Wdrażanie usługi Azure DDoS Protection przy użyciu witryny Azure Portal
- 8 min
Atak typu "odmowa usługi" (DoS) to atak, który ma na celu zapobieganie dostępowi do usług lub systemów. Atak DoS pochodzi z jednej lokalizacji. Atak typu "rozproszona odmowa usługi" (DDoS) pochodzi z wielu sieci i systemów.
Ataki DDoS są jednym z problemów związanych z zabezpieczeniami, przed którymi stoją klienci, którzy przenoszą swoje aplikacje do chmury. Atak DDoS próbuje opróżnić interfejsy API lub zasoby aplikacji, co sprawia, że ta aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.
Usługa Azure DDoS Protection chroni zasoby w sieci wirtualnej. Ochrona obejmuje publiczne adresy IP maszyny wirtualnej, moduły równoważenia obciążenia i bramy aplikacji. W połączeniu z zaporą aplikacji internetowej usługi Application Gateway usługa DDoS Protection może zapewnić pełne możliwości ograniczania ryzyka warstwy 3 do warstwy 7.
Typy ataków DDoS
Usługa DDoS Protection może ograniczyć następujące typy ataków.
Ataki wolumetryczne. Ataki te zalewają warstwę sieci znaczną ilością pozornie uzasadnionego ruchu. Obejmują powodzie UDP, powodzie wzmacniania i inne powodzie fałszowane-pakiety.
Ataki na protokół. Tego typu ataki powodują brak dostępności celu ataku przez wykorzystanie słabego punktu w stosie protokołu warstwy 3 i 4. Ataki obejmują ataki przeciwpowodziowe SYN, ataki odbicia i inne ataki protokołu.
Ataki warstwowe zasobów (aplikacji). Te ataki dotyczą pakietów aplikacji internetowych w celu zakłócenia transmisji danych między hostami. Ataki obejmują naruszenia protokołu HTTP, wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne ataki warstwy 7.
Poziomy implementacji DDoS
Usługa Azure DDoS Protection oferuje dwie warstwy: DDoS IP Protection i DDoS Network Protection. Obie warstwy zapewniają aktywne monitorowanie ruchu, stałe wykrywanie i automatyczne łagodzenie ataków. Warstwy obejmują zasady ograniczania ryzyka oparte na aplikacjach, metryki i alerty, raporty ograniczania ryzyka oraz integrację z programem Firewall Manager. Każda warstwa jest przeznaczona do zaspokajania różnych potrzeb i scenariuszy.
Ochrona przed atakami DDoS IP. Ta warstwa jest odpowiednia do ochrony poszczególnych publicznych adresów IP. Jest to idealne rozwiązanie w przypadku scenariuszy, w których do ochrony jest mniej niż 15 zasobów publicznych IP.
Ochrona sieci przed atakami DDoS. Ta warstwa oferuje jeszcze kilka korzyści, takich jak obsługa szybkiego reagowania i ochrona kosztów. Wybierz tę warstwę, jeśli masz większe wdrożenie z ponad 15 publicznymi adresami IP.
Funkcje ochrony przed atakami DDoS na platformie Azure
Niektóre funkcje ochrony przed atakami DDoS platformy Azure obejmują:
Natywna integracja platformy. Natywnie zintegrowane z platformą Azure i skonfigurowane za pośrednictwem portalu.
Ochrona pod kluczem. Uproszczona konfiguracja chroniąca wszystkie zasoby natychmiast.
Zawsze włączone monitorowanie ruchu. Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS.
Dostrajanie adaptacyjne. Profilowanie i dostosowywanie ruchu usługi.
Analiza ataków. Uzyskuj szczegółowe raporty co pięć minut w trakcie ataku oraz pełne podsumowanie po jego zakończeniu.
Metryki i alerty ataku. Podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor. Alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku.
Ochrona wielowarstwowa. Po wdrożeniu za pomocą zapory aplikacji internetowej usługa DDoS Protection chroni zarówno warstwę sieciową, jak i warstwę aplikacji.