Bagikan melalui

Arsitektur referensi Azure DDoS Protection

  • Artikel

Azure DDoS Protection dirancang untuk layanan yang disebarkan dalam jaringan virtual. Arsitektur referensi berikut disusun berdasarkan skenario, dengan pola arsitektur dikelompokkan bersama.

Sumber Daya terproteksi

Sumber daya yang didukung meliputi:

  • IP Publik yang dilampirkan ke:
    • Komputer virtual IaaS.
    • Kluster Application Gateway (termasuk WAF).
    • Azure API Management (khusus tingkat Premium).
    • Bastion.
    • Tersambung ke jaringan virtual (VNet) dalam mode eksternal.
    • Firewall.
    • Network Virtual Appliance (NVA) berbasis IaaS.
    • Load Balancer (Load Balancer Klasik & Standar).
    • Service Fabric.
    • VPN Gateway.
  • Perlindungan juga mencakup rentang IP publik yang dibawa ke Azure melalui Prefiks IP Kustom (BYOIP).

Sumber daya yang tidak didukung meliputi:

  • Azure Virtual WAN.
  • Azure API Management dalam mode penyebaran selain mode yang didukung.
  • Layanan PaaS (multi-penyewa) termasuk Azure App Service Environment untuk Power Apps.
  • Sumber daya terlindungi yang menyertakan IP publik yang dibuat dari awalan alamat IP publik.
  • NAT Gateway.

Catatan

Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menggunakan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan. Untuk informasi selengkapnya, lihat garis besar keamanan untuk layanan Azure.

Beban kerja komputer virtual (Windows/Linux)

Aplikasi yang berjalan pada komputer virtual yang seimbang beban

Arsitektur referensi ini menunjukkan serangkaian praktik yang terbukti untuk menjalankan beberapa komputer virtual Windows dalam skala yang diatur di belakang penyeimbang beban, untuk meningkatkan ketersediaan dan skalabilitas. Arsitektur ini dapat digunakan untuk beban kerja tanpa status apa pun, seperti server web.

Dalam arsitektur ini, beban kerja didistribusikan di beberapa instans komputer virtual. Ada satu alamat IP publik, dan lalu lintas internet didistribusikan ke komputer virtual melalui load balancer.

Penyeimbang muatan mendistribusikan permintaan internet yang masuk ke instans VM. Set skala komputer virtual memungkinkan jumlah VM yang diskalakan masuk atau keluar secara manual, atau otomatis berdasarkan aturan yang telah ditentukan sebelumnya. Hal ini penting jika sumber daya berada di bawah serangan DDoS. Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat Aplikasi Windows N-tier di Azure.

Arsitektur komputer virtual DDoS Network Protection

Diagram arsitektur referensi DDoS Network Protection untuk aplikasi yang berjalan pada komputer virtual yang seimbang beban.

DDoS Network Protection diaktifkan di jaringan virtual load balancer Azure (internet) yang memiliki IP publik yang terkait dengannya.

Arsitektur komputer virtual DDoS IP Protection

Diagram arsitektur referensi DDoS IP Protection untuk aplikasi yang berjalan pada komputer virtual yang seimbang beban.

DDoS IP Protection diaktifkan pada alamat IP publik frontend dari load balancer publik.

Aplikasi berjalan di N-tingkat Windows

Ada banyak cara untuk menetapkan arsitektur N-tingkat. Diagram berikut menunjukkan aplikasi web tiga tingkat yang khas. Arsitektur ini dibangun di atas artikel Menjalankan VM dengan muatan seimbang untuk skalabilitas dan ketersediaan. Tingkat web dan bisnis menggunakan VM dengan muatan seimbang.

Arsitektur DDoS Network Protection Windows N-tier

Diagram arsitektur referensi DDoS Network Protection untuk aplikasi yang berjalan di Windows N-tier.

Dalam diagram arsitektur ini DDoS Network Protection diaktifkan pada jaringan virtual. Semua IP publik di jaringan virtual mendapatkan perlindungan DDoS untuk Layer 3 dan 4. Untuk perlindungan Layer 7, sebarkan Application Gateway di SKU WAF. Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat Aplikasi Windows N-tier di Azure.

Arsitektur DDoS IP Protection Windows N-tier

Diagram arsitektur referensi DDoS IP Protection untuk aplikasi yang berjalan di Windows N-tier.

Dalam diagram arsitektur ini DDoS IP Protection diaktifkan pada alamat IP publik.

Catatan

Skenario di mana satu VM berjalan di belakang IP publik tidak disarankan. Mitigasi DDoS mungkin tidak dimulai secara instan ketika serangan DDoS terdeteksi. Akibatnya, penyebaran mesin virtual tunggal yang skalanya tidak dapat diperluas akan tidak berfungsi dalam kasus seperti itu.

Aplikasi web PaaS

Arsitektur referensi ini memperlihatkan eksekusi aplikasi Azure App Service di satu wilayah. Arsitektur ini menunjukkan serangkaian praktik yang telah terbukti untuk aplikasi web yang menggunakan Azure App Service dan Azure SQL Database. Wilayah siaga diatur untuk skenario failover.

Azure Traffic Manager merutekan permintaan masuk ke Application Gateway di salah satu wilayah. Selama operasi normal, Azure Traffic Manager merutekan permintaan ke Application Gateway di wilayah aktif. Jika wilayah itu menjadi tidak tersedia, Azure Traffic Manager mengalami kegagalan terhadap Application Gateway di wilayah siaga.

Semua lalu lintas dari internet yang ditujukan ke aplikasi web dirutekan ke alamat IP publik Application Gateway melalui Azure Traffic Manager. Dalam skenario ini, layanan aplikasi (aplikasi web) itu sendiri tidak langsung menghadap secara eksternal dan dilindungi oleh Application Gateway.

Kami menyarankan Anda untuk mengonfigurasi SKU WAF Application Gateway (mode pencegahan) untuk membantu melindungi dari serangan Layer 7 (HTTP/HTTPS/WebSocket). Selain itu, aplikasi web dikonfigurasi untuk hanya menerima lalu lintas dari Application Gateway alamat IP.

Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat Aplikasi web multi-wilayah yang sangat tersedia.

DDoS Network Protection dengan arsitektur aplikasi web PaaS

Diagram arsitektur referensi DDoS Network Protection untuk aplikasi web PaaS.

Dalam diagram arsitektur ini DDoS Network Protection diaktifkan di jaringan virtual gateway aplikasi web.

DDoS IP Protection dengan arsitektur aplikasi web PaaS

Diagram arsitektur referensi DDoS IP Protection untuk aplikasi web PaaS.

Dalam diagram arsitektur ini DDoS IP Protection diaktifkan pada IP publik yang terkait dengan gateway aplikasi web.

Mitigasi untuk layanan PaaS non-web

HDInsight di Azure

Arsitektur referensi ini menunjukkan konfigurasi DDoS Protection untuk kluster Azure HDInsight. Pastikan kluster HDInsight ditautkan ke jaringan virtual dan Azure DDoS Protection diaktifkan di jaringan virtual.

Panel

Pilihan untuk mengaktifkan Azure DDoS Protection

Dalam arsitektur ini, lalu lintas yang ditujukan ke kluster HDInsight dari internet dirutekan ke IP publik yang terkait dengan penyeimbang muatan gateway HDInsight. Penyeimbang muatan gateway kemudian mengirimkan lalu lintas ke simpul kepala atau simpul pekerja secara langsung. Karena DDoS Protection diaktifkan pada jaringan virtual HDInsight, semua IP publik di jaringan virtual mendapatkan perlindungan DDoS untuk Lapisan 3 dan 4. Arsitektur referensi ini dapat dikombinasikan dengan arsitektur referensi N-Tingkat dan multi-wilayah.

Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat dokumentasi Memperluas HDInsight menggunakan Virtual Network Azure.

Topologi jaringan hub-and-spoke dengan Azure Firewall dan Azure Bastion

Arsitektur referensi ini merinci topologi hub-and-spoke dengan Azure Firewall di dalam hub sebagai DMZ untuk skenario yang memerlukan kontrol pusat atas aspek keamanan. Azure Firewall adalah firewall terkelola sebagai layanan dan ditempatkan di subnetnya sendiri. Azure Bastion disebarkan dan ditempatkan di subnetnya sendiri.

Ada dua spoke yang terhubung ke hub menggunakan peering VNet dan tidak ada konektivitas spoke-to-spoke. Jika Anda memerlukan konektivitas spoke-to-spoke, maka Anda perlu membuat rute untuk meneruskan lalu lintas dari satu berbicara ke firewall, yang kemudian dapat merutekannya ke yang lain berbicara. Semua IP Publik yang berada di dalam hub dilindungi oleh DDoS Protection. Dalam skenario ini, firewall di hub membantu mengontrol lalu lintas masuk dari internet, sementara IP publik firewall sedang dilindungi. Azure DDoS Protection juga melindungi IP publik bastion.

DDoS Protection dirancang untuk layanan yang disebarkan dalam jaringan virtual. Untuk informasi selengkapnya, lihat Menyebarkan layanan Azure khusus ke jaringan virtual.

Jaringan hub-and-spoke DDoS Network Protection

Diagram memperlihatkan arsitektur DDoS Network Protection Hub-and-spoke dengan firewall, bastion, dan DDoS Protection.

Dalam diagram arsitektur ini Azure DDoS Network Protection diaktifkan di jaringan virtual hub.

Jaringan hub-and-spoke DDoS IP Protection

Diagram memperlihatkan arsitektur DDoS IP Protection Hub-and-spoke dengan firewall, bastion, dan DDoS Protection.

Dalam diagram arsitektur ini Azure DDoS IP Protection diaktifkan pada Alamat IP publik.

Catatan

Tanpa biaya tambahan, perlindungan infrastruktur Azure DDoS melindungi setiap layanan Azure yang menggunakan alamat IPv4 dan IPv6 publik. Layanan perlindungan DDoS ini membantu melindungi semua layanan Azure, termasuk layanan platform as a service (PaaS) seperti Azure DNS. Untuk mengetahui informasi lebih lanjut, lihat ringkasan Azure DDoS Protection. Untuk informasi selengkapnya tentang topologi hub-and-spoke, lihat Topologi jaringan Hub-spoke.

Langkah berikutnya