Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure DDoS Protection.
Co to jest atak typu "rozproszona odmowa usługi" (DDoS)?
Rozproszona odmowa usługi (DDoS) to typ ataku, w którym osoba atakująca wysyła więcej żądań do aplikacji, niż aplikacja może obsługiwać. Efektem wynikowym jest wyczerpanie zasobów, co wpływa na dostępność aplikacji i możliwość obsługi jej klientów. W ciągu ostatnich kilku lat przemysł odnotował gwałtowny wzrost ataków, a ataki stają się bardziej wyrafinowane i większe. Ataki DDoS mogą być kierowane do dowolnego punktu końcowego, który jest publicznie dostępny za pośrednictwem Internetu.
Co to jest usługa Azure DDoS Protection?
Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure DDoS Protection.
Jak działa cennik?
Plany ochrony przed atakami DDoS mają stałą miesięczną opłatę, która obejmuje maksymalnie 100 publicznych adresów IP. Dostępna jest ochrona dodatkowych zasobów.
W ramach dzierżawy pojedynczy plan ochrony przed atakami DDoS może być używany w wielu subskrypcjach, dlatego nie trzeba tworzyć więcej niż jednego planu ochrony przed atakami DDoS.
W przypadku wdrożenia usługi Application Gateway z zaporą aplikacji internetowej w chronionej sieci wirtualnej usługi DDoS nie są naliczane dodatkowe opłaty za zaporę aplikacji internetowej — płacisz za usługę Application Gateway przy niższej stawce zapory aplikacji innych niż WAF. Te zasady dotyczą jednostek SKU usługi Application Gateway w wersji 1 i 2.
Aby uzyskać więcej informacji, zobacz Cennik usługi Azure DDoS Protection.
Którą warstwę usługi Azure DDoS Protection należy wybrać?
Jeśli musisz chronić mniej niż 15 zasobów publicznych adresów IP, warstwa ochrony IP jest bardziej opłacalna. Jeśli masz więcej niż 15 zasobów publicznych adresów IP do ochrony, warstwa Ochrony sieci jest bardziej opłacalna. Usługa Network Protection oferuje również dodatkowe funkcje, w tym DDoS Protection Rapid Response (DRR), gwarancje ochrony kosztów i rabaty zapory aplikacji internetowej (WAF).
Czy strefa usługi jest odporna?
Tak. Usługa Azure DDoS Protection jest domyślnie odporna na strefy.
Jak mogę skonfigurować usługę tak, aby były odporne na strefy?
Do włączenia odporności strefy nie jest konieczna żadna konfiguracja klienta. Odporność strefy dla zasobów usługi Azure DDoS Protection jest domyślnie dostępna i zarządzana przez samą usługę.
Co z ochroną w warstwie usługi (warstwa 7)?
Klienci mogą używać usługi Azure DDoS Protection w połączeniu z zaporą aplikacji internetowej (WAF) do ochrony zarówno w warstwie sieciowej (warstwa 3 i 4 oferowanej przez usługę Azure DDoS Protection) i warstwie aplikacji (warstwa 7 oferowana przez zaporę aplikacji internetowej). Oferty zapory aplikacji internetowej obejmują jednostkę SKU zapory aplikacji internetowej usługi Azure Application Gateway i oferty zapory aplikacji internetowej innych firm dostępne w witrynie Azure Marketplace.
Czy usługi są niebezpieczne na platformie Azure bez usługi?
Usługi działające na platformie Azure są z natury chronione przez domyślną ochronę przed atakami DDoS na poziomie infrastruktury. Jednak ochrona zabezpieczania infrastruktury ma znacznie wyższy próg niż większość aplikacji ma pojemność do obsługi i nie zapewnia telemetrii ani alertów, więc podczas gdy wolumin ruchu może być postrzegany jako nieszkodliwy przez platformę, może to być druzgocące dla aplikacji, która ją odbiera.
Dołączając do usługi Azure DDoS Protection, aplikacja otrzymuje dedykowane monitorowanie w celu wykrywania ataków i progów specyficznych dla aplikacji. Usługa będzie chroniona za pomocą profilu, który jest dostrojony do oczekiwanego natężenia ruchu, zapewniając znacznie ściślejszą ochronę przed atakami DDoS.
Jakie są obsługiwane typy chronionych zasobów?
Publiczne adresy IP w sieciach wirtualnych opartych na usłudze ARM są obecnie jedynym typem chronionego zasobu. Chronione zasoby obejmują publiczne adresy IP dołączone do maszyny wirtualnej IaaS, modułu równoważenia obciążenia (klasyczne i usługa Load Balancer w warstwie Standardowa), klastra usługi Application Gateway (w tym zapory aplikacji internetowej), zapory, usługi Bastion, bramy VPN Gateway, usługi Service Fabric lub wirtualnego urządzenia sieciowego (WUS) opartego na usłudze IaaS. Ochrona obejmuje również zakresy publicznych adresów IP przeniesionych na platformę Azure za pośrednictwem niestandardowych prefiksów adresów IP (BYOIPs).
Aby dowiedzieć się więcej o ograniczeniach, zobacz Architektury referencyjne usługi Azure DDoS Protection.
Czy są obsługiwane zasoby chronione przez usługę Classic/RDFE?
Tylko chronione zasoby oparte na usłudze ARM są obsługiwane w wersji zapoznawczej. Maszyny wirtualne we wdrożeniach klasycznych/RDFE nie są obsługiwane. Obsługa nie jest obecnie planowana dla zasobów klasycznych/RDFE. Aby uzyskać więcej informacji, zobacz Architektury referencyjne usługi Azure DDoS Protection.
Czy mogę chronić zasoby PaaS przy użyciu usługi DDoS Protection?
Publiczne adresy IP dołączone do wielu dzierżaw, pojedyncze usługi PaaS adresów VIP nie są obecnie obsługiwane. Przykłady nieobsługiwanych zasobów obejmują adresy VIP usługi Storage, adresy VIP usługi Event Hubs i aplikacje app/Cloud Services. Aby uzyskać więcej informacji, zobacz Architektury referencyjne usługi Azure DDoS Protection.
Czy mogę chronić zasoby lokalne przy użyciu usługi DDoS Protection?
Aby zapewnić ochronę przed atakami DDoS, musisz mieć publiczne punkty końcowe usługi skojarzone z siecią wirtualną na platformie Azure. Przykładowe projekty obejmują:
- Witryny internetowe (IaaS) na platformie Azure i w bazach danych zaplecza w lokalnym centrum danych.
- Usługa Application Gateway na platformie Azure (ochrona przed atakami DDoS włączona w usłudze App Gateway/zaporze aplikacji internetowej) i witrynach internetowych w lokalnych centrach danych.
Aby uzyskać więcej informacji, zobacz Architektury referencyjne usługi Azure DDoS Protection.
Czy mogę zarejestrować domenę poza platformą Azure i skojarzyć je z chronionym zasobem, takim jak maszyna wirtualna lub ELB?
W scenariuszach z publicznym adresem IP usługa DDoS Protection będzie obsługiwać dowolną aplikację niezależnie od tego, gdzie skojarzona domena jest zarejestrowana lub hostowana, o ile skojarzony publiczny adres IP jest hostowany na platformie Azure.
Czy mogę ręcznie skonfigurować zasady DDoS zastosowane do sieci wirtualnych/publicznych adresów IP?
Nie, niestety dostosowywanie zasad nie jest obecnie dostępne.
Czy mogę zezwolić na określone adresy IP dotyczące listy dozwolonych/zablokowanych?
Nie, niestety ręczna konfiguracja nie jest obecnie dostępna.
Jak przetestować ochronę przed atakami DDoS?
Zobacz testowanie za pomocą symulacji.
Jak długo trwa ładowanie metryk w portalu?
Metryki powinny być widoczne w portalu w ciągu 5 minut. Jeśli zasób jest atakowany, inne metryki zaczną pojawiać się w portalu w ciągu 5–7 minut.
Czy usługa przechowuje dane klientów?
Nie, usługa Azure DDoS Protection nie przechowuje danych klientów.
Czy jest obsługiwane pojedyncze wdrożenie maszyny wirtualnej za publicznym adresem IP?
Scenariusze, w których jedna maszyna wirtualna jest uruchomiona za publicznym adresem IP, jest obsługiwana, ale nie jest zalecana. Środki zaradcze DDoS mogą nie być inicjowane natychmiast po wykryciu ataku DDoS. W związku z tym pojedyncze wdrożenie maszyny wirtualnej, które nie może skalować w poziomie, spadnie w takich przypadkach. Aby uzyskać więcej informacji, zobacz Podstawowe najlepsze rozwiązania.