In dit artikel vindt u antwoorden op veelgestelde vragen over Azure DDoS Protection.
Wat is een DDoS-aanval (Distributed Denial of Service)?
Gedistribueerde denial of service of DDoS is een type aanval waarbij een aanvaller meer aanvragen naar een toepassing verzendt dan de toepassing kan verwerken. Het resulterende effect is dat resources worden uitgeput, wat van invloed is op de beschikbaarheid van de toepassing en de mogelijkheid om klanten te bedienen. De afgelopen jaren heeft de industrie een sterke toename van aanvallen gezien, waarbij aanvallen steeds geavanceerder en groter worden. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.
Wat is de Azure DDoS Protection-service?
Azure DDoS Protection, gecombineerd met best practices voor het ontwerpen van toepassingen, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources. Zie het Overzicht van Azure DDoS Protection voor meer informatie.
Hoe worden de prijzen berekend?
DDoS-beveiligingsplannen hebben een vaste maandelijkse kosten die maximaal 100 openbare IP-adressen dekken. Beveiliging voor extra resources is beschikbaar.
Onder een tenant kan één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, dus u hoeft niet meer dan één DDoS-beveiligingsplan te maken.
Wanneer Application Gateway met WAF wordt geïmplementeerd in een met DDoS beveiligd VNet, zijn er geen extra kosten voor WAF. U betaalt voor de Application Gateway tegen het lagere niet-WAF-tarief. Dit beleid is van toepassing op zowel Application Gateway v1- als v2-SKU's.
Zie prijzen voor Azure DDoS Protection voor prijzen en meer informatie.
Welke Azure DDoS Protection-laag moet ik kiezen?
Als u minder dan 15 openbare IP-resources wilt beveiligen, is de IP-beveiligingslaag de rendabeler optie. Als u meer dan 15 openbare IP-resources hebt om te beveiligen, is de netwerkbeveiligingslaag rendabeler. Network Protection biedt ook extra functies, waaronder DDoS Protection Rapid Response (DRR), garanties voor kostenbeveiliging en WAF-kortingen (Web Application Firewall).
Is de servicezone tolerant?
Ja. Azure DDoS Protection is standaard zonetolerant.
Hoe kan ik de service zo configureren dat deze zonetolerant is?
Er is geen klantconfiguratie nodig om zonetolerantie in te schakelen. Zonetolerantie voor Azure DDoS Protection-resources is standaard beschikbaar en wordt beheerd door de service zelf.
Hoe zit het met beveiliging op de servicelaag (laag 7)?
Klanten kunnen de Azure DDoS Protection-service gebruiken in combinatie met een Web Application Firewall (WAF) voor beveiliging op zowel de netwerklaag (laag 3 als 4, aangeboden door Azure DDoS Protection) en op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in Azure Marketplace.
Zijn services onveilig in Azure zonder de service?
Services die worden uitgevoerd in Azure, worden inherent beveiligd door de DDoS-standaardbeveiliging op infrastructuurniveau. De beveiliging die de infrastructuur beschermt, heeft echter een veel hogere drempelwaarde dan de meeste toepassingen hebben de capaciteit om te verwerken en biedt geen telemetrie of waarschuwingen, dus hoewel een verkeersvolume door het platform als ongevaarlijk kan worden beschouwd, kan dit verwoestend zijn voor de toepassing die deze ontvangt.
Door de onboarding naar de Azure DDoS Protection-service uit te schakelen, krijgt de toepassing toegewezen bewaking om aanvallen en toepassingsspecifieke drempelwaarden te detecteren. Een service wordt beveiligd met een profiel dat is afgestemd op het verwachte verkeersvolume, wat een veel strakkere verdediging biedt tegen DDoS-aanvallen.
Wat zijn de ondersteunde beveiligde resourcetypen?
Openbare IP-adressen in OP ARM gebaseerde VNET's zijn momenteel het enige type beveiligde resource. Beveiligde resources omvatten openbare IP-adressen die zijn gekoppeld aan een IaaS-VM, Load Balancer (klassieke en standard load balancers), Application Gateway-cluster (inclusief WAF), Firewall, Bastion, VPN Gateway, Service Fabric of een NVA (Network Virtual Appliance) op basis van IaaS. Beveiliging omvat ook openbare IP-bereiken die naar Azure worden gebracht via aangepaste IP-voorvoegsels (BYOIPs).
Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie over beperkingen.
Worden klassieke/RDFE beveiligde resources ondersteund?
Alleen op ARM gebaseerde beveiligde resources worden ondersteund in de preview-versie. VM's in klassieke/RDFE-implementaties worden niet ondersteund. Ondersteuning is momenteel niet gepland voor klassieke/RDFE-resources. Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.
Kan ik mijn PaaS-resources beveiligen met DDoS Protection?
Openbare IP-adressen die zijn gekoppeld aan meerdere tenants, één VIP PaaS-services worden momenteel niet ondersteund. Voorbeelden van niet-ondersteunde resources zijn opslag-VIP's, Event Hubs-VIP's en App/Cloud Services-toepassingen. Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.
Kan ik mijn on-premises resources beveiligen met DDoS Protection?
U moet beschikken over de openbare eindpunten van uw service die zijn gekoppeld aan een VNet in Azure om DDoS-beveiliging in te schakelen. Voorbeelden van ontwerpen zijn:
- Websites (IaaS) in Azure- en back-enddatabases in een on-premises datacenter.
- Application Gateway in Azure (DDoS-beveiliging ingeschakeld op App Gateway/WAF) en websites in on-premises datacenters.
Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.
Kan ik een domein buiten Azure registreren en dat koppelen aan een beveiligde resource, zoals VM of ELB?
Voor de openbare IP-scenario's ondersteunt de DDoS Protection-service elke toepassing, ongeacht waar het gekoppelde domein is geregistreerd of gehost zolang het bijbehorende openbare IP-adres wordt gehost in Azure.
Kan ik het DDoS-beleid dat is toegepast op de VNets/openbare IP-adressen handmatig configureren?
Nee, helaas is beleidsaanpassing momenteel niet beschikbaar.
Kan ik specifieke IP-adressen toestaan/blokkeren?
Nee, helaas is de handmatige configuratie momenteel niet beschikbaar.
Hoe kan ik DDoS Protection testen?
Bekijk het testen via simulaties.
Hoe lang duurt het voordat de metrische gegevens in de portal worden geladen?
De metrische gegevens moeten binnen 5 minuten zichtbaar zijn in de portal. Als uw resource wordt aangevallen, worden andere metrische gegevens binnen 5-7 minuten in de portal weergegeven.
Slaat de service klantgegevens op?
Nee, Azure DDoS-beveiliging slaat geen klantgegevens op.
Wordt één VM-implementatie achter een openbaar IP-adres ondersteund?
Scenario's waarin één VIRTUELE machine achter een openbaar IP-adres wordt uitgevoerd, wordt ondersteund, maar niet aanbevolen. DDoS-risicobeperking kan mogelijk niet onmiddellijk worden gestart wanneer DDoS-aanval wordt gedetecteerd. Als gevolg hiervan gaat één VM-implementatie die niet kan worden uitgeschaald, in dergelijke gevallen omlaag. Zie Basisprocedures voor meer informatie.