Was ist Azure DDoS Protection?

  • 12 Minuten

Microsoft bietet DDoS Infrastructure Protection für alle Azure-Kunden kostenlos an. Zudem bietet Microsoft zusätzliche Dienste im Rahmen des DDoS-Schutzdiensts.

Azure DDoS Infrastructure Protection oder Azure DDoS Protection

Sie untersuchen die Vorteile eines Upgrades auf Azure DDoS Protection für Ihre in Azure ausgeführten Dienste für Contoso. Die Motivation für die Evaluierung dieser Upgradeoption ist nach übereinstimmender Meinung von DDoS-Sicherheitsexperten die zunehmende Häufigkeit und Raffinesse von DDoS-Angriffen.

Der Angriffsdatenverkehr muss nicht im Bereich von Terabit pro Sekunde liegen, um eine Anwendung lahmzulegen. Jeder gezielte Angriff kann die Verfügbarkeit einer in Azure ausgeführten Anwendung beeinträchtigen, die Datenverkehr aus dem öffentlichen Internet empfängt.

Was ist ein DDoS-Angriff?

Bei einem DDoS-Angriff überflutet ein Angreifer absichtlich ein System (etwa einen Server, eine Website oder eine andere Netzwerkressource) mit gefälschtem Datenverkehr. Die Computer sind in einem koordinierten Befehls- und Steuerungsnetzwerk verbunden, das als Botnet bezeichnet wird. Ein böswilliger Drittanbieter kontrolliert das Botnet, um den DDoS-Angriff zu starten. Indem sie die Kapazitäten des Diensts überfordert, löst die Aktivität eine Verweigerung der Dienste für legitime Benutzer*innen aus. DDoS-Angriffe können auf beliebige Endpunkte abzielen, die öffentlich über das Internet erreichbar sind.

Die folgende Abbildung zeigt einen typischen DDoS-Angriff aus einem Botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Einige häufige DDoS-Angriffe sind:

  • Volumetrische Angriffe: Diese Angriffe verwenden mehrere infizierte Systeme, um die Netzwerkebene mit einer beträchtlichen Menge scheinbar berechtigten Datenverkehrs zu überfluten. Die gefährdeten Systeme sind in der Regel Teil eines kriminellen Botnets. Typen von volumetrischen DDoS-Angriffen sind:

    • UDP-Überflutungen. Der Angreifer sendet UDP-Pakete, die in der Regel umfangreich sind, an ein einzelnes Ziel oder an zufällige Ports. Die angreifenden Systeme können Ihre IP-Adresse leicht spoofen, da UDP verbindungslos ist.
    • Verstärkungsüberflutungen. Ein DNS-Server wird mit scheinbar legitimen Dienstanforderungen überlastet. Das Ziel des Angreifers ist es, den DNS-Dienst zu überlasten, indem er die Bandbreitenkapazität erschöpft.
    • Andere gespoofte Paketüberflutungen. Senden von großen Mengen an gefälschtem Datenverkehr an eine Ressource.

  • Protokollangriffe. Diese Angriffe zielen auf Ebene 3 oder Ebene 4 des OSI-Modells ab. Sie nutzen eine Schwachstelle in TCP aus. Ein Beispiel für einen protokollbasierten DDoS-Angriff ist die TCP SYN-Überflutung, bei der ein Teil des Drei-Wege-Handshakes ausgenutzt wird. Der Angreifer sendet eine Abfolge von TCP SYN-Anforderungen, wobei die SYN+ACK-Antwort ignoriert wird. Bei diesem Angriff soll das Ziel überwältigt und reaktionsunfähig gemacht werden.

  • Angriffe auf Ressourcenebene (Anwendung): Ressourcenangriffe zielen auf die oberste Ebene im OSI-Modell ab, um die Übertragung von Daten zwischen Hosts zu unterbrechen. Diese Ebene-7-Angriffe umfassen Exploits des HTTP-Protokolls, Einschleusung von SQL-Befehlen, siteübergreifendes Skripting und andere Anwendungsangriffe.

Azure DDoS Protection-Angebote

DDoS Protection ähnelt einem sicheren und funktionierenden Sicherungssystem. Der Wert einer Sicherung für Ihre Organisation wird erst offensichtlich, wenn sie benötigt wird. DDoS Protection bietet (wie eine Sicherung) eine Risikominderung bei potenzielle Bedrohungen.

DDoS Infrastructure Protection

Azure bietet dauerhaften Schutz gegen DDoS-Angriffe. DDoS Protection speichert keine Kundendaten. Ohne zusätzliche Kosten schützt Azure DDoS Infrastructure Protection jeden Azure-Dienst, der öffentliche IPv4- und IPv6-Adressen verwendet. Dieser DDoS Protection-Dienst schützt alle Azure-Dienste, einschließlich PaaS-Dienste (Platform-as-a-Service) wie Azure DNS. DDoS Infrastructure Protection erfordert keine Konfiguration oder Anwendungsänderungen durch Benutzer*innen.

Azure DDoS Infrastructure Protection bietet Folgendes:

  • Aktive Überwachung des Datenverkehrs und Always On-Erkennung. DDoS Infrastructure Protection überwacht täglich und rund um die Uhr die Datenverkehrsmuster Ihrer Anwendung und sucht nach Hinweisen auf DDoS-Angriffe.
  • Automatische Angriffsentschärfung. Nachdem der Angriff erkannt wurde, wird er entschärft.
  • Die SLA (Vereinbarung zum Servicelevel) von DDoS Infrastructure Protection, die auf der Azure-Region mit bestmöglicher Unterstützung basiert.

In Azure ausgeführte Dienste sind automatisch durch den DDoS-Standardschutz auf Infrastrukturebene geschützt. Der Schutz, der die Infrastruktur absichert, hat jedoch eine viel höhere Schwelle, als die meisten Anwendungen bewältigen können, und bietet keine Telemetrie oder Warnfunktionen. Während also ein Datenverkehrsaufkommen von der Plattform als harmlos eingestuft werden kann, kann es für die Anwendung, die es empfängt, verheerend sein.

Durch die Integration in den Dienst Azure DDoS Protection wird die Anwendung dediziert zur Erkennung von Angriffen und anwendungsspezifischen Schwellenwerten überwacht. Ein Dienst wird mit einem Profil geschützt, das auf das zu erwartende Datenverkehrsaufkommen abgestimmt ist, was eine wesentlich konsequentere Abwehr von DDoS-Angriffen ermöglicht.

Azure DDoS-Netzwerkschutz

DDoS Network Protection bietet erweiterte DDoS-Risikominderungsfunktionen zum Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen.

In der folgenden Liste werden die Features und Vorteile von DDoS Network Protection beschrieben:

  • Schutz für 100 öffentliche IP-Ressourcen
  • Der Dienst bietet intelligente Datenverkehrsprofilerstellung, die Sie in der nächsten Lerneinheit kennenlernen.
  • Er bietet native Integration in das Azure-Portal für Setup und Bereitstellung. Diese Integrationsstufe ermöglicht es DDoS Protection, Ihre Azure-Ressourcen und deren Konfigurationen zu identifizieren.
  • Wenn DDoS Network Protection für ein virtuelles Netzwerk aktiviert ist, werden alle Ressourcen in diesem Netzwerk automatisch geschützt. Es ist kein zusätzliches administratives Verfahren erforderlich.
  • Ihre Netzwerkressourcen stehen unter konstanter Datenverkehrsüberwachung für Anzeichen eines DDoS-Angriffs. Sobald der DDoS-Netzwerkschutz erkannt wird, greift der Dienst ein und entschärft den Angriff automatisch.
  • Es trägt zur Absicherung der Ebenen 3 und 4 der Netzwerkschicht bei. Die in Azure Gateway enthaltene Azure Web Application Firewall-Komponente bietet außerdem Anwendungsschutz (Ebene 7). Da Azure Gateway und Web Application Firewall über das Internet verfügbar sind, werden die entsprechenden Netzwerkschnittstellen durch DDoS Protection geschützt. Diese Schutzstrategie ist ein Beispiel für einen mehrschichtigen bzw. tiefgreifenden Schutz.
  • Es liefert detaillierte Angriffsanalyseberichte während des Angriffs in Fünf-Minuten-Intervallen und einen Bericht nach der Aktion, um eine vollständige Zusammenfassung des Ereignisses zu bieten, wenn der Angriff beendet ist.
  • Es bietet Unterstützung für die Integration von Entschärfungsprotokollen mit Microsoft Defender für Cloud, Azure Sentinel oder einem SIEM-System (Offline Security Information and Event Management) für Überwachung während eines Angriffs nahezu in Echtzeit.
  • Azure Monitor erfasst Überwachungstelemetrie aus DDoS Network Protection für den Zugriff auf zusammengefasste Angriffsmetriken.

Azure DDoS IP Protection

DDoS-IP-Schutz ist ein Modell der Zahlung pro geschützte IP. DDoS IP Protection umfasst dieselben wichtigen Engineeringfeatures wie DDoS Network Protection, unterscheidet sich jedoch in den folgenden Mehrwertdiensten:

  • Unterstützung von DDoS Rapid Response
  • Kostenschutz
  • Rabatte auf WAF

Mehrwertdienste

Kostengarantie und Unterstützung für DDoS Rapid Response sind zwei der weiteren wichtigen Features von DDoS Network Protection.

Kostengarantie

Zu Beginn eines DDoS-Angriffs löst der Anstieg der Netzwerkbandbreite und/oder das Hochskalieren der VM-Anzahl häufig eine automatische Aufskalierung des in Azure ausgeführten Diensts aus.

Hinweis

Kunden, für die ein Onboarding für DDoS Protection durchgeführt wurde, erhalten eine Dienstgutschrift für die Kosten einer horizontalen Skalierung der Anwendung und Netzwerkbandbreite, die ihnen während eines dokumentierten DDoS-Angriffs entstehen. Microsoft stellt diese Gutschrift direkt bereit.

Unterstützung von DDoS Rapid Response

Microsoft hat ein DDoS Protection Rapid Response-Team zusammengestellt. Sie können sich bei einem DDoS-Angriff an dieses Team wenden und eine Analyse nach einem Angriff anfordern. Das DDoS Protection Rapid Response-Team befolgt das Azure Rapid Response-Supportmodell.

Sie können das Team benachrichtigen, indem Sie eine Supportanfrage im Azure-Portal öffnen. Nehmen Sie unter den folgenden Umständen Kontakt mit dem Team auf:

  • Ihr Unternehmen plant ein virtuelles Ereignis, das voraussichtlich zu einem erheblichen Anstieg des Netzwerkverkehrs führen wird.
  • Es gibt einen Angriff, der die Leistung eines geschützten kritischen Geschäftssystems stark beeinträchtigt.
  • Ihr Sicherheitsteam stellt fest, dass geschützte Ressourcen angegriffen werden, DDoS Protection kann den Angriff jedoch nicht wirksam abwehren.