Apa itu Azure DDoS Protection?

Serangan penolakan layanan (DDoS) terdistribusi adalah beberapa masalah ketersediaan dan keamanan terbesar yang dihadapi pelanggan yang memindahkan aplikasi mereka ke cloud. Serangan DDoS mencoba menghabiskan sumber daya aplikasi, sehingga membuat aplikasi tidak tersedia untuk pengguna yang sah. Serangan DDoS dapat ditargetkan pada titik akhir apa pun yang dapat dijangkau secara publik melalui internet.

Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual. Perlindungan mudah diaktifkan pada jaringan virtual baru atau yang sudah ada, dan tidak memerlukan perubahan aplikasi atau sumber daya.

Diagram arsitektur referensi untuk aplikasi web PaaS yang dilindungi Azure DDoS.

Azure DDoS Protection melindungi pada lapisan jaringan lapisan 3 dan lapisan 4. Untuk perlindungan aplikasi web pada lapisan 7, Anda perlu menambahkan perlindungan di lapisan aplikasi menggunakan penawaran WAF. Untuk informasi selengkapnya, lihat Perlindungan DDoS Aplikasi.

Azure DDoS Protection: Tingkatan

Perlindungan Jaringan DDoS

Azure DDoS Network Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual. Untuk informasi selengkapnya tentang mengaktifkan DDoS Network Protection, lihat Mulai Cepat: Membuat dan mengonfigurasi Azure DDoS Network Protection menggunakan portal Azure.

Perlindungan IP DDoS

DDoS IP Protection adalah model IP berbayar per dilindungi. DDoS IP Protection berisi fitur rekayasa inti yang sama dengan DDoS Network Protection, tetapi akan berbeda dalam layanan bernilai tambah berikut: Dukungan respons cepat DDoS, perlindungan biaya, dan diskon pada WAF. Untuk informasi selengkapnya tentang mengaktifkan DDoS IP Protection, lihat Mulai Cepat: Membuat dan mengonfigurasi Azure DDoS IP Protection menggunakan Azure PowerShell.

Untuk informasi selengkapnya tentang tingkatan, lihat Perbandingan tingkat DDoS Protection.

Azure DDoS Protection: Fitur Utama

  • Pemantauan lalu lintas yang selalu aktif: Pola lalu lintas aplikasi Anda dipantau 24 jam sehari, 7 hari seminggu, guna mencari indikator serangan DDoS. Azure DDoS Protection secara instan dan otomatis mengurangi serangan, setelah terdeteksi.

  • Penyetelan real time adaptif: Pembuatan profil lalu lintas cerdas mempelajari lalu lintas aplikasi Anda dari waktu ke waktu, dan memilih dan memperbarui profil yang paling cocok untuk layanan Anda. Profil disesuaikan saat lalu lintas berubah dari waktu ke waktu.

  • Analitik, metrik, dan pemberitahuan DDoS Protection: Azure DDoS Protection menerapkan tiga kebijakan mitigasi yang disetel otomatis (TCP SYN, TCP, dan UDP) untuk setiap IP publik dari sumber daya yang dilindungi, di jaringan virtual yang mengaktifkan DDoS. Ambang batas kebijakan dikonfigurasi secara otomatis melalui pembuatan profil lalu lintas jaringan berbasis pembelajaran mesin. Mitigasi DDoS terjadi untuk alamat IP yang diserang hanya saat ambang kebijakan terlampaui.

    • Analitik serangan: Dapatkan laporan terperinci dalam tahapan lima menit selama serangan, dan ringkasan lengkap setelah serangan berakhir. Alirkan log aliran mitigasi ke Microsoft Azure Sentinel atau sistem Security Information and Event Management (SIEM) offline untuk pemantauan mendekati real-time selama serangan. Lihat Menampilkan dan mengonfigurasi pembuatan log diagnostik DDoS untuk mempelajari lebih lanjut.

    • Metrik serangan: Ringkasan metrik dari setiap serangan dapat diakses melalui Azure Monitor. Lihat Melihat dan mengonfigurasi telemetri perlindungan DDoS untuk mempelajari lebih lanjut.

    • Pemberitahuan┬áserangan: Pemberitahuan dapat dikonfigurasi pada awal dan akhir serangan, serta selama durasi serangan, menggunakan metrik serangan bawaan. Pemberitahuan terintegrasi ke dalam perangkat lunak operasional Anda seperti log Microsoft Azure Monitor, Splunk, Azure Storage, Email, dan portal Microsoft Azure. Lihat Melihat dan mengonfigurasi peringatan perlindungan DDoS untuk mempelajari lebih lanjut.

  • Respons Cepat Azure DDoS: Selama serangan aktif, pelanggan Azure DDoS Protection memiliki akses ke tim DDoS Rapid Response (DRR), yang dapat membantu penyelidikan serangan selama analisis serangan dan pasca-serangan. Untuk mengetahui informasi selengkapnya, lihat Respons Cepat DDoS Azure.

  • Integrasi platform asli: Terintegrasi secara mandiri ke Azure. Termasuk konfigurasi melalui portal Microsoft Azure. Azure DDoS Protection memahami sumber daya dan konfigurasi sumber daya Anda.

  • Perlindungan turnkey: Konfigurasi yang disederhanakan segera melindungi semua sumber daya di jaringan virtual segera setelah DDoS Network Protection diaktifkan. Tidak diperlukan intervensi atau definisi pengguna. Demikian pula, konfigurasi yang disederhanakan segera melindungi sumber daya IP publik ketika Perlindungan IP DDoS diaktifkan untuk itu.

  • Perlindungan multilapis: Saat disebarkan dengan firewall aplikasi web (WAF), Azure DDoS Protection melindungi baik di lapisan jaringan (Lapisan 3 dan 4, yang ditawarkan oleh Azure DDoS Protection) dan pada lapisan aplikasi (Lapisan 7, ditawarkan oleh WAF). Penawaran WAF mencakup SKU WAF Azure Application Gateway dan penawaran firewall aplikasi web pihak ketiga yang tersedia di Marketplace Azure.

  • Skala mitigasi yang luas: Semua vektor serangan L3/L4 dapat dimitigasi, dengan kapasitas global, untuk melindungi dari serangan DDoS terbesar yang diketahui.

  • Jaminan biaya: Menerima transfer data dan kredit layanan peningkatan skala aplikasi untuk biaya sumber daya yang timbul akibat serangan DDoS yang terdokumentasi.

Azure DDoS Protection: Arsitektur

Azure DDoS Protection dirancang untuk layanan yang disebarkan dalam jaringan virtual. Untuk layanan lain, perlindungan DDoS tingkat infrastruktur default berlaku, yang bertahan dari serangan lapisan jaringan umum. Untuk belajar lebih lanjut tentang arsitektur yang didukung, lihat arsitektur referensi DDoS Protection.

Harga

Untuk DDoS Network Protection, di bawah penyewa, satu paket perlindungan DDoS dapat digunakan di beberapa langganan, sehingga tidak perlu membuat lebih dari satu paket perlindungan DDoS. Untuk DDoS IP Protection, Anda tidak perlu membuat paket perlindungan DDoS. Pelanggan dapat mengaktifkan perlindungan IP DDoS pada sumber daya IP publik apa pun.

Untuk mempelajari tentang harga Azure DDoS Protection, lihat Harga Azure DDoS Protection.

Praktik Terbaik untuk Perlindungan DDoS

Maksimalkan efektivitas strategi perlindungan DDoS Anda dengan mengikuti praktik terbaik berikut:

  • Rancang aplikasi dan infrastruktur Anda dengan mengingat redundansi dan ketahanan.
  • Terapkan pendekatan keamanan berlapis, termasuk jaringan, aplikasi, dan perlindungan data.
  • Siapkan rencana respons insiden untuk memastikan respons terkoordinasi terhadap serangan DDoS.

Untuk mempelajari selengkapnya tentang praktik terbaik, lihat Praktik terbaik dasar.

FAQ DDoS Protection

Untuk tanya jawab umum, lihatlah FAQ DDoS Protection.

Langkah berikutnya