Wat is Azure DDoS Protection?
DDoS-aanvallen (Distributed Denial of Service-aanvallen) vormen een van de grootste beschikbaarheids- en beveiligingsproblemen voor klanten die hun toepassingen verplaatsen naar de cloud. Met een DDoS-aanval wordt geprobeerd de resources van een toepassing uit te putten, waardoor de toepassing niet meer beschikbaar is voor legitieme gebruikers. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.
Azure DDoS Protection, in combinatie met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beschermen. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources.
Belangrijkste voordelen
Always-on verkeersbewaking
Uw toepassingsverkeerspatronen worden 24 uur per dag, 7 dagen per week bewaakt, op zoek naar indicatoren van DDoS-aanvallen. Azure DDoS Protection vermindert de aanval direct en automatisch, zodra deze is gedetecteerd.
Adaptieve afstemming in realtime
Intelligente verkeersprofilering leert het verkeer van uw toepassing in de loop van de tijd en selecteert en werkt het profiel bij dat het meest geschikt is voor uw service. Het profiel wordt aangepast als het verkeer in de loop van de tijd verandert.
Telemetrie, bewaking en waarschuwingen voor DDoS-beveiliging
Azure DDoS Protection past drie automatisch afgestemde risicobeperkingsbeleidsregels (TCP SYN, TCP en UDP) toe voor elk openbaar IP-adres van de beveiligde resource in het virtuele netwerk waarvoor DDoS is ingeschakeld. De beleidsdrempels worden automatisch geconfigureerd via profilering van netwerkverkeer op basis van machine learning. DDoS-beperking treedt alleen op voor een IP-adres waarop wordt aangevallen wanneer de beleidsdrempelwaarde wordt overschreden.
Snelle reactie van Azure DDoS
Tijdens een actieve aanval hebben Azure DDoS Protection-klanten toegang tot het DDoS Rapid Response-team (DRR), dat kan helpen met aanvalsonderzoek tijdens een aanval en een analyse na een aanval. Zie Snelle reactie van Azure DDoS voor meer informatie.
SKU
Azure DDoS Protection wordt aangeboden in twee beschikbare SKU's, DDoS IP-beveiliging en DDoS-netwerkbeveiliging. Zie SKU-vergelijking voor meer informatie over de SKU's.
Systeemeigen platformintegratie
Systeemeigen geïntegreerd in Azure. Bevat configuratie via de Azure Portal. Azure DDoS Protection begrijpt uw resources en resourceconfiguratie.
Kant-en-klare beveiliging
Vereenvoudigde configuratie beveiligt onmiddellijk alle resources in een virtueel netwerk zodra DDoS-netwerkbeveiliging is ingeschakeld. Er is geen tussenkomst of gebruikersdefinitie vereist. Op dezelfde manier beveiligt vereenvoudigde configuratie een openbare IP-resource onmiddellijk wanneer DDoS IP Protection hiervoor is ingeschakeld.
Meerlaagse beveiliging
Bij implementatie met een Web Application Firewall (WAF) beveiligt Azure DDoS Protection zowel op de netwerklaag (laag 3 en 4, aangeboden door Azure DDoS Protection) als op de toepassingslaag (laag 7, aangeboden door een WAF). WAF-aanbiedingen omvatten Azure Application Gateway WAF-SKU en webtoepassingsfirewallaanbiedingen van derden die beschikbaar zijn in de Azure Marketplace.
Uitgebreide risicobeperkingsschaal
Alle L3/L4-aanvalsvectoren kunnen worden beperkt, met wereldwijde capaciteit, om bescherming te bieden tegen de grootste bekende DDoS-aanvallen.
Aanvalsanalyse
Ontvang gedetailleerde rapporten in stappen van vijf minuten tijdens een aanval en een volledig overzicht nadat de aanval is beëindigd. Stream stroomlogboeken voor risicobeperking naar Microsoft Sentinel of een SIEM-systeem (Offline Security Information and Event Management) voor bijna realtime bewaking tijdens een aanval. Zie Diagnostische logboekregistratie van DDoS weergeven en configureren voor meer informatie.
Metrische gegevens over aanvallen
Samengevatte metrische gegevens van elke aanval zijn toegankelijk via Azure Monitor. Zie Telemetrie van DDoS-beveiliging weergeven en configureren voor meer informatie.
Aanvalswaarschuwingen
Waarschuwingen kunnen worden geconfigureerd aan het begin en einde van een aanval en gedurende de duur van de aanval, met behulp van ingebouwde metrische gegevens over aanvallen. Waarschuwingen kunnen worden geïntegreerd in uw operationele software, zoals Microsoft Azure Monitor-logboeken, Splunk, Azure Storage, Email en de Azure Portal. Zie Waarschuwingen voor DDoS-beveiliging weergeven en configureren voor meer informatie.
Kostengarantie
Ontvang servicetegoed voor gegevensoverdracht en uitschalen van toepassingen voor resourcekosten die zijn gemaakt als gevolg van gedocumenteerde DDoS-aanvallen.
Architectuur
Azure DDoS Protection is ontworpen voor services die zijn geïmplementeerd in een virtueel netwerk. Voor andere services is de standaard DDoS-beveiliging op infrastructuurniveau van toepassing, die bescherming biedt tegen veelvoorkomende aanvallen op netwerklagen. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde architecturen.
Prijzen
Voor DDoS-netwerkbeveiliging kan onder een tenant één DDoS-beveiligingsplan worden gebruikt voor meerdere abonnementen, zodat u niet meer dan één DDoS-beveiligingsplan hoeft te maken. Voor DDoS IP Protection hoeft u geen DDoS-beschermingsplan te maken. Klanten kunnen DDoS IP-beveiliging inschakelen voor elke openbare IP-resource.
Zie Prijzen van Azure DDoS Protection voor meer informatie over prijzen voor Azure DDoS Protection.
Veelgestelde vragen over DDoS-beveiliging
Zie veelgestelde vragen over DDoS Protection voor veelgestelde vragen.