Samenwerken met Azure DDoS Protection

In dit artikel worden de mogelijkheden beschreven om samen te werken met Azure DDoS Protection. Dit artikel is ontworpen om productmanagers en rollen voor bedrijfsontwikkeling inzicht te geven in de investeringstrajecten en inzicht te geven in de waardeproposities van partners.

Achtergrond

DDoS-aanvallen (Distributed Denial of Service) zijn een van de belangrijkste problemen met betrekking tot beschikbaarheid en beveiliging die worden geuit door klanten die hun toepassingen naar de cloud verplaatsen. Omdat afpersing en hacktivisme de algemene motivaties achter DDoS-aanvallen zijn, zijn ze consistent toegenomen in type, schaal en frequentie van voorkomen, omdat ze relatief eenvoudig en goedkoop te lanceren zijn.

Azure DDoS Protection biedt tegenmaatregelen tegen de meest geavanceerde DDoS-bedreigingen, waarbij gebruik wordt gemaakt van de wereldwijde schaal van Azure-netwerken. De service biedt verbeterde DDoS-risicobeperkingsmogelijkheden voor toepassingen en resources die zijn geïmplementeerd in virtuele netwerken.

Technologiepartners kunnen de resources van hun klanten systeemeigen beveiligen met Azure DDoS Protection om de problemen met beschikbaarheid en betrouwbaarheid als gevolg van DDoS-aanvallen op te lossen.

Inleiding tot Azure DDoS Protection

Azure DDoS Protection biedt verbeterde DDoS-risicobeperkingsmogelijkheden tegen DDoS-aanvallen op laag 3 en laag 4. Hier volgen de belangrijkste functies van de DDoS Protection-service.

Adaptieve realtime afstemming

Voor elke beveiligde toepassing stemt Azure DDoS Protection automatisch de drempelwaarden van het DDoS-risicobeperkingsbeleid af op basis van de verkeersprofielpatronen van de toepassing. De service bereikt deze aanpassing met behulp van twee inzichten:

  • Automatisch leren van verkeerspatronen per klant (per IP) voor Laag 3 en 4.
  • Het minimaliseren van fout-positieven, gezien het belang van de schaal van Azure om een aanzienlijke hoeveelheid verkeer te absorberen.

Diagram van adaptieve afstemming in realtime.

Aanvalsanalyse, telemetrie, bewaking en waarschuwingen

Azure DDoS Protection identificeert en beperkt DDoS-aanvallen zonder tussenkomst van de gebruiker.

  • Als de beveiligde resource zich in het abonnement bevindt dat valt onder Microsoft Defender for Cloud, stuurt DDoS Protection automatisch een waarschuwing naar Defender for Cloud wanneer een DDoS-aanval wordt gedetecteerd en beperkt tegen de beveiligde toepassing.
  • Als u een melding wilt ontvangen wanneer er een actieve beperking is voor een beveiligd openbaar IP-adres, kunt u een waarschuwing configureren voor de metrische waarde Onder DDoS-aanval of niet.
  • U kunt er ook voor kiezen om waarschuwingen te maken voor de andere metrische DDoS-gegevens en om aanvalstelemetrie te configureren om inzicht te krijgen in de schaal van de aanval, het wegvallen van verkeer, aanvalsvectoren, belangrijkste inzenders en andere details.

Metrische DDoS-gegevens

DDoS rapid response (DRR)

DDoS Protection-klanten hebben toegang tot het Rapid Response-team tijdens een actieve aanval. DRR kan helpen bij het onderzoeken van aanvallen tijdens een aanval en een analyse na een aanval.

SLA-garantie en kostenbescherming

De DDoS Protection-service wordt gedekt door een SLA van 99,99% en kostenbeveiliging biedt resourcetegoeden voor uitschalen tijdens een gedocumenteerde aanval. Zie SLA voor Azure DDoS Protection voor meer informatie.

Hier volgen de belangrijkste voordelen die u kunt afleiden door te integreren met Azure DDoS Protection:

  • De services die partners (load balancer, web application firewall, firewall, enzovoort) aan hun klanten aanbieden, worden automatisch beveiligd (white labeled) door Azure DDoS Protection in de back-end.
  • Partners hebben toegang tot Azure DDoS Protection-aanvalsanalyses en -telemetrie die ze kunnen integreren met hun eigen producten en zo een uniforme klantervaring bieden.
  • Partners hebben toegang tot DDoS-ondersteuning voor snelle reactie, zelfs als er geen snelle reactie van Azure is, voor DDoS-gerelateerde problemen.
  • De beveiligde toepassingen van partners worden ondersteund door een DDoS SLA-garantie en kostenbeveiliging in het geval van DDoS-aanvallen.

Overzicht van technische integratie

Azure DDoS Protection-partnermogelijkheden worden beschikbaar gesteld via Azure Portal, API's en CLI/PS.

Integreren met DDoS Protection

Partners moeten de volgende stappen uitvoeren om de integratie met Azure DDoS Protection te configureren:

  1. Maak een DDoS-beveiligingsplan in uw gewenste (partner)abonnement. Zie Een DDoS-beveiligingsplan maken voor stapsgewijze instructies.

    Notitie

    Er hoeft slechts 1 DDoS-beveiligingsplan te worden gemaakt voor een bepaalde tenant.

  2. Implementeer een service met een openbaar eindpunt in uw (partner)abonnementen, zoals load balancer, firewalls en web application firewall.
  3. Schakel Azure DDoS Protection in op het virtuele netwerk van de service met openbare eindpunten met behulp van het DDoS-beveiligingsplan dat u in de eerste stap hebt gemaakt. Zie Enable DDoS Protection plan (DDoS-beveiligingsplan inschakelen) voor stapsgewijze instructies

    Belangrijk

    Nadat Azure DDoS Protection is ingeschakeld in een virtueel netwerk, worden alle openbare IP-adressen in dat virtuele netwerk automatisch beveiligd. De oorsprong van deze openbare IP-adressen kan binnen Azure (clientabonnement) of buiten Azure zijn.

  4. U kunt desgewenst telemetrie- en aanvalsanalyses van Azure DDoS Protection integreren in uw toepassingsspecifieke, klantgerichte dashboard. Zie DDoS-beveiligingstelemetrie weergeven en configureren voor meer informatie over het gebruik van telemetrie.

Onboardinghandleidingen en technische documentatie

Hulp vragen

Op de markt komen

Volgende stappen

Bestaande partnerintegraties weergeven: