Redundanz und Resilienz.
- Implementieren Sie einen mehrstufigen Sicherheitsansatz,einschließlich Netzwerk-, Anwendungs- und Datenschutz.
- Bereiten Sie einen Plan zur Reaktion auf Vorfälle vor, um eine koordinierte Reaktion auf DDoS-Angriffe sicherzustellen.
Weitere Informationen zu bewährten Methoden finden Sie unter Grundlegende bewährte Methoden.
Häufig gestellte Fragen
Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu DDoS Protection.