Vad är Azure DDoS Protection?

  • Artikel

Distribuerade överbelastningsattacker (DDoS) är några av de största tillgänglighets- och säkerhetsproblemen för kunder som flyttar sina program till molnet. En DDoS-attack försöker uttömma ett programs resurser, vilket gör programmet otillgängligt för legitima användare. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.

Azure DDoS Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Protection är enkelt att aktivera i alla nya eller befintliga virtuella nätverk och kräver inga program- eller resursändringar.

Diagram of the reference architecture for an Azure DDoS protected PaaS web application.

Azure DDoS Protection skyddar på layer 3- och layer 4-nätverksskikt. För skydd av webbprogram på nivå 7 måste du lägga till skydd på programskiktet med hjälp av ett WAF-erbjudande. Mer information finns i Program-DDoS-skydd.

Nivåer

DDoS-nätverksskydd

Azure DDoS Network Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Mer information om hur du aktiverar DDoS Network Protection finns i Snabbstart: Skapa och konfigurera Azure DDoS Network Protection med hjälp av Azure-portalen.

DDoS IP-skydd

DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i följande mervärdestjänster: DDoS snabbsvarssupport, kostnadsskydd och rabatter på WAF. Mer information om hur du aktiverar DDoS IP Protection finns i Snabbstart: Skapa och konfigurera Azure DDoS IP Protection med Azure PowerShell.

Mer information om nivåerna finns i Jämförelse av DDoS Protection-nivå.

Huvudfunktioner    

  • Alltid på trafikövervakning: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan och letar efter indikatorer för DDoS-attacker. Azure DDoS Protection minimerar omedelbart och automatiskt attacken när den har identifierats.

  • Anpassningsbar realtidsjustering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid.

  • DDoS Protection-analys, mått och aviseringar: Azure DDoS Protection tillämpar tre automatiskt anpassade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen, i det virtuella nätverk som har DDoS aktiverat. Principtrösklarna konfigureras automatiskt via maskininlärningsbaserad nätverkstrafikprofilering. DDoS-minskning sker endast för en IP-adress under attack när principtröskelvärdet överskrids.

  • Azure DDoS Rapid Response: Under en aktiv attack har kunder åtkomst till DRR-teamet (DDoS Rapid Response), som kan hjälpa till med attackutredning under en attack- och efterattackanalys. Mer information finns i Azure DDoS Rapid Response.

  • Intern plattformsintegrering: Internt integrerad i Azure. Innehåller konfiguration via Azure-portalen. Azure DDoS Protection förstår dina resurser och din resurskonfiguration.

  • Nyckelfärdigt skydd: Förenklad konfiguration skyddar omedelbart alla resurser i ett virtuellt nätverk så snart DDoS Network Protection har aktiverats. Ingen åtgärd eller användardefinition krävs. På samma sätt skyddar förenklad konfiguration omedelbart en offentlig IP-resurs när DDoS IP Protection är aktiverat för den.

  • Skydd i flera lager: När det distribueras med en brandvägg för webbprogram (WAF) skyddar Azure DDoS Protection både på nätverksskiktet (Layer 3 och 4, som erbjuds av Azure DDoS Protection) och på programskiktet (Layer 7, som erbjuds av en WAF). WAF-erbjudanden inkluderar Azure Application Gateway WAF SKU och brandväggserbjudanden för webbprogram från tredje part som är tillgängliga på Azure Marketplace.

  • Omfattande minskningsskala: Alla L3/L4-attackvektorer kan minimeras, med global kapacitet, för att skydda mot de största kända DDoS-attackerna.

  • Kostnadsgaranti: Ta emot tjänstkredit för dataöverföring och utskalning av program för resurskostnader som uppstår till följd av dokumenterade DDoS-attacker.

Arkitektur

Azure DDoS Protection är utformat för tjänster som distribueras i ett virtuellt nätverk. För andra tjänster gäller DDoS-standardskyddet på infrastrukturnivå, vilket skyddar mot vanliga attacker på nätverksnivå. Mer information om arkitekturer som stöds finns i DDoS Protection-referensarkitekturer.

Prissättning

För DDoS Network Protection, under en klientorganisation, kan en enda DDoS-skyddsplan användas i flera prenumerationer, så du behöver inte skapa fler än en DDoS-skyddsplan. För DDoS IP Protection behöver du inte skapa en DDoS-skyddsplan. Kunder kan aktivera DDoS IP-skydd på alla offentliga IP-resurser.

Mer information om priser för Azure DDoS Protection finns i Priser för Azure DDoS Protection.

Metodtips

Maximera effektiviteten i din DDoS-strategi för skydd och minskning genom att följa dessa metodtips:

  • Utforma dina program och infrastruktur med redundans och motståndskraft i åtanke.
  • Implementera en säkerhetsmetod i flera lager, inklusive nätverk, program och dataskydd.
  • Förbered en incidenthanteringsplan för att säkerställa ett samordnat svar på DDoS-attacker.

Mer information om metodtips finns i Grundläggande metodtips.

Vanliga frågor

Vanliga frågor och svar finns i vanliga frågor och svar om DDoS Protection.

Nästa steg