Azure DDoS Protection – gyakori kérdések

Az elosztott szolgáltatásmegtagadás (DDoS) egy olyan támadástípus, amely során a támadó több kérelmet küld egy alkalmazásnak, mint amennyit az alkalmazás képes kezelni. Ennek eredményeként az erőforrások kimerülnek, ami befolyásolja az alkalmazás rendelkezésre állását és az ügyfelek kiszolgálásának képességét. Az elmúlt néhány évben az iparágban jelentősen megnőtt a támadások száma, a támadások egyre kifinomultabbak és nagyobbak lettek. A DDoS-támadásokat bármely olyan végponton meg lehet célozni, amely nyilvánosan elérhető az interneten keresztül.

Az Azure DDoS Protection az alkalmazástervezés ajánlott eljárásaival kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. A védelem egyszerűen engedélyezhető bármilyen új vagy meglévő virtuális hálózaton anélkül, hogy módosításokat kellene végrehajtani az alkalmazásokon vagy az erőforrásokon. További információkért tekintse meg az Azure DDoS Protection áttekintését. 

A DDoS védelmi csomagok havi fix díjjal rendelkeznek, amely legfeljebb 100 nyilvános IP-címet fed le. További erőforrások védelme elérhető.

A bérlők alatt egyetlen DDoS-védelmi csomag több előfizetésben is használható, így nem kell több DDoS védelmi csomagot létrehoznia.

Ha a WAF-et használó Application Gateway egy DDoS-védelemmel ellátott virtuális hálózaton van üzembe helyezve, a WAF-hez nem kell külön díjat fizetnie – az Application Gatewayért az alacsonyabb, nem WAF díjért kell fizetnie. Ez a szabályzat az Application Gateway 1- és v2-s termékváltozataira egyaránt vonatkozik.

A díjszabást és további részleteket az Azure DDoS Protection díjszabásában találja.

Ha 15-nél kevesebb nyilvános IP-erőforrást kell védenie, az IP Protection szint a költséghatékonyabb megoldás. Ha több mint 15 nyilvános IP-erőforrással rendelkezik a védelemhez, akkor a Hálózatvédelmi szint költséghatékonyabb. A Network Protection további funkciókat is kínál, például a DDoS Protection Rapid Response (DRR), a költségvédelmi garanciákat és a webalkalmazási tűzfal (WAF) kedvezményeit.

Igen. Az Azure DDoS Protection alapértelmezés szerint zónareziliens.

A zónarugalmasság engedélyezéséhez nincs szükség ügyfélkonfigurációra. Az Azure DDoS Protection-erőforrások zóna-rugalmassága alapértelmezés szerint elérhető, és maga a szolgáltatás felügyeli.

Az ügyfelek az Azure DDoS Protection szolgáltatást webalkalmazási tűzfallal (WAF) kombinálva használhatják a hálózati réteg (az Azure DDoS Protection által kínált 3. és 4. réteg) és az alkalmazásréteg (WAF által kínált 7. réteg) védelmére. A WAF-ajánlatok közé tartozik az Azure Application Gateway WAF termékváltozata és az Azure Marketplace-en elérhető külső webalkalmazási tűzfalajánlatok.

Az Azure-ban futó szolgáltatásokat az alapértelmezett infrastruktúraszintű DDoS-védelem védi. Az infrastruktúrát védő védelemnek azonban sokkal magasabb a küszöbértéke, mint a legtöbb alkalmazásnak van kapacitása kezelni, és nem biztosít telemetriát vagy riasztást, így bár a forgalommennyiséget a platform ártalmatlannak tekintheti, az az azt fogadó alkalmazás számára pusztító lehet.

Az Azure DDoS Protection szolgáltatásba való előkészítéssel az alkalmazás dedikált monitorozást kap a támadások és az alkalmazásspecifikus küszöbértékek észleléséhez. A szolgáltatás a várt forgalommennyiségre hangolt profillal lesz védve, amely sokkal szigorúbb védelmet nyújt a DDoS-támadások ellen.

Jelenleg az ARM-alapú virtuális hálózatok nyilvános IP-címeinek használata az egyetlen védett erőforrástípus. A védett erőforrások közé tartoznak az IaaS virtuális gépekhez, a Load Balancerhez (klasszikus & standard terheléselosztókhoz), az Application Gatewayhez (beleértve a WAF-et) fürthöz, a tűzfalhoz, a Bastionhoz, a VPN Gatewayhez, a Service Fabrichez vagy egy IaaS-alapú hálózati virtuális berendezéshez (NVA) csatolt nyilvános IP-címek. A védelem kiterjed az Egyéni IP-előtagok (BYOIP-k) használatával az Azure-ba hozott nyilvános IP-tartományokra is.

A korlátozásokról az Azure DDoS Protection referenciaarchitektúráiban olvashat.

Előzetes verzióban csak ARM-alapú védett erőforrások támogatottak. A klasszikus/RDFE-környezetekben lévő virtuális gépek nem támogatottak. A klasszikus/RDFE-erőforrások támogatása jelenleg nem tervezett. További információ: Azure DDoS Protection referenciaarchitektúrák.

A több-bérlős, önálló VIP PaaS-szolgáltatásokhoz csatolt nyilvános IP-címek jelenleg nem támogatottak. A nem támogatott erőforrások közé tartoznak például a tárolási IP-címek, az Event Hubs-IP-címek és az App/Cloud Services-alkalmazások. További információ: Azure DDoS Protection referenciaarchitektúrák.

A DDoS-védelem engedélyezéséhez rendelkeznie kell a szolgáltatás nyilvános végpontjaival egy Azure-beli virtuális hálózathoz. Példatervek:

• Webhelyek (IaaS) az Azure-ban és háttéradatbázisok a helyszíni adatközpontban.
• Az Azure-beli Application Gateway (az App Gateway/WAF-en engedélyezett DDoS-védelem) és a helyszíni adatközpontokban található webhelyek.

További információ: Azure DDoS Protection referenciaarchitektúrák.

A nyilvános IP-forgatókönyvek esetében a DDoS Protection szolgáltatás minden alkalmazást támogat, függetlenül attól, hogy hol regisztrálják vagy üzemeltetik a társított tartományt, amíg a társított nyilvános IP-cím az Azure-ban van tárolva.

Nem, sajnos a szabályzat testreszabása jelenleg nem érhető el.

Nem, sajnos a manuális konfiguráció jelenleg nem érhető el.

Lásd a szimulációkon keresztüli tesztelést.

A metrikáknak 5 percen belül láthatónak kell lenniük a portálon. Ha az erőforrás támadás alatt áll, más metrikák 5–7 percen belül megjelennek a portálon.

Nem, az Azure DDoS Protection nem tárolja az ügyféladatokat.

Azok a forgatókönyvek, amelyekben egyetlen virtuális gép nyilvános IP-cím mögött fut, támogatottak, de nem ajánlottak. Előfordulhat, hogy a DDoS-kockázatcsökkentés nem indul el azonnal A DDoS-támadás észlelésekor. Ennek eredményeképpen egy olyan virtuálisgép-üzembe helyezés, amely nem skálázható fel, le fog csökkenni ilyen esetekben. További információkért tekintse meg az alapvető ajánlott eljárásokat.