Mi az az Azure DDoS Protection?

Az elosztott szolgáltatásmegtagadásos (DDoS-) támadások az egyik legnagyobb rendelkezésreállási és biztonsági kockázatot jelentik az olyan felhasználók számára, akik alkalmazásaikat a felhőbe helyezik át. A DDoS-támadás megpróbálja kimeríteni az alkalmazás erőforrásait, így az alkalmazás nem érhető el a jogos felhasználók számára. DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Az Azure DDoS Protection az alkalmazástervezés ajánlott eljárásaival kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. Protection is simple to enable on any new or existing virtual network, and it requires no application or resource changes.

Az Azure DDoS Protection a 3. és a 4. réteg hálózati rétegeinél nyújt védelmet. A webalkalmazások 7. rétegbeli védelméhez WAF-ajánlat használatával kell védelmet hozzáadnia az alkalmazásréteghez. További információ: Application DDoS protection.

Szolgáltatási szintek

DDoS Network Protection

Az Azure DDoS Network Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. További információ a DDoS Network Protection engedélyezéséről: Rövid útmutató: Az Azure DDoS Network Protection létrehozása és konfigurálása az Azure Portal használatával.

DDoS IP Protection

A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de a következő hozzáadott értékekkel rendelkező szolgáltatásokban különböznek: A DDoS gyorsreagálás támogatása, a költségvédelem és a WAF-kedvezmények. További információ a DDoS IP Protection engedélyezéséről: Rövid útmutató: Az Azure DDoS IP Protection létrehozása és konfigurálása az Azure PowerShell használatával.

A szintekről további információt a DDoS Protection-szint összehasonlítása című témakörben talál.

A legfontosabb jellemzők    

• Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a nap 24 órájában, a hét 7 napján figyeli, és a DDoS-támadások jelzéseit keresi. Az Azure DDoS Protection azonnal és automatikusan mérsékli a támadást, amint észleli.

• Adaptív valós idejű hangolás: Az intelligens forgalomprofilozás idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil a forgalom időbeli változásával változik.

• DDoS Protection-elemzések, metrikák és riasztások: Az Azure DDoS Protection három automatikusan hangolt kockázatcsökkentési szabályzatot (TCP SYN, TCP és UDP) alkalmaz a védett erőforrás minden nyilvános IP-címére a DDoS-t engedélyező virtuális hálózaton. A szabályzat küszöbértékei automatikusan vannak konfigurálva gépi tanuláson alapuló hálózati forgalomprofilozással. A DDoS-kockázatcsökkentés csak a szabályzat küszöbértékének túllépésekor történik támadás alatt álló IP-címek esetében.

  • Támadáselemzés: Részletes jelentések lekérése öt perces lépésekben egy támadás során, és teljes összefoglalás a támadás befejezése után. Streamelje a kockázatcsökkentési folyamat naplóit a Microsoft Sentinelbe vagy egy offline biztonsági információs és eseménykezelő (SIEM) rendszerbe a közel valós idejű monitorozáshoz egy támadás során. További információért tekintse meg és konfigurálja a DDoS diagnosztikai naplózását .

  • Támadási metrikák: Az egyes támadások összesített metrikái az Azure Monitoron keresztül érhetők el. További információért tekintse meg és konfigurálja a DDoS-védelmi telemetriát .

  • Támadásriasztás: A riasztások a támadás kezdetekor és végén, valamint a támadás időtartama alatt konfigurálhatók beépített támadási metrikák használatával. A riasztások integrálhatók az operatív szoftverbe, például a Microsoft Azure Monitor-naplókba, a Splunkba, az Azure Storage-ba, az e-mailbe és az Azure Portalra. További információ: DDoS-védelmi riasztások megtekintése és konfigurálása.

• Azure DDoS Gyors válasz: Aktív támadás esetén az ügyfelek hozzáférhetnek a DDoS Gyors válasz (DRR) csapatához, akik segíthetnek a támadás kivizsgálásában a támadás során és a támadás utáni elemzésekben. További információ: Azure DDoS Rapid Response.

• Natív platformintegráció: Natív integráció az Azure-ba. Az Azure Portalon keresztüli konfigurációt is tartalmazza. Az Azure DDoS Protection megérti az erőforrásokat és az erőforrások konfigurációját.

• Kulcsrakész védelem: Az egyszerűsített konfiguráció azonnal védi a virtuális hálózaton lévő összes erőforrást, amint a DDoS Network Protection engedélyezve van. Nincs szükség beavatkozásra vagy felhasználódefinícióra. Hasonlóképpen, az egyszerűsített konfiguráció azonnal védi a nyilvános IP-erőforrásokat, ha a DDoS IP Protection engedélyezve van hozzá.

• Többrétegű védelem: Webalkalmazási tűzfal (WAF) használata esetén az Azure DDoS Protection mind a hálózati rétegben (az Azure DDoS Protection által kínált 3. és 4. rétegben), mind az alkalmazásrétegben (WAF által kínált 7. réteg) védelmet nyújt. A WAF-ajánlatok közé tartozik az Azure Application Gateway WAF termékváltozata és az Azure Marketplace-en elérhető külső webalkalmazási tűzfalajánlatok.

• Átfogó kockázatcsökkentési skálázás: Az összes L3/L4 támadási vektor globális kapacitással csökkenthető a legnagyobb ismert DDoS-támadásokkal szembeni védelem érdekében.

• Költséggarancia: A dokumentált DDoS-támadások következtében felmerülő erőforrásköltségekért kapott adatátviteli és alkalmazás-kibővített szolgáltatási kreditek.

Architektúra

Az Azure DDoS Protection virtuális hálózaton üzembe helyezett szolgáltatásokhoz készült. Más szolgáltatások esetében az alapértelmezett infrastruktúraszintű DDoS-védelem érvényes, amely védelmet nyújt a gyakori hálózati szintű támadások ellen. A támogatott architektúrákkal kapcsolatos további információkért tekintse meg a DDoS Protection referenciaarchitektúráit.

Pricing

A DDoS Network Protection esetében egy bérlő alatt egyetlen DDoS védelmi csomag több előfizetésben is használható, így nem kell több DDoS védelmi csomagot létrehoznia. A DDoS IP Protection esetében nincs szükség DDoS védelmi terv létrehozására. Az ügyfelek bármely nyilvános IP-erőforráson engedélyezhetik a DDoS IP-védelmét.

Az Azure DDoS Protection díjszabásáról az Azure DDoS Protection díjszabásában olvashat.

Ajánlott eljárások

A DDoS védelmi és kárenyhítési stratégia hatékonyságának maximalizálása az alábbi ajánlott eljárások követésével:

• Az alkalmazásokat és az infrastruktúrát redundanciával és rugalmassággal tervezheti meg.
• Többrétegű biztonsági megközelítés implementálása, beleértve a hálózatot, az alkalmazást és az adatvédelemet.
• Készítsen elő egy incidenskezelési tervet a DDoS-támadásokra adott összehangolt válasz érdekében.

Az ajánlott eljárásokkal kapcsolatos további információkért tekintse meg az alapvető ajánlott eljárásokat.

GYIK

A gyakori kérdésekért tekintse meg a DDoS Protection gyakori kérdéseit.

Következő lépések

• Rövid útmutató: DDoS Protection-terv létrehozása
• Learn modul: Bevezetés az Azure DDoS Protection használatába
• További információ az Azure hálózati biztonságáról