Mi az az Azure DDoS Protection?
Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. A DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogos felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.
Az Azure DDoS Protection az alkalmazástervezés ajánlott eljárásaival kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. A védelem egyszerűen engedélyezhető bármilyen új vagy meglévő virtuális hálózaton anélkül, hogy módosításokat kellene végrehajtani az alkalmazásokon vagy az erőforrásokon.
Az Azure DDoS Protection a 3. és a 4. réteg hálózati rétegeinél nyújt védelmet. A webalkalmazások 7. rétegbeli védelméhez WAF-ajánlat használatával kell védelmet hozzáadnia az alkalmazásréteghez. További információ: Application DDoS protection.
Szolgáltatási szintek
DDoS Network Protection
Az Azure DDoS Network Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. További információ a DDoS Network Protection engedélyezéséről: Rövid útmutató: Az Azure DDoS Network Protection létrehozása és konfigurálása az Azure Portal használatával.
DDoS IP Protection
A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de a következő hozzáadott értékekkel rendelkező szolgáltatásokban különböznek: A DDoS gyorsreagálás támogatása, a költségvédelem és a WAF-kedvezmények. További információ a DDoS IP Protection engedélyezéséről: Rövid útmutató: Az Azure DDoS IP Protection létrehozása és konfigurálása az Azure PowerShell használatával.
A szintekről további információt a DDoS Protection-szint összehasonlítása című témakörben talál.
A legfontosabb jellemzők
Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a nap 24 órájában, a hét 7 napján figyeli, és a DDoS-támadások jelzéseit keresi. Az Azure DDoS Protection azonnal és automatikusan mérsékli a támadást, amint észleli.
Adaptív valós idejű hangolás: Az intelligens forgalomprofilozás idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil a forgalom időbeli változásával változik.
DDoS Protection-elemzések, metrikák és riasztások: Az Azure DDoS Protection három automatikusan hangolt kockázatcsökkentési szabályzatot (TCP SYN, TCP és UDP) alkalmaz a védett erőforrás minden nyilvános IP-címére a DDoS-t engedélyező virtuális hálózaton. A szabályzat küszöbértékei automatikusan vannak konfigurálva gépi tanuláson alapuló hálózati forgalomprofilozással. A DDoS-kockázatcsökkentés csak a szabályzat küszöbértékének túllépésekor történik támadás alatt álló IP-címek esetében.
Támadáselemzés: Részletes jelentések lekérése öt perces lépésekben egy támadás során, és teljes összefoglalás a támadás befejezése után. Streamelje a kockázatcsökkentési folyamat naplóit a Microsoft Sentinelbe vagy egy offline biztonsági információs és eseménykezelő (SIEM) rendszerbe a közel valós idejű monitorozáshoz egy támadás során. További információért tekintse meg és konfigurálja a DDoS diagnosztikai naplózását .
Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el. További információért tekintse meg és konfigurálja a DDoS-védelmi telemetriát .
Támadásriasztás: A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, az e-mailbe és az Azure Portalra. További információ: DDoS-védelmi riasztások megtekintése és konfigurálása.
Azure DDoS Gyors válasz: Aktív támadás során az Azure DDoS Network Protection által engedélyezett ügyfelek hozzáférhetnek a DDoS Gyors válasz (DRR) csapatához, akik segíthetnek a támadás kivizsgálásában a támadás során és a támadás utáni elemzésekben. További információ: Azure DDoS Rapid Response.
Natív platformintegráció: Natív integráció az Azure-ba. Az Azure Portalon keresztüli konfigurációt is tartalmazza. Az Azure DDoS Protection megérti az erőforrásokat és az erőforrások konfigurációját.
Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Network Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. Hasonlóképpen, az egyszerűsített konfiguráció azonnal védi a nyilvános IP-erőforrásokat, ha a DDoS IP Protection engedélyezve van hozzá.
Többrétegű védelem: Webalkalmazási tűzfal (WAF) használata esetén az Azure DDoS Protection mind a hálózati rétegben (az Azure DDoS Protection által kínált 3. és 4. rétegben), mind az alkalmazásrétegben (WAF által kínált 7. réteg) védelmet nyújt. A WAF-ajánlatok közé tartozik az Azure Application Gateway WAF termékváltozata és az Azure Marketplace-en elérhető külső webalkalmazási tűzfalajánlatok.
Átfogó kockázatcsökkentési skálázás: Az összes L3/L4 támadási vektor globális kapacitással csökkenthető a legnagyobb ismert DDoS-támadásokkal szembeni védelem érdekében.
Költséggarancia: A dokumentált DDoS-támadások következtében felmerülő erőforrásköltségekért kapott adatátviteli és alkalmazás-kibővített szolgáltatási kreditek.
Architektúra
Az Azure DDoS Protection virtuális hálózaton üzembe helyezett szolgáltatásokhoz készült. Más szolgáltatások esetében az alapértelmezett infrastruktúraszintű DDoS-védelem érvényes, amely védelmet nyújt a gyakori hálózati szintű támadások ellen. A támogatott architektúrákkal kapcsolatos további információkért tekintse meg a DDoS Protection referenciaarchitektúráit.
Díjszabás
A DDoS Network Protection esetében egy bérlő alatt egyetlen DDoS védelmi csomag több előfizetésben is használható, így nem kell több DDoS védelmi csomagot létrehoznia. A DDoS IP Protection esetében nincs szükség DDoS védelmi terv létrehozására. Az ügyfelek bármely nyilvános IP-erőforráson engedélyezhetik a DDoS IP-védelmét.
Az Azure DDoS Protection díjszabásáról az Azure DDoS Protection díjszabásában olvashat.
Ajánlott eljárások
A DDoS védelmi és kárenyhítési stratégia hatékonyságának maximalizálása az alábbi ajánlott eljárások követésével:
- Az alkalmazásokat és az infrastruktúrát redundanciával és rugalmassággal tervezheti meg.
- Többrétegű biztonsági megközelítés implementálása, beleértve a hálózatot, az alkalmazást és az adatvédelemet.
- Készítsen elő egy incidenskezelési tervet a DDoS-támadásokra adott összehangolt válasz érdekében.
Az ajánlott eljárásokkal kapcsolatos további információkért tekintse meg az alapvető ajánlott eljárásokat.
GYIK
A gyakori kérdésekért tekintse meg a DDoS Protection gyakori kérdéseit.