Veelgestelde vragen over Azure DDoS Protection

Gedistribueerde denial of service of DDoS is een type aanval waarbij een aanvaller meer aanvragen naar een toepassing verzendt dan de toepassing kan verwerken. Het resulterende effect is dat resources worden uitgeput, wat van invloed is op de beschikbaarheid van de toepassing en de mogelijkheid om klanten te bedienen. De afgelopen jaren heeft de industrie een sterke toename van aanvallen gezien, waarbij aanvallen steeds geavanceerder en groter worden. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Azure DDoS Protection, gecombineerd met best practices voor het ontwerpen van toepassingen, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources. Zie het Overzicht van Azure DDoS Protection voor meer informatie. 

DDoS-beveiligingsplannen hebben een vaste maandelijkse kosten die maximaal 100 openbare IP-adressen dekken. Beveiliging voor extra resources is beschikbaar.

Onder een tenant kan één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, dus u hoeft niet meer dan één DDoS-beveiligingsplan te maken.

Wanneer Application Gateway met WAF wordt geïmplementeerd in een met DDoS beveiligd VNet, zijn er geen extra kosten voor WAF. U betaalt voor de Application Gateway tegen het lagere niet-WAF-tarief. Dit beleid is van toepassing op zowel Application Gateway v1- als v2-SKU's.

Zie prijzen voor Azure DDoS Protection voor prijzen en meer informatie.

Als u minder dan 15 openbare IP-resources wilt beveiligen, is de IP-beveiligingslaag de rendabeler optie. Als u meer dan 15 openbare IP-resources hebt om te beveiligen, is de netwerkbeveiligingslaag rendabeler. Network Protection biedt ook extra functies, waaronder DDoS Protection Rapid Response (DRR), garanties voor kostenbeveiliging en WAF-kortingen (Web Application Firewall).

Ja. Azure DDoS Protection is standaard zonetolerant.

Er is geen klantconfiguratie nodig om zonetolerantie in te schakelen. Zonetolerantie voor Azure DDoS Protection-resources is standaard beschikbaar en wordt beheerd door de service zelf.

Klanten kunnen de Azure DDoS Protection-service gebruiken in combinatie met een Web Application Firewall (WAF) voor beveiliging op zowel de netwerklaag (laag 3 als 4, aangeboden door Azure DDoS Protection) en op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in Azure Marketplace.

Services die worden uitgevoerd in Azure, worden inherent beveiligd door de DDoS-standaardbeveiliging op infrastructuurniveau. De beveiliging die de infrastructuur beschermt, heeft echter een veel hogere drempelwaarde dan de meeste toepassingen hebben de capaciteit om te verwerken en biedt geen telemetrie of waarschuwingen, dus hoewel een verkeersvolume door het platform als ongevaarlijk kan worden beschouwd, kan dit verwoestend zijn voor de toepassing die deze ontvangt.

Door de onboarding naar de Azure DDoS Protection-service uit te schakelen, krijgt de toepassing toegewezen bewaking om aanvallen en toepassingsspecifieke drempelwaarden te detecteren. Een service wordt beveiligd met een profiel dat is afgestemd op het verwachte verkeersvolume, wat een veel strakkere verdediging biedt tegen DDoS-aanvallen.

Openbare IP-adressen in OP ARM gebaseerde VNET's zijn momenteel het enige type beveiligde resource. Beveiligde resources omvatten openbare IP-adressen die zijn gekoppeld aan een IaaS-VM, Load Balancer (klassieke en standard load balancers), Application Gateway-cluster (inclusief WAF), Firewall, Bastion, VPN Gateway, Service Fabric of een NVA (Network Virtual Appliance) op basis van IaaS. Beveiliging omvat ook openbare IP-bereiken die naar Azure worden gebracht via aangepaste IP-voorvoegsels (BYOIPs).

Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie over beperkingen.

Alleen op ARM gebaseerde beveiligde resources worden ondersteund in de preview-versie. VM's in klassieke/RDFE-implementaties worden niet ondersteund. Ondersteuning is momenteel niet gepland voor klassieke/RDFE-resources. Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.

Openbare IP-adressen die zijn gekoppeld aan meerdere tenants, één VIP PaaS-services worden momenteel niet ondersteund. Voorbeelden van niet-ondersteunde resources zijn opslag-VIP's, Event Hubs-VIP's en App/Cloud Services-toepassingen. Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.

U moet beschikken over de openbare eindpunten van uw service die zijn gekoppeld aan een VNet in Azure om DDoS-beveiliging in te schakelen. Voorbeelden van ontwerpen zijn:

• Websites (IaaS) in Azure- en back-enddatabases in een on-premises datacenter.
• Application Gateway in Azure (DDoS-beveiliging ingeschakeld op App Gateway/WAF) en websites in on-premises datacenters.

Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.

Voor de openbare IP-scenario's ondersteunt de DDoS Protection-service elke toepassing, ongeacht waar het gekoppelde domein is geregistreerd of gehost zolang het bijbehorende openbare IP-adres wordt gehost in Azure.

Nee, helaas is beleidsaanpassing momenteel niet beschikbaar.

Nee, helaas is de handmatige configuratie momenteel niet beschikbaar.

Bekijk het testen via simulaties.

De metrische gegevens moeten binnen 5 minuten zichtbaar zijn in de portal. Als uw resource wordt aangevallen, worden andere metrische gegevens binnen 5-7 minuten in de portal weergegeven.

Nee, Azure DDoS-beveiliging slaat geen klantgegevens op.

Scenario's waarin één VIRTUELE machine achter een openbaar IP-adres wordt uitgevoerd, wordt ondersteund, maar niet aanbevolen. DDoS-risicobeperking kan mogelijk niet onmiddellijk worden gestart wanneer DDoS-aanval wordt gedetecteerd. Als gevolg hiervan gaat één VM-implementatie die niet kan worden uitgeschaald, in dergelijke gevallen omlaag. Zie Basisprocedures voor meer informatie.