Wat is Azure DDoS Protection?

DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources.

Diagram van de referentiearchitectuur voor een met DDoS beveiligde PaaS-webtoepassing.

Beschikbaarheid in regio's

DDoS IP Protection is momenteel niet beschikbaar in de regio's VS - oost 2 en Europa - west.

Belangrijkste voordelen

Bewaking van altijd ingeschakeld verkeer

Uw toepassingsverkeerspatronen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Azure DDoS Protection vermindert de aanval direct en automatisch, zodra deze is gedetecteerd.

Adaptieve afstemming in realtime

Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast als het verkeer in de loop van de tijd verandert.

Telemetrie, bewaking en waarschuwingen voor DDoS-beveiliging

Azure DDoS Protection past drie automatisch afgestemde risicobeperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres van de beveiligde resource in het virtuele netwerk waarvoor DDoS is ingeschakeld. De beleidsdrempels worden automatisch geconfigureerd via profilering van netwerkverkeer op basis van machine learning. DDoS-beperking vindt alleen plaats voor een IP-adres dat wordt aangevallen wanneer de beleidsdrempelwaarde wordt overschreden.

Snelle reactie van Azure DDoS

Tijdens een actieve aanval hebben Azure DDoS Protection-klanten toegang tot het DDoS Rapid Response(DRR)-team, dat kan helpen met aanvalsonderzoek tijdens een aanval en een analyse na een aanval. Zie Azure DDoS Rapid Response voor meer informatie.

SKU

Azure DDoS Protection wordt aangeboden in twee beschikbare SKU's: DDoS IP Protection Preview en DDoS Network Protection. Zie SKU-vergelijking voor meer informatie over de SKU's.

Systeemeigen platformintegratie

Systeemeigen geïntegreerd in Azure. Bevat configuratie via de Azure Portal. Azure DDoS Protection begrijpt uw resources en resourceconfiguratie.

Kant-en-klare beveiliging

Vereenvoudigde configuratie beveiligt onmiddellijk alle resources in een virtueel netwerk zodra DDoS-netwerkbeveiliging is ingeschakeld. Er is geen interventie of gebruikersdefinitie vereist. Op dezelfde manier beveiligt een vereenvoudigde configuratie onmiddellijk een openbare IP-resource wanneer DDoS IP-beveiliging is ingeschakeld.

Beveiliging met meerdere lagen

Wanneer Azure DDoS Protection wordt geïmplementeerd met een Web Application Firewall (WAF), beveiligt azure DDoS Protection zowel op de netwerklaag (laag 3 en 4, aangeboden door Azure DDoS Protection) als op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in de Azure Marketplace.

Uitgebreide beperkingsschaal

Alle L3/L4-aanvalsvectoren kunnen worden beperkt, met wereldwijde capaciteit, om bescherming te bieden tegen de grootste bekende DDoS-aanvallen.

Aanvalsanalyse

Ontvang gedetailleerde rapporten in stappen van vijf minuten tijdens een aanval en een volledig overzicht nadat de aanval is beëindigd. Stroomlogboeken voor risicobeperking streamen naar Microsoft Sentinel of een offline SIEM-systeem (Security Information and Event Management) voor bijna realtime bewaking tijdens een aanval. Zie Diagnostische logboekregistratie van DDoS weergeven en configureren voor meer informatie.

Metrische gegevens over aanvallen

Samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor. Zie Telemetrie voor DDoS-beveiliging weergeven en configureren voor meer informatie.

Aanvalswaarschuwingen

Waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval, en gedurende de duur van de aanval, met behulp van ingebouwde metrische gegevens voor aanvallen. Waarschuwingen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en de Azure Portal. Zie Waarschuwingen voor DDoS-beveiliging weergeven en configureren voor meer informatie.

Kostengarantie

Servicetegoed voor gegevensoverdracht en toepassingsschaalservice ontvangen voor resourcekosten die zijn gemaakt als gevolg van gedocumenteerde DDoS-aanvallen.

Architectuur

Azure DDoS Protection is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de standaard DDoS-beveiliging op infrastructuurniveau van toepassing, die bescherming biedt tegen veelvoorkomende aanvallen op de netwerklaag. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde architecturen.

Prijzen

Voor DDoS-netwerkbeveiliging kan onder een tenant één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, zodat u niet meer dan één DDoS-beveiligingsplan hoeft te maken. Voor DDoS IP-beveiliging hoeft u geen DDoS-beveiligingsplan te maken. Klanten kunnen DDoS IP-beveiliging inschakelen voor elke openbare IP-resource.

Zie Prijzen van Azure DDoS Protection voor meer informatie over de prijzen van Azure DDoS Protection.

Veelgestelde vragen over DDoS-beveiliging

Zie veelgestelde vragen over DDoS-beveiliging voor veelgestelde vragen.

Volgende stappen