Vanliga frågor och svar om Azure DDoS Protection

Distribuerad denial of service, eller DDoS, är en typ av attack där en angripare skickar fler begäranden till ett program än vad programmet kan hantera. Den resulterande effekten är att resurser töms, vilket påverkar programmets tillgänglighet och möjlighet att betjäna sina kunder. Under de senaste åren har branschen sett en kraftig ökning av attacker, med attacker som blir mer sofistikerade och större i omfattning. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.

Azure DDoS Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Protection är enkelt att aktivera i alla nya eller befintliga virtuella nätverk och kräver inga program- eller resursändringar. Mer information finns i Översikt över Azure DDoS Protection. 

DDoS-skyddsplaner har en fast månatlig avgift som täcker upp till 100 offentliga IP-adresser. Skydd för ytterligare resurser är tillgängligt.

Under en klientorganisation kan en enda DDoS-skyddsplan användas i flera prenumerationer, så du behöver inte skapa fler än en DDoS-skyddsplan.

När Application Gateway med WAF distribueras i ett DDoS-skyddat VNet, finns det inga extra avgifter för WAF – du betalar för Application Gateway till den lägre icke-WAF-kursen. Den här principen gäller för både Application Gateway v1- och v2-SKU:er.

Mer information finns i Prissättning för Azure DDoS Protection.

Om du behöver skydda mindre än 15 offentliga IP-resurser är IP Protection-nivån det mer kostnadseffektiva alternativet. Om du har mer än 15 offentliga IP-resurser att skydda är nätverksskyddsnivån mer kostnadseffektiv. Network Protection erbjuder även ytterligare funktioner, inklusive DDoS Protection Rapid Response (DRR), kostnadsskyddsgarantier och WAF-rabatter (Web Application Firewall).

Ja. Azure DDoS Protection är zonmotståndskraftigt som standard.

Ingen kundkonfiguration krävs för att aktivera zonåterhämtning. Zonåterhämtning för Azure DDoS Protection-resurser är tillgänglig som standard och hanteras av själva tjänsten.

Kunder kan använda Azure DDoS Protection-tjänsten i kombination med en brandvägg för webbprogram (WAF) för att skydda både på nätverksskiktet (Layer 3 och 4, som erbjuds av Azure DDoS Protection) och på programskiktet (Layer 7, som erbjuds av en WAF). WAF-erbjudanden inkluderar Azure Application Gateway WAF SKU och brandväggserbjudanden för webbprogram från tredje part som är tillgängliga på Azure Marketplace.

Tjänster som körs i Azure skyddas av standardskyddet för DDoS på infrastrukturnivå. Det skydd som skyddar infrastrukturen har dock ett mycket högre tröskelvärde än de flesta program har kapacitet att hantera och tillhandahåller inte telemetri eller aviseringar, så även om en trafikvolym kan uppfattas som ofarlig av plattformen kan det vara förödande för programmet som tar emot den.

Genom att registrera till Azure DDoS Protection Service får programmet dedikerad övervakning för att identifiera attacker och programspecifika tröskelvärden. En tjänst skyddas med en profil som är anpassad till den förväntade trafikvolymen, vilket ger ett mycket hårdare skydd mot DDoS-attacker.

Offentliga IP-adresser i ARM-baserade virtuella nätverk är för närvarande den enda typen av skyddad resurs. Skyddade resurser omfattar offentliga IP-adresser som är kopplade till en virtuell IaaS-dator, Lastbalanserare (klassiska och standardlastbalanserare), Application Gateway-kluster (inklusive WAF), Brandvägg, Bastion, VPN Gateway, Service Fabric eller en IaaS-baserad virtuell nätverksinstallation (NVA). Skyddet omfattar även offentliga IP-intervall som förs till Azure via anpassade IP-prefix (BYOIPs).

Mer information om begränsningar finns i Referensarkitekturer för Azure DDoS Protection.

Endast ARM-baserade skyddade resurser stöds i förhandsversionen. Virtuella datorer i klassiska/RDFE-distributioner stöds inte. Stöd planeras för närvarande inte för klassiska/RDFE-resurser. Mer information finns i Referensarkitekturer för Azure DDoS Protection.

Offentliga IP-adresser som är kopplade till flera klientorganisationer och enskilda VIP PaaS-tjänster stöds inte för närvarande. Exempel på resurser som inte stöds är Lagrings-VIP: er, Event Hubs VIP och App/Cloud Services-program. Mer information finns i Referensarkitekturer för Azure DDoS Protection.

Du måste ha de offentliga slutpunkterna för din tjänst associerade till ett virtuellt nätverk i Azure för att aktiveras för DDoS-skydd. Exempeldesigner är:

• Webbplatser (IaaS) i Azure och serverdelsdatabaser i ett lokalt datacenter.
• Application Gateway i Azure (DDoS-skydd aktiverat på App Gateway/WAF) och webbplatser i lokala datacenter.

Mer information finns i Referensarkitekturer för Azure DDoS Protection.

För offentliga IP-scenarier stöder DDoS Protection-tjänsten alla program oavsett var den associerade domänen är registrerad eller värdhanterad så länge den associerade offentliga IP-adressen finns i Azure.

Nej, tyvärr är inte principanpassning tillgänglig just nu.

Nej, tyvärr är inte manuell konfiguration tillgänglig just nu.

Se testning via simuleringar.

Måtten ska vara synliga på portalen inom 5 minuter. Om din resurs är under attack börjar andra mått visas på portalen inom 5–7 minuter.

Nej, Azure DDoS-skydd lagrar inte kunddata.

Scenarier där en enskild virtuell dator körs bakom en offentlig IP-adress stöds men rekommenderas inte. DDoS-åtgärd kanske inte initieras omedelbart när DDoS-attack identifieras. Därför kommer en distribution av en enskild virtuell dator som inte kan skalas ut att gå ned i sådana fall. Mer information finns i Grundläggande metodtips.