Wanneer gebruikt u Azure DDoS Protection?
Hier vergelijken we de DDoS Infrastructure Protection-service en DDoS Protection-service om een beter beeld te krijgen van de voordelen van een upgrade. In deze les leert u meer over de belangrijkste verschillen tussen de DDoS Protection-SKU's en over het bouwen van tolerantie tegen DDoS-aanvallen in uw toepassingen. U gebruikt deze informatie om te bepalen welke SKU geschikt is voor Contoso.
DDoS-tolerante services bouwen in Azure
Azure DDoS Infrastructure Protection beschermt automatisch elke geïmplementeerde service in Azure zonder extra kosten en vereist ook geen wijzigingen in de configuratie van toepassingen of gebruikers.
Wanneer u besluit om een upgrade uit te voeren van Azure DDoS Infrastructure Protection naar Azure DDoS Protection, is het belangrijk om een risicoanalyse uit te voeren voor een DDoS-aanval op uw belangrijkste Azure-resources. Zelfs met de ingebouwde DDoS-services die beschikbaar zijn, is het beter om niet alleen te vertrouwen op beveiliging na de implementatie. Het is belangrijk om een toepassing te bouwen die bestand is tegen of snel kan worden hersteld na een denial-of-service-aanval.
Het Azure-framework voor workloadtolerantie
Het Azure-team heeft een framework gepubliceerd voor het ontwerpen van uw workload voor tolerantie. Dit framework is een verzameling leidende principes die u kunt volgen om de kwaliteit van een workload te verbeteren.
Bij het bouwen of implementeren van uw workload is het belangrijk om het volgende te ontwerpen:
- Beveiliging. Identificeer en documenteer beveiligingsvereisten vroeg in de ontwikkelingslevenscyclus. Deze procedure helpt u ervoor te zorgen dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing. Slecht ontworpen toepassingen kunnen inefficiënte routines hebben die gebruikmaken van overmatige resources, wat kan leiden tot een servicestoring, zelfs met een lage aanvraagsnelheid.
- Schaalbaarheid. Azure biedt horizontale automatische schaalaanpassing van een toepassing, maar u moet uw toepassing ontwerpen om aan deze vraag te voldoen als er een DDoS-aanval is. Wanneer de toepassing afhankelijk is van één implementatie van een service, resulteert deze in één storingspunt. Door meerdere exemplaren in te richten, is uw systeem toleranter en schaalbaarder.
- Diepgaande verdediging. Diepgaande verdediging is een goed geaccepteerde strategie die gebruikmaakt van meerdere beveiligingsmaatregelen om de assets van een organisatie te beschermen. U kunt de kans op een geslaagde aanval verlagen door beveiligingsbeveiligingen voor Azure-services te lagen en zelfs te dupliceren. U kunt ook de beveiliging en robuustheid van uw ontwerp verbeteren door de mogelijkheden van het ingebouwde Azure-platform te kennen en te begrijpen. Een ander voordeel van het gebruik van Azure-services is een vermindering van de kwetsbaarheid voor aanvallen van uw toepassing. Diepgaande verdediging omvat alle beveiligingsmaatregelen van de organisatie om alle problemen met betrekking tot het beveiligen van een toepassing op te lossen.
Deze maatregelen kunnen u helpen de beveiliging te verbeteren en te voldoen aan wettelijke vereisten. Nadat u de overwegingen voor het bouwen van DDoS-tolerante toepassingen hebt aangepakt, moet u nu bepalen welke functies van Azure DDoS Protection u nodig hebt. In de volgende tabel worden de belangrijkste functies van DDoS Protection-lagen en DDoS Infrastructure Protection vergeleken.
| Functie | DDoS-infrastructuurbeveiliging | DDoS-netwerkbeveiliging | DDoS IP-beveiliging |
|---|---|---|---|
| Actieve verkeersbewaking en altijd ingeschakelde detectie | Ja | Ja | Ja |
| Automatische aanvalsbeperking | Ja | Ja | Ja |
| Beschikbaarheidsgarantie | Nr. | Ja | Ja |
| Kostenbeveiliging | Nr. | Ja | Nr. |
| Beperkingsbeleid dat is afgestemd op de toepassing van de klant | Nr. | Ja | Ja |
| Metrische gegevens en waarschuwingen | Nr. | Ja | Ja |
| Risicobeperkingsrapporten | Nr. | Ja | Ja |
| Stroomlogboeken voor risicobeperking | Nr. | Ja | Ja |
| Ondersteuning voor snelle respons van DDoS | Nr. | Ja | Nr. |
Aanvullende DDoS-beveiligingsfuncties
Met DDoS Protection blijft het verkeer altijd binnen de Azure-regio. Het verkeer binnen de lokale regio houdt ook de prestaties bij, omdat DDoS Protection de aanvalsbeperking uitvoert in een Azure-regio. Azure DDoS Protection beperkt het aanvalsverkeer dat zich het dichtst bij de toepassing bevindt. Als Microsoft echter aangeeft dat het aanvalsvolume aanzienlijk is, wordt de wereldwijde schaal van Azure-netwerken gebruikt om de aanval te verdedigen waar het vandaan komt.
Microsoft gebruikt deze diepgaande verdedigingsstrategie om uw back-endservices en uw Azure-services zoals Azure Front Door en Azure-toepassing Gateway te beveiligen.
DDoS Protection biedt meer functies dan DDoS Infrastructure Protection. Als u vaststelt dat bepaalde toepassingen kritiek zijn; Bijvoorbeeld een grote omzet genererende e-commercewebsite, dan is DDoS Protection de aanbevolen keuze.
U hebt besloten dat de DDoS IP Protection-SKU perfect is voor uw kleine organisatie omdat het een betalen per IP-service is. U weet dat u kunt overschakelen naar de DDoS Network Protection-SKU voor beveiliging van virtuele netwerken, DDoS Rapid Response-ondersteuning en kostengarantie zodra Contoso de services uitbreidt.