Co to jest usługa Azure DDoS Protection?

Ataki typu „rozproszona odmowa usługi” (Distributed Denial of Service, DDoS) należą do największych obaw związanych z dostępnością i zabezpieczeniami wśród klientów, którzy planują przeniesienie swoich aplikacji do chmury. Atak DDoS próbuje wyczerpać zasoby aplikacji, dzięki czemu aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.

Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów.

Usługa Azure DDoS Protection chroni warstwę 3 i warstwę 4 sieci. W przypadku ochrony aplikacji internetowych w warstwie 7 należy dodać ochronę w warstwie aplikacji przy użyciu oferty zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDoS aplikacji.

Warstwy

Ochrona sieci przed atakami DDoS

Usługa Azure DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Aby uzyskać więcej informacji na temat włączania ochrony sieci przed atakami DDoS, zobacz Szybki start: tworzenie i konfigurowanie usługi Azure DDoS Network Protection przy użyciu witryny Azure Portal.

Ochrona adresów IP przed atakami DDoS

Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS, ale będą się różnić w następujących usługach dodawanych do wartości: obsługa szybkiego reagowania DDoS, ochrona kosztów i rabaty na zaporę aplikacji internetowej. Aby uzyskać więcej informacji na temat włączania ochrony adresów IP przed atakami DDoS, zobacz Szybki start: tworzenie i konfigurowanie usługi Azure DDoS IP Protection przy użyciu programu Azure PowerShell.

Aby uzyskać więcej informacji na temat warstw, zobacz Porównanie warstw usługi DDoS Protection.

Najważniejsze funkcje    

• Monitorowanie ruchu zawsze włączonego: Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Usługa Azure DDoS Protection natychmiast i automatycznie ogranicza atak po jego wykryciu.

• Adaptacyjne dostrajanie w czasie rzeczywistym: profilowanie ruchu inteligentnego uczy się ruchu aplikacji w czasie i wybiera i aktualizuje profil, który jest najbardziej odpowiedni dla Twojej usługi. Profil zmienia się wraz ze zmianami ruchu w miarę upływu czasu.

• Analiza, metryki i alerty usługi DDoS Protection: Usługa Azure DDoS Protection stosuje trzy automatycznie dostrojone zasady ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu w sieci wirtualnej z włączoną funkcją DDoS. Progi zasad są konfigurowane automatycznie za pośrednictwem profilowania ruchu sieciowego opartego na uczeniu maszynowym. Ograniczenie ryzyka ataków DDoS występuje dla adresu IP objętego atakiem tylko wtedy, gdy próg zasad zostanie przekroczony.

  • Analiza ataków: uzyskiwanie szczegółowych raportów w pięciu minutach przyrostowych podczas ataku oraz pełne podsumowanie po zakończeniu ataku. Przesyłanie strumieniowe dzienników przepływu ograniczania ryzyka do usługi Microsoft Sentinel lub systemu zarządzania informacjami i zdarzeniami w trybie offline (SIEM) na potrzeby monitorowania niemal w czasie rzeczywistym podczas ataku. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie rejestrowania diagnostycznego ataków DDoS.

  • Metryki ataku: podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie telemetrii ochrony przed atakami DDoS.

  • Alerty ataku: alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku. Alerty integrują się z oprogramowaniem operacyjnym, takimi jak dzienniki usługi Microsoft Azure Monitor, splunk, Azure Storage, poczta e-mail i witryna Azure Portal. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie alertów ochrony przed atakami DDoS.

• Szybka reakcja usługi Azure DDoS: podczas aktywnego ataku klienci mają dostęp do zespołu DDoS Rapid Response (DRR), który może pomóc w badaniu ataku podczas analizy ataku i analizy po ataku. Aby uzyskać więcej informacji, zobacz Azure DDoS Rapid Response (Szybka odpowiedź na żądanie usługi Azure DDoS).

• Natywna integracja platformy: natywnie zintegrowana z platformą Azure. Obejmuje konfigurację za pośrednictwem witryny Azure Portal. Usługa Azure DDoS Protection rozumie zasoby i konfigurację zasobów.

• Ochrona pod kluczem: Uproszczona konfiguracja natychmiast chroni wszystkie zasoby w sieci wirtualnej natychmiast po włączeniu ochrony sieci przed atakami DDoS. Nie jest wymagana żadna interwencja ani definicja użytkownika. Podobnie uproszczona konfiguracja natychmiast chroni zasób publicznego adresu IP po włączeniu ochrony adresów IP przed atakami DDoS.

• Ochrona wielowarstwowa: po wdrożeniu za pomocą zapory aplikacji internetowej (WAF) usługa Azure DDoS Protection chroni zarówno w warstwie sieciowej (warstwa 3 i 4 oferowana przez usługę Azure DDoS Protection) jak i w warstwie aplikacji (warstwa 7 oferowana przez zaporę aplikacji internetowej). Oferty zapory aplikacji internetowej obejmują jednostkę SKU zapory aplikacji internetowej usługi Azure Application Gateway i oferty zapory aplikacji internetowej innych firm dostępne w witrynie Azure Marketplace.

• Obszerna skala ograniczania ryzyka: wszystkie wektory ataków L3/L4 można ograniczyć, przy użyciu globalnej pojemności, aby chronić przed największymi znanymi atakami DDoS.

• Gwarancja kosztów: otrzymywanie środków na transfer danych i skalowanie w poziomie aplikacji dla kosztów zasobów poniesionych w wyniku udokumentowanych ataków DDoS.

Architektura

Usługa Azure DDoS Protection jest przeznaczona dla usług wdrożonych w sieci wirtualnej. W przypadku innych usług stosowana jest domyślna ochrona przed atakami DDoS na poziomie infrastruktury, która chroni przed typowymi atakami w warstwie sieciowej. Aby dowiedzieć się więcej na temat obsługiwanych architektur, zobacz Architektury referencyjne usługi DDoS Protection.

Kalkulacja cen

W przypadku ochrony przed atakami DDoS w ramach dzierżawy pojedynczy plan ochrony przed atakami DDoS może być używany w wielu subskrypcjach, dlatego nie ma potrzeby tworzenia więcej niż jednego planu ochrony przed atakami DDoS. W przypadku ochrony przed atakami DDoS IP nie ma potrzeby tworzenia planu ochrony przed atakami DDoS. Klienci mogą włączyć ochronę adresów IP przed atakami DDoS na dowolnym zasobie publicznego adresu IP.

Aby dowiedzieć się więcej o cenach usługi Azure DDoS Protection, zobacz Cennik usługi Azure DDoS Protection.

Najlepsze praktyki

Maksymalizuj skuteczność strategii ochrony przed atakami DDoS i ograniczania ryzyka, postępując zgodnie z następującymi najlepszymi rozwiązaniami:

• Projektowanie aplikacji i infrastruktury z myślą o nadmiarowości i odporności.
• Zaimplementuj wielowarstwowe podejście zabezpieczeń, w tym sieć, aplikację i ochronę danych.
• Przygotuj plan reagowania na zdarzenia, aby zapewnić skoordynowaną reakcję na ataki DDoS.

Aby dowiedzieć się więcej na temat najlepszych rozwiązań, zobacz Podstawowe najlepsze rozwiązania.

Często zadawane pytania

Aby uzyskać często zadawane pytania, zobacz często zadawane pytania dotyczące ochrony przed atakami DDoS.

Następne kroki

• Szybki start: tworzenie planu ochrony przed atakami DDoS
• Moduł Szkoleniowy: Wprowadzenie do usługi Azure DDoS Protection
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure