Wat is Azure DDoS Protection?

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Azure DDoS Protection, gecombineerd met best practices voor het ontwerpen van toepassingen, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources.

Azure DDoS Protection beveiligt op laag 3- en laag 4-netwerklagen. Voor beveiliging van webtoepassingen op laag 7 moet u beveiliging op de toepassingslaag toevoegen met behulp van een WAF-aanbieding. Zie Application DDoS-beveiliging voor meer informatie.

Lagen

DDoS-netwerkbeveiliging

Azure DDoS Network Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Zie de quickstart: Azure DDoS Network Protection maken en configureren met behulp van Azure Portal voor meer informatie over het inschakelen van DDoS-netwerkbeveiliging.

DDoS IP-beveiliging

DDoS IP Protection is een met betalen per beveiligd IP-model. DDoS IP Protection bevat dezelfde kernfuncties als DDoS-netwerkbeveiliging, maar verschilt in de volgende services met toegevoegde waarde: DDoS-ondersteuning voor snelle respons, kostenbeveiliging en kortingen op WAF. Zie de quickstart: Azure DDoS IP Protection maken en configureren met behulp van Azure PowerShell voor meer informatie over het inschakelen van DDoS IP Protection.

Zie de vergelijking van de DDoS Protection-laag voor meer informatie over de lagen.

Belangrijke functies

• Always-on-verkeerscontrole: Uw verkeerspatronen van uw toepassing worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Azure DDoS Protection beperkt de aanval onmiddellijk en automatisch, zodra deze is gedetecteerd.

• Adaptieve realtime afstemming: Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast naarmate het verkeer na verloop van tijd verandert.

• DDoS Protection-analyse, metrische gegevens en waarschuwingen: Azure DDoS Protection past drie automatisch afgestemde beperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres van de beveiligde resource, in het virtuele netwerk waarvoor DDoS is ingeschakeld. De beleidsdrempels worden automatisch geconfigureerd via op machine learning gebaseerde netwerkverkeersprofilering. DDoS-beperking vindt alleen plaats voor een IP-adres dat wordt aangevallen wanneer de beleidsdrempel wordt overschreden.

  • Aanvalsanalyse: krijg gedetailleerde rapporten in stappen van vijf minuten tijdens een aanval en een volledige samenvatting nadat de aanval is beëindigd. Stroomlogboeken voor risicobeperking streamen naar Microsoft Sentinel of een SIEM-systeem (Offline Security Information and Event Management) voor bijna realtime bewaking tijdens een aanval. Zie Diagnostische logboekregistratie van DDoS weergeven en configureren voor meer informatie.

  • Metrische gegevens over aanvallen: samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor. Zie DDoS-beveiligingstelemetrie weergeven en configureren voor meer informatie.

  • Waarschuwing voor aanvallen: waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval, en over de duur van de aanval, met behulp van ingebouwde metrische gegevens voor aanvallen. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en Azure Portal. Zie DDoS-beveiligingswaarschuwingen weergeven en configureren voor meer informatie.

• Snelle reactie van Azure DDoS: tijdens een actieve aanval hebben klanten toegang tot het DRR-team (DDoS Rapid Response), die kunnen helpen bij het onderzoeken van aanvallen tijdens een aanval en na een aanvalsanalyse. Zie Azure DDoS Rapid Response voor meer informatie.

• Systeemeigen platformintegratie: systeemeigen geïntegreerd in Azure. Bevat configuratie via Azure Portal. Azure DDoS Protection begrijpt uw resources en resourceconfiguratie.

• Kant-en-klare beveiliging: met vereenvoudigde configuratie worden alle resources in een virtueel netwerk onmiddellijk beveiligd zodra DDoS-netwerkbeveiliging is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist. Op dezelfde manier beveiligt vereenvoudigde configuratie onmiddellijk een openbare IP-resource wanneer DDoS IP-beveiliging is ingeschakeld.

• Multi-Layered Protection: Wanneer Azure DDoS Protection wordt geïmplementeerd met een Web Application Firewall (WAF), beveiligt Azure DDoS Protection zowel op de netwerklaag (laag 3 als 4, aangeboden door Azure DDoS Protection) en op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in Azure Marketplace.

• Uitgebreide beperkingsschaal: alle L3/L4-aanvalsvectoren kunnen worden beperkt, met wereldwijde capaciteit, om te beschermen tegen de grootste bekende DDoS-aanvallen.

• Kostengarantie: ontvang servicetegoed voor gegevensoverdracht en uitschalen van toepassingen voor resourcekosten die zijn gemaakt als gevolg van gedocumenteerde DDoS-aanvallen.

Architectuur

Azure DDoS Protection is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de DDoS-standaardbeveiliging op infrastructuurniveau van toepassing, die bescherming biedt tegen algemene netwerklaagaanvallen. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde architecturen.

Prijzen

Voor DDoS-netwerkbeveiliging kan onder een tenant één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, dus u hoeft niet meer dan één DDoS-beveiligingsplan te maken. Voor DDoS IP Protection hoeft u geen DDoS-beveiligingsplan te maken. Klanten kunnen DDoS IP-beveiliging inschakelen voor elke openbare IP-resource.

Zie prijzen voor Azure DDoS Protection voor meer informatie over prijzen voor Azure DDoS Protection.

Beste praktijken

Maximaliseer de effectiviteit van uw DDoS-beveiligings- en risicobeperkingsstrategie door de volgende aanbevolen procedures te volgen:

• Ontwerp uw toepassingen en infrastructuur met redundantie en tolerantie in gedachten.
• Implementeer een beveiligingsbenadering met meerdere lagen, waaronder netwerk-, toepassings- en gegevensbeveiliging.
• Bereid een plan voor incidentrespons voor om een gecoördineerde reactie op DDoS-aanvallen te garanderen.

Zie Basisprocedures voor meer informatie over aanbevolen procedures.

Veelgestelde vragen

Zie de veelgestelde vragen over DDoS Protection voor veelgestelde vragen.

Volgende stappen

• Quickstart: Een DDoS-beveiligingsplan maken
• Learn-module: Inleiding tot Azure DDoS Protection
• Meer informatie over Azure-netwerkbeveiliging