Mi az az Azure DDoS Protection?

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. Egy DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogszerű felhasználók számára. A DDoS-támadások bármilyen, az interneten keresztül nyilvánosan elérhető végpontot megcélozhatnak.

Az Azure DDoS Protection az alkalmazástervezés ajánlott eljárásaival kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. A védelem egyszerűen engedélyezhető bármilyen új vagy meglévő virtuális hálózaton anélkül, hogy módosításokat kellene végrehajtani az alkalmazásokon vagy az erőforrásokon.

Főbb előnyök

Always-on forgalomfigyelés

Az alkalmazás forgalmi mintáit a rendszer a hét minden napján, a nap 24 órájában figyeli, és a DDoS-támadásokra utaló jeleket keres. Az Azure DDoS Protection azonnal és automatikusan csökkenti a támadást, amint észleli.

Adaptív valós idejű hangolás

Az intelligens adatforgalmi profilkészítés idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil az idő múlásával változik.

DDoS Protection-telemetria, monitorozás és riasztások

Az Azure DDoS Protection három automatikusan hangolt kockázatcsökkentési szabályzatot (TCP SYN, TCP és UDP) alkalmaz a védett erőforrás minden nyilvános IP-címére a DDoS-t engedélyező virtuális hálózaton. A szabályzat küszöbértékei automatikusan vannak konfigurálva a gépi tanuláson alapuló hálózati forgalom profilkészítésével. A DDoS-kockázatcsökkentés csak akkor fordul elő támadás alatt álló IP-címeken, ha a szabályzat küszöbértékét túllépi.

Az Azure DDoS gyors válasza

Aktív támadás esetén az Azure DDoS Protection-ügyfelek hozzáférhetnek a DDoS Rapid Response (DRR) csapatához, akik segíthetnek a támadás kivizsgálásában egy támadás során és a támadás utáni elemzésekben. További információ: Azure DDoS Rapid Response.

SKU

Az Azure DDoS Protection két elérhető termékváltozatban érhető el, a DDoS IP Protection és a DDoS Network Protection szolgáltatásban. További információ a termékváltozatokról: Termékváltozatok összehasonlítása.

Natív platformintegráció

Natívan integrálva az Azure-ba. A Azure Portal keresztüli konfigurációt is tartalmazza. Az Azure DDoS Protection megérti az erőforrásokat és az erőforrások konfigurációját.

Kulcsrakész védelem

Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Network Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. Hasonlóképpen, az egyszerűsített konfiguráció azonnal védi a nyilvános IP-erőforrásokat, ha a DDoS IP Protection engedélyezve van hozzá.

Többrétegű védelem

Webalkalmazási tűzfallal (WAF) történő üzembe helyezéskor az Azure DDoS Protection mind a hálózati rétegben (az Azure DDoS Protection által kínált 3. és 4. rétegben), mind az alkalmazásrétegben (WAF által kínált 7. réteg) védelmet nyújt. A WAF-ajánlatok közé tartozik az Azure Application Gateway WAF termékváltozata és a Azure Marketplace elérhető külső webalkalmazási tűzfalajánlatok.

Kiterjedt kockázatcsökkentési skálázás

Az L3/L4 támadási vektorok globális kapacitással csökkenthetők a legnagyobb ismert DDoS-támadások elleni védelem érdekében.

Támadáselemzés

Részletes jelentéseket kaphat ötperces lépésekben egy támadás során, és teljes összegzést kaphat a támadás befejeződése után. Stream-kockázatcsökkentési folyamatnaplók a Microsoft Sentinelbe vagy egy offline biztonsági információs és eseménykezelő (SIEM) rendszerbe a közel valós idejű monitorozáshoz támadás közben. További információ: DDoS diagnosztikai naplózás megtekintése és konfigurálása .

Támadási metrikák

Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el. További információ: DDoS Protection-telemetria megtekintése és konfigurálása .

Támadásriasztás

A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, a Email és a Azure Portal. További információ: DDoS Protection-riasztások megtekintése és konfigurálása .

Költséggarancia

A dokumentált DDoS-támadások következtében felmerülő erőforrásköltségekért adatátviteli és alkalmazás-felskálázási szolgáltatási jóváírást kaphat.

Architektúra

Az Azure DDoS Protection virtuális hálózaton üzembe helyezett szolgáltatásokhoz készült. Más szolgáltatások esetében az alapértelmezett infrastruktúraszintű DDoS-védelem érvényes, amely védelmet nyújt a gyakori hálózati szintű támadások ellen. A támogatott architektúrákkal kapcsolatos további információkért lásd: DDoS Protection referenciaarchitektúrák.

Díjszabás

A DDoS Network Protection esetében egy bérlő alatt egyetlen DDoS protection-csomag használható több előfizetésben, így nem kell több DDoS védelmi csomagot létrehoznia. A DDoS IP Protection esetében nincs szükség DDoS-védelmi terv létrehozására. Az ügyfelek bármely nyilvános IP-erőforráson engedélyezhetik a DDoS IP-védelmet.

Az Azure DDoS Protection díjszabásáról az Azure DDoS Protection díjszabását ismertető cikkben olvashat.

DDoS Protection – gyakori kérdések

A gyakori kérdésekért tekintse meg a DDoS Protection gyakori kérdéseit.

Következő lépések

• Rövid útmutató: DDoS Protection-csomag létrehozása
• Learn modul: Bevezetés az Azure DDoS Protection használatába
• További információ az Azure hálózati biztonságáról