Wat is Azure DDoS Protection?

  • 12 minuten

Microsoft biedt gratis DDoS-infrastructuurbeveiliging aan alle Azure-klanten. Microsoft biedt ook aanvullende services in hun DDoS Protection-service.

Azure DDoS Infrastructure Protection of Azure DDoS Protection

U onderzoekt de voordelen voor Contoso om een upgrade uit te voeren naar Azure DDoS Protection voor uw services die worden uitgevoerd in Azure. De motivatie voor het evalueren van deze upgradeoptie, in overeenstemming met DDoS-beveiligingsexperts, is de groeiende frequentie en verfijning van DDoS-aanvallen.

Het aanvalsverkeer hoeft zich niet binnen het bereik van terabits per seconde te hebben om een toepassing uit te schakelen. Elke specifieke gerichte aanval kan van invloed zijn op de beschikbaarheid van een toepassing die wordt uitgevoerd in Azure, die verkeer van het openbare internet ontvangt.

Wat is een DDoS-aanval?

Bij een DDoS-aanval overspoelt een dader het systeem opzettelijk, zoals een server, website of andere netwerkresource, met nepverkeer. De computers zijn verbonden in een gecoördineerd opdracht- en beheernetwerk, een botnet genoemd. Een kwaadwillende derde partij beheert het botnet om de DDoS-aanval te starten. De activiteit activeert een denial of services voor legitieme gebruikers, door de mogelijkheden van de service te overweldigen. DDoS-aanvallen kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

In de volgende afbeelding ziet u een typische DDoS-aanval van een botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Enkele veelvoorkomende DDoS-aanvallen zijn:

  • Volumetrische aanvallen. Deze aanvallen gebruiken meerdere geïnfecteerde systemen om de netwerklaag te overspoelen met een aanzienlijke hoeveelheid schijnbaar legitiem verkeer. De meerdere gecompromitteerde systemen maken doorgaans deel uit van een crimineel botnet. De typen volumetrische DDoS-aanvallen zijn:

    • UDP overstromingen. De aanvaller verzendt UDP-pakketten, meestal grote pakketten, naar één bestemming of naar willekeurige poorten. De aanvalssystemen kunnen eenvoudig hun IP-adres spoofen, omdat UDP verbindingloos is.
    • Versterkingsvloeden. Een DNS-server wordt overweldigd met schijnbaar legitieme aanvragen voor de service. Het doel van de aanvaller is om de DNS-service te verzadigen door de bandbreedtecapaciteit te beperken.
    • Andere vervalste pakketstromen. Het verzenden van enorme hoeveelheden nepverkeer naar een resource.

  • Protocolaanvallen. Deze aanvallen richten zich op Laag 3 of Laag 4 van het OSI-model. Ze misbruiken een zwakke plek in TCP. Een voorbeeld van een DDoS-aanval op basis van een protocol is de TCP SYN-overstroming, die een deel van de drierichtings handshake exploiteert. De aanvaller verzendt een reeks TCP SYN-aanvragen, waarbij het SYN+ACK-antwoord wordt genegeerd. Deze aanval wordt gericht op een doel met het doel om het doel te overweldigen en ervoor te zorgen dat deze niet reageert.

  • Aanvallen op de resourcelaag (toepassingslaag). Resourceaanvallen richten zich op de 'bovenste' laag in het OSI-model om de overdracht van gegevens tussen hosts te verstoren. Deze laag-7-aanvallen omvatten het misbruiken van het HTTP-protocol, SQL-injectieaanvallen, scripting op meerdere sites en andere toepassingsaanvallen.

Azure DDoS Protection-aanbiedingen

DDoS-beveiliging is vergelijkbaar met een beveiligd en functionerend back-upsysteem. De waarde van een back-up voor uw organisatie is pas duidelijk als deze nodig is. DDoS-beveiliging, zoals een back-up, biedt risicobeperking tegen potentiële bedreigingen.

DDoS-infrastructuurbeveiliging

Azure biedt continue beveiliging tegen DDoS-aanvallen. DDoS-beveiliging slaat geen klantgegevens op. Zonder extra kosten beveiligt Azure DDoS Infrastructure Protection elke Azure-service die gebruikmaakt van openbare IPv4- en IPv6-adressen. Deze DDoS-beveiligingsservice helpt bij het beveiligen van alle Azure-services, waaronder PaaS-services (Platform as a Service), zoals Azure DNS. DDoS Infrastructure Protection vereist geen wijzigingen in de gebruikersconfiguratie of toepassing.

Azure DDoS Infrastructure Protection biedt:

  • Actieve verkeersbewaking en always-on-detectie. DDoS Infrastructure Protection bewaakt de verkeerspatronen van uw toepassingen de hele dag, elke dag, om te zoeken naar indicatoren van DDoS-aanvallen.
  • Automatische aanvalsbeperking. Zodra de aanval is gedetecteerd, wordt deze verzacht.
  • De SLA (Service Level Agreement) voor DDoS Infrastructure Protection, die is gebaseerd op de Azure-regio met ondersteuning voor best effort.

Services die worden uitgevoerd in Azure, worden inherent beveiligd door de DDoS-standaardbeveiliging op infrastructuurniveau. De beveiliging die de infrastructuur beschermt, heeft echter een veel hogere drempelwaarde dan de meeste toepassingen hebben de capaciteit om te verwerken en biedt geen telemetrie of waarschuwingen, dus hoewel een verkeersvolume door het platform als ongevaarlijk kan worden beschouwd, kan het verwoestend zijn voor de toepassing die het ontvangt.

Door onboarding naar de Azure DDoS Protection-service krijgt de toepassing toegewezen bewaking om aanvallen en toepassingsspecifieke drempelwaarden te detecteren. Een service wordt beveiligd met een profiel dat is afgestemd op het verwachte verkeersvolume, wat een veel strakkere verdediging biedt tegen DDoS-aanvallen.

Azure DDoS-netwerkbeveiliging

DDoS-netwerkbeveiliging biedt verbeterde DDoS-risicobeperkingsfuncties voor bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen.

In de volgende lijst worden de functies en voordelen van DDoS-netwerkbeveiliging beschreven:

  • Beveiliging voor 100 openbare IP-resources.
  • Het biedt intelligente verkeersprofilering, waarover u in de volgende les leert.
  • Het biedt systeemeigen integratie in Azure Portal voor installatie en implementatie. Met dit integratieniveau kan DDoS Protection uw Azure-resources en hun configuraties identificeren.
  • Wanneer DDoS-netwerkbeveiliging is ingeschakeld voor een virtueel netwerk, worden alle resources op dat netwerk automatisch beveiligd. Er is geen andere administratieve procedure nodig.
  • Uw netwerkbronnen worden voortdurend gecontroleerd op verkeer voor indicaties van een DDoS-aanval. Zodra DDoS Network Protection is gedetecteerd, treedt DDoS Network Protection op en wordt de aanval automatisch beperkt.
  • Het helpt bij het beveiligen van lagen 3 en 4 op de netwerklaag. Het biedt ook toepassingsbeveiliging (laag 7) met Azure Web Application Firewall, die is opgenomen in Azure Gateway. Omdat Azure Gateway en Web Application Firewall internetgericht zijn, beschermt DDoS Protection hun netwerkinterfaces. Deze beveiligingsstrategie is een voorbeeld van meerlaagse of diepgaande bescherming.
  • Het biedt gedetailleerde analyserapporten voor aanvallen tijdens de aanval in intervallen van vijf minuten en een rapport na actie voor een volledig overzicht van de gebeurtenis, wanneer de aanval afloopt.
  • Het bevat ondersteuning voor de integratie van risicobeperkingslogboeken met Microsoft Defender voor Cloud, Microsoft Sentinel of een SIEM-systeem (Offline Security Information and Event Management) voor bijna realtime bewaking tijdens een aanval.
  • Azure Monitor verzamelt bewakingstelemetrie van DDoS Network Protection voor toegang tot samengevatte metrische gegevens over aanvallen.

Ip-beveiliging van Azure DDoS

DDoS IP Protection is een met betalen per beveiligd IP-model. DDoS IP Protection bevat dezelfde kernfuncties als DDoS Network Protection, maar verschilt in de volgende services met toegevoegde waarde:

  • Ondersteuning voor snelle respons van DDoS
  • Kostenbeveiliging
  • Kortingen op WAF.

Services met toegevoegde waarde

Kostengarantie en DDoS-ondersteuning voor snelle respons zijn twee van de andere belangrijke DDoS-netwerkbeveiligingsfuncties.

Kostengarantie

Aan het begin van een DDoS-aanval activeert de toename van de netwerkbandbreedte en/of het omhoog schalen van het aantal virtuele machines vaak de automatische uitschalen van de service die wordt uitgevoerd in Azure.

Notitie

Klanten die aan boord zijn van DDoS Protection ontvangen servicetegoed voor uitschalen van toepassingen en kosten voor netwerkbandbreedte die ze ondervinden tijdens een gedocumenteerde DDoS-aanval. Microsoft verstrekt dit tegoed rechtstreeks.

Ondersteuning voor snelle respons van DDoS

Microsoft heeft een team voor snelle respons van DDoS Protection gemaakt. U kunt contact opnemen met dit team voor hulp tijdens een DDoS-aanval en een analyse na een aanval aanvragen. Het DDoS Protection Rapid Response-team volgt het ondersteuningsmodel van Azure Rapid Response.

U kunt het team op de hoogte stellen door een ondersteuningsaanvraag te openen in Azure Portal. Neem contact op met het team als:

  • Uw bedrijf plant een virtuele gebeurtenis die naar verwachting uw netwerkverkeer aanzienlijk zal verhogen.
  • Er is een aanval die de prestaties van een beveiligd kritiek bedrijfssysteem ernstig verslechtert.
  • Uw beveiligingsteam bepaalt dat beveiligde resources worden aangevallen, maar DDoS Protection beperkt de aanval niet effectief.