Tanya jawab umum Tentang Azure DDoS Protection

Artikel ini menjawab pertanyaan umum tentang Azure DDoS Protection.

Apa itu serangan Distributed Denial of Service (DDoS)?

Penolakan layanan terdistribusi, atau DDoS, adalah jenis serangan di mana penyerang mengirim lebih banyak permintaan ke aplikasi daripada yang mampu dihandel oleh aplikasi. Efek yang dihasilkan adalah sumber daya yang terkuras, memengaruhi ketersediaan dan kemampuan aplikasi untuk melayani pelanggannya. Selama beberapa tahun terakhir, industri telah melihat peningkatan tajam dalam serangan, dengan serangan yang menjadi lebih canggih dan berukuran lebih besar. Serangan DDoS dapat ditargetkan pada titik akhir mana pun yang dapat dijangkau publik melalui Internet.

Apa itu layanan Azure DDoS Protection?

Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual. Perlindungan mudah diaktifkan pada jaringan virtual baru atau yang sudah ada, dan tidak memerlukan perubahan aplikasi atau sumber daya. Untuk mengetahui informasi lebih lanjut, lihat ringkasan Azure DDoS Protection

Bagaimana cara kerja penetapan harga?

Paket perlindungan DDoS mengenakan biaya bulanan tetap yang mencakup maksimal 100 alamat IP publik. Perlindungan untuk sumber daya tambahan tersedia.

Dengan satu penyewa, satu paket perlindungan DDoS dapat digunakan di beberapa langganan, jadi tidak perlu membuat lebih dari satu paket perlindungan DDoS.

Jika Application Gateway dengan WAF disebarkan di VNet yang dilindungi DDoS, tidak ada biaya tambahan untuk WAF - Anda membayar untuk Gateway Aplikasi dengan tarif non-WAF yang lebih rendah. Kebijakan ini berlaku untuk SKU Application Gateway v1 dan v2.

Lihat Harga Azure DDoS Protection untuk harga dan detail selengkapnya.

Tingkat Azure DDoS Protection mana yang harus saya pilih?

Jika Anda perlu melindungi kurang dari 15 sumber daya IP publik, tingkat Perlindungan IP adalah opsi yang lebih hemat biaya. Jika Anda memiliki lebih dari 15 sumber daya IP publik untuk dilindungi, maka tingkat Perlindungan Jaringan lebih hemat biaya. Perlindungan Jaringan juga menawarkan fitur tambahan, termasuk DDoS Protection Rapid Response (DRR), jaminan perlindungan biaya, dan diskon Web Application Firewall (WAF).

Apakah zona layanan tangguh?

Ya. Perlindungan Azure DDoS secara default tahan zona.

Bagaimana cara mengonfigurasi layanan agar tahan terhadap zona?

Tidak ada konfigurasi pelanggan yang diperlukan untuk mengaktifkan zona elastis. Ketahanan zona untuk sumber daya Azure DDoS Protection tersedia secara default dan dikelola oleh layanan itu sendiri.

Bagaimana dengan perlindungan di lapisan layanan (lapisan 7)?

Pelanggan dapat menggunakan layanan Azure DDoS Protection dalam kombinasi dengan Web Application Firewall (WAF) untuk perlindungan baik di lapisan jaringan (Lapisan 3 dan 4, yang ditawarkan oleh Azure DDoS Protection) dan pada lapisan aplikasi (Lapisan 7, ditawarkan oleh WAF). Penawaran WAF mencakup SKU WAF Azure Application Gateway dan penawaran firewall aplikasi web pihak ketiga yang tersedia di Marketplace Azure.

Apakah layanan di Azure tanpa layanan tidak aman?

Layanan yang berjalan di Azure secara inheren dilindungi oleh perlindungan DDoS tingkat infrastruktur default. Namun, proteksi yang melindungi infrastruktur memiliki ambang yang jauh lebih tinggi daripada yang dapat ditangani oleh sebagian besar aplikasi, dan tidak memberikan telemetri atau peringatan, jadi meskipun volume lalu lintas bisa dianggap tidak berbahaya oleh platform, hal ini bisa menghancurkan aplikasi yang menerimanya.

Dengan onboarding ke Azure DDoS Protection Service, aplikasi mendapatkan pemantauan khusus untuk mendeteksi serangan dan ambang batas khusus aplikasi. Sebuah layanan akan dilindungi dengan profil yang disesuaikan dengan volume lalu lintas yang diharapkan, memberikan pertahanan yang jauh lebih ketat terhadap serangan DDoS.

Apa saja jenis sumber daya terlindungi yang didukung?

IP publik di VNET berbasis ARM saat ini merupakan satu-satunya jenis sumber daya yang dilindungi. Sumber daya yang dilindungi termasuk IP publik yang dilampirkan ke IaaS VM, Load Balancer (Classic & Standard Load Balancer), kluster Application Gateway (termasuk WAF), Firewall, Bastion, VPN Gateway, Service Fabric, atau Network Virtual Appliance (NVA) berbasis IaaS. Perlindungan juga mencakup rentang IP publik yang dibawa ke Azure melalui Prefiks IP Kustom (BYOIP).

Untuk mempelajari tentang batasan, lihat Arsitektur referensi Azure DDoS Protection.

Apakah sumber daya yang dilindungi Classic/RDFE didukung?

Hanya sumber daya yang dilindungi berbasis ARM yang didukung dalam pratinjau. VM dalam penyebaran Classic/RDFE tidak didukung. Dukungan saat ini tidak direncanakan untuk sumber daya Klasik/RDFE. Untuk informasi selengkapnya, lihat Arsitektur referensi Azure DDoS Protection.

Dapatkah saya melindungi sumber daya PaaS saya menggunakan DDoS Protection?

IP publik yang dilampirkan ke multi-penyewa, layanan PaaS VIP tunggal tidak didukung saat ini. Contoh sumber daya yang tidak didukung termasuk Storage VIP, Azure Event Hubs VIP, dan aplikasi App/Cloud Services. Untuk informasi selengkapnya, lihat Arsitektur referensi Azure DDoS Protection.

Bisakah saya melindungi sumber daya di lokasi saya menggunakan DDoS Protection?

Anda harus memiliki titik akhir publik dari layanan Anda yang terkait dengan VNet di Azure agar diaktifkan untuk perlindungan DDoS. Contoh desain meliputi:

  • Situs web (IaaS) di Azure dan database backend di pusat data lokal.
  • Application Gateway di Azure (perlindungan DDoS diaktifkan di App Gateway/WAF) dan situs web di pusat data lokal.

Untuk informasi selengkapnya, lihat Arsitektur referensi Azure DDoS Protection.

Dapatkah saya mendaftarkan domain di luar Azure dan mengaitkannya dengan sumber daya yang dilindungi seperti VM atau ELB?

Untuk skenario IP Publik, layanan DDoS Protection akan mendukung aplikasi apa pun di mana pun domain terkait didaftarkan atau dihosting selama IP Publik terkait dihosting di Azure.

Dapatkah saya secara manual mengonfigurasi kebijakan DDoS yang diterapkan ke VNets/IP Publik?

Tidak, sayangnya penyesuaian kebijakan tidak tersedia saat ini.

Dapatkah saya mengizinkan/memblokir alamat IP tertentu?

Tidak, sayangnya konfigurasi manual tidak tersedia saat ini.

Bagaimana saya bisa menguji DDoS Protection?

Berapa lama waktu yang dibutuhkan metrik untuk dimuat di portal?

Metrik akan terlihat di portal dalam waktu 5 menit. Jika sumber daya Anda diserang, metrik lain akan mulai muncul di portal dalam 5-7 menit.

Apakah layanan ini menyimpan data pelanggan?

Tidak, perlindungan Azure DDoS tidak menyimpan data pelanggan.

Apakah penyebaran VM tunggal di belakang IP publik didukung?

Skenario di mana satu VM berjalan di belakang IP publik didukung tetapi tidak disarankan. Mitigasi DDoS mungkin tidak dimulai secara instan ketika serangan DDoS terdeteksi. Akibatnya, penyebaran mesin virtual tunggal yang skalanya tidak dapat diperluas akan tidak berfungsi dalam kasus seperti itu. Untuk informasi selengkapnya, lihat Praktik terbaik dasar.