Perlindungan DDoS di Azure Front Door Service

  • Artikel

Azure Front Door adalah Content Delivery Network (CDN) yang dapat membantu Anda melindungi asal-usul Anda dari serangan DDoS HTTP(S) dengan mendistribusikan lalu lintas di seluruh 192 POP tepinya di seluruh dunia. POP ini menggunakan WAN privat kami yang besar untuk mengirimkan aplikasi dan layanan web Anda dengan lebih cepat dan lebih aman kepada pengguna akhir Anda. Azure Front Door juga mencakup perlindungan DDoS lapisan 3, 4, dan 7 dan firewall aplikasi web (WAF) untuk membantu melindungi aplikasi Anda dari eksploitasi dan kerentanan umum.

Perlindungan DDoS infrastruktur

Azure Front Door mendapat manfaat dari perlindungan DDoS infrastruktur Azure default. Perlindungan ini memantau dan mengurangi serangan lapisan jaringan secara real time dengan menggunakan skala global dan kapasitas jaringan Front Door. Perlindungan ini memiliki rekam jejak yang terbukti dalam melindungi layanan perusahaan dan konsumen Microsoft dari serangan skala besar.

Pemblokiran protokol

Azure Front Door hanya mendukung protokol HTTP dan HTTPS, dan memerlukan header 'Host'' yang valid untuk setiap permintaan. Perilaku ini membantu mencegah beberapa jenis serangan DDoS umum seperti serangan volumetrik yang menggunakan berbagai protokol dan port, serangan amplifikasi DNS, dan serangan keracunan TCP.

Penyerapan kapasitas

Azure Front Door adalah layanan berskala besar yang didistribusikan secara global. Layanan ini melayani banyak pelanggan, termasuk produk cloud Microsoft sendiri yang menangani ratusan ribu permintaan per detik. Front Door terletak di tepi jaringan Azure, di mana ia dapat mencegat dan secara geografis mengisolasi serangan volume besar. Oleh karena itu, Front Door dapat mencegah lalu lintas berbahaya mencapai di luar tepi jaringan Azure.

penembolokan

Anda dapat menggunakan kemampuan penembolokan Front Door untuk melindungi backend Anda dari volume lalu lintas besar yang dihasilkan oleh serangan. Simpul tepi Front Door mengembalikan sumber daya yang di-cache dan menghindari penerusan ke backend Anda. Bahkan waktu kedaluwarsa cache pendek (detik atau menit) pada respons dinamis dapat secara signifikan mengurangi beban pada layanan backend Anda. Untuk informasi selengkapnya tentang konsep dan pola penembolokan, lihat Pertimbangan Penembolokan dan pola Selain cache.

Web Application Firewall (WAF)

Anda dapat menggunakan Web Application Firewall (WAF) Front Door untuk mengurangi berbagai jenis serangan:

  • Seperangkat aturan terkelola melindungi aplikasi Anda dari banyak serangan umum. Untuk informasi selengkapnya, lihat Aturan terkelola.
  • Anda dapat memblokir atau mengalihkan lalu lintas dari luar atau di dalam wilayah geografis tertentu ke halaman web statis. Untuk informasi selengkapnya, lihat Pemfilteran lokasi geografis.
  • Anda dapat memblokir alamat IP dan rentang yang Anda identifikasi sebagai berbahaya. Untuk informasi selengkapnya, lihat Pembatasan IP.
  • Anda dapat menerapkan pembatasan tarif untuk mencegah alamat IP memanggil layanan Anda terlalu sering. Untuk informasi selengkapnya, lihat Pembatasan tarif.
  • Anda dapat membuat aturan WAF khusus untuk secara otomatis memblokir dan menilai serangan HTTP atau HTTPS yang memiliki tanda tangan yang diketahui.
  • Kumpulan aturan terkelola perlindungan bot melindungi aplikasi Anda dari bot buruk yang diketahui. Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan bot.

Lihat Perlindungan DDoS Aplikasi untuk panduan tentang cara menggunakan Azure WAF untuk melindungi dari serangan DDoS.

Melindungi asal jaringan virtual

Untuk melindungi IP publik Anda dari serangan DDoS, aktifkan Azure DDoS Protection di jaringan virtual asal. Pelanggan DDoS Protection menerima manfaat tambahan seperti perlindungan biaya, jaminan SLA, dan akses ke pakar dari Tim Respons Cepat DDoS untuk bantuan segera selama serangan.

Tingkatkan keamanan asal yang dihosting Azure Anda dengan membatasi akses mereka ke Azure Front Door melalui Azure Private Link. Fitur ini memungkinkan koneksi jaringan privat antara Azure Front Door dan server aplikasi Anda, menghilangkan kebutuhan untuk mengekspos asal Anda ke internet publik.

Langkah berikutnya