Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas projektowania architektury zrównoważ wymagania dotyczące zabezpieczeń z ograniczeniami finansowymi przy zachowaniu ochrony przed atakami typu "rozproszona odmowa usługi" (DDoS). Aby zapoznać się z omówieniem funkcji ochrony przed atakami DDoS, zobacz Funkcje usługi DDoS Protection. Najważniejsze zagadnienia obejmują:
- Czy przydzielone budżety umożliwiają spełnienie celów dotyczących zabezpieczeń i dostępności?
- Jaki jest schemat wydatków na ochronę przed atakami DDoS w odniesieniu do twoich obciążeń?
- Jak zmaksymalizować inwestycje w ochronę dzięki lepszemu wyborowi zasobów i wykorzystaniu?
Strategia ochrony przed atakami DDoS zoptymalizowana pod kątem kosztów nie zawsze jest opcją najniższego kosztu. Należy zrównoważyć skuteczność zabezpieczeń z wydajnością finansową. Taktyczne cięcie kosztów może stworzyć luki w zabezpieczeniach. Aby osiągnąć długoterminową ochronę i odpowiedzialność finansową, utwórz strategię z priorytetyzacji na podstawie ryzyka, ciągłego monitorowania i powtarzalnych procesów.
Zacznij od zalecanych metod i uzasadnij korzyści wynikające z wymagań dotyczących zabezpieczeń. Po ustawieniu strategii użyj tych zasad za pomocą regularnych cykli oceny i optymalizacji. Aby uzyskać kompleksowe wskazówki dotyczące zarządzania kosztami, zobacz dokumentację usługi Azure Cost Management i kalkulator cen platformy Azure.
Opracowywanie dyscypliny ochrony
Optymalizacja kosztów ochrony przed atakami DDoS wymaga zrozumienia profilu ryzyka i dostosowania inwestycji w ochronę z priorytetami biznesowymi. Konfigurowanie jasnego ładu i odpowiedzialności za decyzje dotyczące ochrony. Aby uzyskać więcej informacji na temat ram zarządzania, zobacz dokumentację zarządzania platformą Azure.
| Recommendation | Benefit |
|---|---|
| Utwórz kompleksowy spis zasobów , który kataloguje wszystkie publiczne adresy IP i ich poziomy krytycznego działania firmy. | Kompletny spis umożliwia podejmowanie decyzji dotyczących ochrony opartej na ryzyku i uniemożliwia zarówno nadmierną aprowizację drogich ochrony, jak i pozostawienie niechronionych krytycznych zasobów. Można określić priorytety inwestycji w ochronę na podstawie rzeczywistego wpływu na działalność biznesową. |
| Ustanów wyraźną odpowiedzialność za decyzje dotyczące ochrony ze zdefiniowanymi rolami dla zespołów ds. zabezpieczeń, operacji i finansów. | Jasna odpowiedzialność zapewnia podejmowanie decyzji dotyczących ochrony, które uwzględniają zarówno wymagania dotyczące zabezpieczeń, jak i ograniczenia budżetowe. Wspólne podejmowanie decyzji zapobiega silosowym wyborom, które mogą naruszyć bezpieczeństwo lub przekroczyć budżety. |
| Twórz realistyczne budżety , które uwzględniają zarówno natychmiastowe potrzeby ochrony, jak i planowany wzrost zasobów publicznych. | Odpowiednie budżetowanie umożliwia przewidywalne koszty ochrony i zapobiega reaktywnym decyzjom podczas zdarzeń zabezpieczeń. Możesz zaplanować rozszerzanie ochrony w miarę rozwoju infrastruktury. |
| Zaimplementuj struktury oceny ryzyka , które definiują minimalne poziomy ochrony i ustandaryzowane zasady dla różnych typów zasobów. | Struktury oparte na ryzyku zapewniają ustrukturyzowane podejścia do oceny ryzyka ataków DDoS przy jednoczesnym zapewnieniu spójnych decyzji dotyczących ochrony. Pomagają identyfikować krytyczne zasoby, oceniać luki w zabezpieczeniach i określać odpowiednie środki ochrony na podstawie wpływu na działalność biznesową i tolerancji ryzyka, zapobiegając zarówno niedostatecznej ochronie krytycznych zasobów, jak i nadmiernej ochrony zasobów o niskim ryzyku. |
Wybieranie odpowiedniego modelu ochrony
Usługa Azure DDoS Protection oferuje dwa modele cenowe z różnymi strukturami kosztów i zakresami ochrony. Wybierz model, który jest zgodny z wymaganiami dotyczącymi dystrybucji zasobów i ochrony. Aby uzyskać szczegółowe informacje na temat jednostek SKU i cen ochrony przed atakami DDoS, zobacz Porównanie jednostek SKU ochrony przed atakami DDoS i Cennik usługi Azure DDoS Protection.
| Recommendation | Benefit |
|---|---|
| Wybierz opcję Ochrona adresów IP , jeśli chcesz chronić określone krytyczne zasoby, a nie całe sieci wirtualne. | Płacisz tylko za chronione publiczne adresy IP, unikając kosztów zasobów niekrytycznych. To ukierunkowane podejście zapewnia szczegółową kontrolę kosztów i umożliwia ochronę wielu sieci wirtualnych bez opłat za sieć. Aby skonfigurować ochronę ip, zobacz Konfiguracja ochrony adresów IP przed atakami DDoS. |
| Wybierz pozycję Ochrona sieci , jeśli masz wiele publicznych adresów IP (zazwyczaj 10 lub więcej) w jednej sieci wirtualnej, która wymaga ochrony. | Ochrona sieci zapewnia lepszą wartość w przypadku kompleksowych scenariuszy ochrony. Uproszczone zarządzanie dzięki automatycznej ochronie nowych zasobów i przewidywalnych miesięcznych kosztów na sieć wirtualną. Aby skonfigurować ochronę sieci, zobacz Konfiguracja ochrony adresów IP przed atakami DDoS. |
| Opracuj plany wdrożenia ochrony etapowej , które priorytetują zasoby krytyczne dla działania firmy, biorąc pod uwagę ograniczenia budżetowe i dystrybucję zasobów sieci wirtualnej. | Takie systematyczne podejście zapewnia natychmiastową ochronę podstawowych punktów końcowych podczas zarządzania kosztami. Ochronę można rozszerzyć na podstawie oceny ryzyka, dostępnych budżetów i optymalizowania modeli ochrony dla sieci wirtualnych, aby zapobiec nadmiernym wydatkom na sieci o niskiej gęstości. |
Projektowanie pod kątem wydajności architektury
Zoptymalizuj architekturę, aby zmniejszyć liczbę publicznych adresów IP wymagających ochrony przy zachowaniu zabezpieczeń i funkcjonalności. Decyzje dotyczące architektury mają bezpośredni wpływ na koszty ochrony. Aby uzyskać wskazówki dotyczące architektury, zobacz Azure Well-Architected Framework i Centrum architektury platformy Azure.
| Recommendation | Benefit |
|---|---|
| Użyj segmentacji sieci, takiej jak Azure Private Link i peering sieci wirtualnych, aby oddzielić zasoby publiczne od wewnętrznych. | Wydatki na ochronę można skoncentrować na rzeczywistych zasobach publicznych podczas korzystania z łączności prywatnej na potrzeby komunikacji wewnętrznej. Eliminuje to potrzeby ochrony przed atakami DDoS na ścieżkach wewnętrznych, zmniejszając koszty przy jednoczesnym zwiększeniu bezpieczeństwa. |
| Projektowanie architektury aplikacji w celu zminimalizowania bezpośredniego ujawnienia publicznych adresów IP poprzez odpowiednie użycie równoważenia obciążenia i sieci dostarczania zawartości. | Wydajność architektury zmniejsza zakres ochrony i powiązane koszty. Zamiast bezpośrednio uwidaczniać wiele usług, często można chronić całą aplikację za pomocą jednego lub kilku publicznych punktów końcowych. Mniejsza liczba publicznych adresów IP wymaga ochrony, co powoduje bezpośrednie zmniejszenie wydatków. Konsolidacja zwiększa również bezpieczeństwo, zmniejszając obszar ataków i upraszczając zarządzanie ochroną. |
Optymalizowanie wykorzystania zasobów
Uzyskaj największą wartość z inwestycji w ochronę, korzystając z uwzględnionych funkcji i dostosowując ochronę do rzeczywistych wzorców użycia.
| Recommendation | Benefit |
|---|---|
| Skorzystaj z integracji usługi Azure Monitor i wbudowanej telemetrii bez dodatkowych opłat za monitorowanie i analizę ochrony. | Maksymalna wartość z inwestycji w ochronę jest uzyskiwana przy użyciu uwzględnionych funkcji monitorowania. Zapewnia to widoczność ataku i analizę ruchu wymaganą do ciągłej optymalizacji bez dodatkowych kosztów. |
| Zaimplementuj automatyczne skalowanie dla chronionych zasobów, aby dopasować pokrycie ochrony do rzeczywistych wzorców zapotrzebowania. | Dynamiczne skalowanie zapewnia ochronę podczas skoków ruchu, unikając nadmiernej aprowizacji w okresach niskiego zapotrzebowania. Koszty ochrony są zgodne z wygenerowaną rzeczywistą wartością biznesową. |
Monitorowanie i optymalizowanie w czasie
Wymagania dotyczące ochrony zmieniają się w miarę rozwoju infrastruktury. Skonfiguruj ciągłe monitorowanie i regularne cykle optymalizacji, aby zachować efektywność kosztową.
| Recommendation | Benefit |
|---|---|
| Skonfiguruj alerty dotyczące kosztów , gdy wydatki związane z ochroną przed atakami DDoS zbliżają się do wstępnie zdefiniowanych progów budżetu. | Proaktywne powiadomienia uniemożliwiają przekroczenie budżetu i umożliwiają terminowe korekty strategii ochrony. Możesz reagować na wzrost kosztów, zanim będą miały wpływ na inne inicjatywy. Aby utworzyć alerty dotyczące kosztów, zobacz Monitorowanie użycia i wydatków przy użyciu alertów dotyczących kosztów w usłudze Cost Management. |
| Przeprowadzanie kwartalnych przeglądów chronionych zasobów i ich krytycznej kondycji biznesowej w celu zidentyfikowania możliwości optymalizacji. | Regularne przeglądy zapewniają, że inwestycje w ochronę pozostają zgodne z priorytetami biznesowymi. Możesz zidentyfikować zasoby, które nie wymagają już ochrony lub wymagają uaktualnionej ochrony w oparciu o zmianę ważności. |
| Monitorowanie wzorców ataków i skuteczności ochrony w celu optymalizacji decyzji dotyczących pokrycia. Wyświetlanie alertów w usłudze Microsoft Defender for Cloud i korzystanie z dzienników usługi DDoS Protection w obszarze roboczym usługi Log Analytics. | Zrozumienie rzeczywistych wzorców zagrożeń umożliwia podejmowanie decyzji dotyczących ochrony danych. Możesz dostosować poziomy ochrony na podstawie rzeczywistych danych ataku, a nie teoretycznych zagrożeń. |
| Monitorowanie zwrotu z inwestycji w ochronę (ROI) i wdrażanie zarządzania cyklem życia przy użyciu najlepszych praktyk zarządzania kosztami w celu mierzenia wartości i wycofania niepotrzebnej ochrony. | Pomiar zwrotu z inwestycji pokazuje wartość ochrony i prowadzi przyszłe decyzje inwestycyjne. Regularne czyszczenie nieaktywnych lub niekrytycznych zasobów zapobiega wzrostowi wydatków, który nie jest zgodny z wartością biznesową podczas zwalniania budżetu dla zasobów o wyższym priorytcie. |
Next steps
- Dowiedz się więcej o funkcjach usługi Azure DDoS Protection.
- Porównaj jednostki SKU ochrony przed atakami DDoS.
- Konfigurowanie ochrony przed atakami DDoS.
- Monitorowanie ochrony przed atakami DDoS.
- Dokumentacja usługi Azure Cost Management.
- Cennik usługi Azure DDoS Protection.
- Azure Well-Architected Framework.
- Test porównawczy zabezpieczeń platformy Azure.