Merekomendasikan kapan harus menggunakan Azure DDoS Protection Standard

Selesai

Serangan penolakan layanan (DDoS) terdistribusi adalah beberapa masalah ketersediaan dan keamanan terbesar yang dihadapi pelanggan yang memindahkan aplikasi mereka ke cloud. Serangan DDoS mencoba menghabiskan sumber daya aplikasi, sehingga membuat aplikasi tidak tersedia bagi pengguna yang sah. Serangan DDoS dapat ditargetkan pada titik akhir apa pun yang dapat dijangkau secara publik melalui internet.

Azure DDoS Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual. Perlindungan mudah diaktifkan pada jaringan virtual baru atau yang sudah ada, dan tidak memerlukan perubahan aplikasi atau sumber daya.

Diagram memperlihatkan contoh penolakan arsitektur perlindungan layanan terdistribusi Azure.

Azure DDoS Protection melindungi pada lapisan jaringan lapisan 3 dan lapisan 4. Untuk perlindungan aplikasi web di lapisan 7, Anda perlu menambahkan perlindungan di lapisan aplikasi menggunakan penawaran WAF.

Tingkatan

Perlindungan Jaringan DDoS

Azure DDoS Network Protection, dikombinasikan dengan praktik terbaik desain aplikasi, menyediakan fitur mitigasi DDoS yang ditingkatkan untuk bertahan dari serangan DDoS. Fitur ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik dalam jaringan virtual.

Perlindungan IP DDoS

DDoS IP Protection adalah model IP bayar per dilindungi. DDoS IP Protection berisi fitur rekayasa inti yang sama dengan DDoS Network Protection, tetapi akan berbeda dalam layanan bernilai tambah berikut: Dukungan respons cepat DDoS, perlindungan biaya, dan diskon pada WAF.

Fitur Utama

  • Pemantauan lalu lintas yang selalu aktif: Pola lalu lintas aplikasi Anda dipantau 24 jam sehari, 7 hari seminggu, guna mencari indikator serangan DDoS. Azure DDoS Protection secara instan dan otomatis mengurangi serangan, begitu terdeteksi.

  • Penyetelan real time adaptif: Pembuatan profil lalu lintas cerdas mempelajari lalu lintas aplikasi Anda dari waktu ke waktu, dan memilih dan memperbarui profil yang paling cocok untuk layanan Anda. Profil disesuaikan saat lalu lintas berubah dari waktu ke waktu.

  • Analitik, metrik, dan pemberitahuan DDoS Protection: Azure DDoS Protection menerapkan tiga kebijakan mitigasi yang disetel otomatis (TCP SYN, TCP, dan UDP) untuk setiap IP publik sumber daya yang dilindungi, di jaringan virtual yang mengaktifkan DDoS. Ambang batas kebijakan dikonfigurasi secara otomatis melalui pembuatan profil lalu lintas jaringan berbasis pembelajaran mesin. Mitigasi DDoS terjadi untuk alamat IP yang diserang hanya saat ambang kebijakan terlampaui.

    • Analitik serangan: Dapatkan laporan terperinci dalam tahapan lima menit selama serangan, dan ringkasan lengkap setelah serangan berakhir. Alirkan log aliran mitigasi ke Microsoft Azure Sentinel atau sistem Security Information and Event Management (SIEM) offline untuk pemantauan mendekati real-time selama serangan.
    • Metrik serangan: Ringkasan metrik dari setiap serangan dapat diakses melalui Azure Monitor.
    • Pemberitahuan serangan: Pemberitahuan dapat dikonfigurasi pada awal dan akhir serangan, serta selama durasi serangan, menggunakan metrik serangan bawaan. Pemberitahuan terintegrasi ke dalam perangkat lunak operasional Anda seperti log Microsoft Azure Monitor, Splunk, Azure Storage, Email, dan portal Microsoft Azure.
  • Respons Cepat Azure DDoS: Selama serangan aktif, pelanggan memiliki akses ke tim DDoS Rapid Response (DRR), yang dapat membantu penyelidikan serangan selama analisis serangan dan pasca-serangan.

  • Integrasi platform asli: Terintegrasi secara asli ke Azure. Termasuk konfigurasi melalui portal Microsoft Azure. Azure DDoS Protection memahami sumber daya dan konfigurasi sumber daya Anda.

  • Perlindungan turnkey: Konfigurasi yang disederhanakan segera melindungi semua sumber daya di jaringan virtual segera setelah DDoS Network Protection diaktifkan. Tidak diperlukan intervensi atau definisi pengguna. Demikian pula, konfigurasi yang disederhanakan segera melindungi sumber daya IP publik ketika DDoS IP Protection diaktifkan untuknya.

  • Perlindungan Multi-Lapisan: Saat disebarkan dengan firewall aplikasi web (WAF), Azure DDoS Protection melindungi baik di lapisan jaringan (Lapisan 3 dan 4, ditawarkan oleh Azure DDoS Protection) dan pada lapisan aplikasi (Lapisan 7, ditawarkan oleh WAF).

  • Skala mitigasi yang luas: Semua vektor serangan L3/L4 dapat dimitigasi, dengan kapasitas global, untuk melindungi dari serangan DDoS terbesar yang diketahui.

  • Jaminan biaya: Menerima transfer data dan kredit layanan peningkatan skala aplikasi untuk biaya sumber daya yang timbul akibat serangan DDoS yang terdokumentasi.

Sistem

Azure DDoS Protection dirancang untuk layanan yang disebarkan dalam jaringan virtual. Untuk layanan lain, perlindungan DDoS tingkat infrastruktur default berlaku, yang bertahan dari serangan lapisan jaringan umum.

Harga

Untuk DDoS Network Protection, di bawah penyewa, satu paket perlindungan DDoS dapat digunakan di beberapa langganan, sehingga tidak perlu membuat lebih dari satu paket perlindungan DDoS. Untuk DDoS IP Protection, Anda tidak perlu membuat rencana perlindungan DDoS. Pelanggan dapat mengaktifkan perlindungan IP DDoS pada sumber daya IP publik apa pun.

Praktik Terbaik

Maksimalkan efektivitas strategi perlindungan dan mitigasi DDoS Anda dengan mengikuti praktik terbaik berikut:

  • Desain aplikasi dan infrastruktur Anda dengan mengingat redundansi dan ketahanan.
  • Terapkan pendekatan keamanan berlapis, termasuk jaringan, aplikasi, dan perlindungan data.
  • Siapkan rencana respons insiden untuk memastikan respons terkoordinasi terhadap serangan DDoS.