Wat is Azure DDoS Protection Standard?

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Azure DDoS Protection Standard, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Deze wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources.

Diagram van de referentiearchitectuur voor een met DDoS Protection standard beveiligde PaaS-webtoepassing.

Belangrijkste voordelen

AlwaysOn-verkeersbewaking

Uw toepassingsverkeerspatronen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. DDoS Protection Standard beperkt de aanval direct en automatisch, zodra deze is gedetecteerd.

Adaptieve realtime afstemming

Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast als het verkeer na verloop van tijd verandert.

DDoS Protection-telemetrie, bewaking en waarschuwingen

DDoS Protection Standard past drie automatisch afgestemde risicobeperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres van de beveiligde resource, in het virtuele netwerk waarvoor DDoS is ingeschakeld. De beleidsdrempels worden automatisch geconfigureerd via profilering van netwerkverkeer op basis van machine learning. DDoS-beperking vindt alleen plaats voor een IP-adres dat wordt aangevallen wanneer de beleidsdrempelwaarde wordt overschreden.

Snelle reactie van Azure DDoS

Tijdens een actieve aanval hebben Azure DDoS Protection Standard-klanten toegang tot het DRR-team (DDoS Rapid Response), die kunnen helpen bij het onderzoeken van aanvallen tijdens een aanval en een analyse na aanvallen. Zie Azure DDoS Rapid Response voor meer informatie.

SKU's

Azure DDoS Protection heeft één beschikbare SKU met de naam DDoS Protection Standard. Zie quickstart: Azure DDoS Protection Standard maken en configureren voor meer informatie over het configureren van DDoS Protection Standard.

De volgende tabel bevat functies.

Functie DDoS-infrastructuurbeveiliging DDoS Protection Standard
Bewaking van & actief verkeer altijd ingeschakeld Ja Ja
Automatische aanvalsbeperking Ja Ja
Beschikbaarheidsgarantie Niet beschikbaar Ja
Kostenbescherming Niet beschikbaar Ja
Beleid voor risicobeperking op basis van toepassingen Niet beschikbaar Ja
Waarschuwingen voor & metrische gegevens Niet beschikbaar Ja
Risicobeperkingsrapporten Niet beschikbaar Ja
Stroomlogboeken voor risicobeperking Niet beschikbaar Ja
Aanpassingsbeleid voor risicobeperking Niet beschikbaar Ja
Ondersteuning voor snelle respons voor DDoS Niet beschikbaar Ja

Functies

Systeemeigen platformintegratie

Systeemeigen geïntegreerd in Azure. Bevat configuratie via de Azure Portal. DDoS Protection Standard begrijpt uw resources en resourceconfiguratie.

Kant-en-klare beveiliging

Vereenvoudigde configuratie beveiligt onmiddellijk alle resources in een virtueel netwerk zodra DDoS Protection Standard is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist.

Beveiliging met meerdere lagen:

Wanneer DDoS Protection Standard (Web Application Firewall) is geïmplementeerd, beveiligt DDoS Protection Standard zowel op de netwerklaag (laag 3 als 4, aangeboden door Azure DDoS Protection Standard) en op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in de Azure Marketplace.

Uitgebreide beperkingsschaal

Alle L3/L4-aanvalsvectoren kunnen worden verzacht, met wereldwijde capaciteit, om te beschermen tegen de grootste bekende DDoS-aanvallen.

Aanvalsanalyse

Krijg gedetailleerde rapporten in stappen van vijf minuten tijdens een aanval en een volledige samenvatting nadat de aanval is beëindigd. Stroomstroomlogboeken streamen naar Microsoft Sentinel of een SIEM-systeem (Offline Security Information and Event Management) voor bijna realtime bewaking tijdens een aanval. Zie Diagnostische logboekregistratie van DDoS weergeven en configureren voor meer informatie.

Metrische gegevens over aanvallen

Samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor. Zie DDoS-beveiligingstelemetrie weergeven en configureren voor meer informatie.

Aanvalswaarschuwingen

Waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval, en gedurende de duur van de aanval, met behulp van ingebouwde aanvalsgegevens. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en de Azure Portal. Zie DDoS-beveiligingswaarschuwingen weergeven en configureren voor meer informatie.

Kostengarantie

Ontvang servicetegoed voor gegevensoverdracht en uitschalen van toepassingen voor resourcekosten die zijn gemaakt als gevolg van gedocumenteerde DDoS-aanvallen.

Architectuur

DDoS Protection Standard is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de DDoS-standaardbeveiliging op infrastructuurniveau van toepassing, die bescherming biedt tegen veelvoorkomende aanvallen op netwerklagen. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde architecturen.

Prijzen

Onder een tenant kan één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, dus u hoeft niet meer dan één DDoS-beveiligingsplan te maken.

Zie prijzen voor Azure DDoS Protection Standard voor meer informatie over prijzen van Azure DDoS Protection Standard.

Veelgestelde vragen over DDoS-beveiliging

Zie de veelgestelde vragen over DDoS Protection voor veelgestelde vragen.

Volgende stappen