Azure DDoS Koruması nedir?
Dağıtılmış hizmet engelleme (DDoS) saldırıları, uygulamalarını buluta taşıyan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik sorunlarından biridir. DDoS saldırısı, uygulamanın kaynaklarını tüketmeye çalışır ve bu da uygulamanın geçerli kullanıcılar tarafından kullanılamaz duruma gelmesini sağlar. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir.
Azure DDoS Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır. Tüm yeni veya mevcut sanal ağlarda korumayı etkinleştirmek basit bir işlemdir ve uygulama veya kaynak değişikliği gerektirmez.
Azure DDoS Koruması, katman 3 ve katman 4 ağ katmanlarında koruma sağlar. 7. katmandaki web uygulamaları koruması için waf teklifi kullanarak uygulama katmanına koruma eklemeniz gerekir. Daha fazla bilgi için bkz . Uygulama DDoS koruması.
Katmanlar
DDoS Ağ Koruması
Azure DDoS Ağ Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır. DDoS Ağ Koruması'nı etkinleştirme hakkında daha fazla bilgi için bkz . Hızlı Başlangıç: Azure portalını kullanarak Azure DDoS Ağ Koruması oluşturma ve yapılandırma.
DDoS IP Koruması
DDoS IP Koruması korumalı bir IP modelidir. DDoS IP Koruması, DDoS Ağ Koruması ile aynı temel mühendislik özelliklerini içerir, ancak aşağıdaki katma değerli hizmetlerde farklılık gösterir: DDoS hızlı yanıt desteği, maliyet koruması ve WAF indirimleri. DDoS IP Koruması'nın etkinleştirilmesi hakkında daha fazla bilgi için bkz . Hızlı Başlangıç: Azure PowerShell kullanarak Azure DDoS IP Koruması oluşturma ve yapılandırma.
Katmanlar hakkında daha fazla bilgi için bkz . DDoS Koruması katman karşılaştırması.
Önemli Özellikler
Her zaman açık trafik izleme: Uygulama trafiği desenleriniz, DDoS saldırılarının göstergeleri aranarak haftanın 7 günü, günde 24 saat izlenir. Azure DDoS Koruması, algılandıktan sonra saldırıyı anında ve otomatik olarak azaltır.
Uyarlamalı gerçek zamanlı ayarlama: Akıllı trafik profili oluşturma, uygulamanızın zaman içindeki trafiğini öğrenir ve hizmetiniz için en uygun profili seçip güncelleştirir. Zaman içinde trafik değiştikçe profil ayarlanır.
DDoS Koruması analizi, ölçümleri ve uyarıları: Azure DDoS Koruması, DDoS'un etkinleştirildiği sanal ağda korumalı kaynağın her genel IP'si için otomatik olarak ayarlanmış üç azaltma ilkesi (TCP SYN, TCP ve UDP) uygular. İlke eşikleri makine öğrenmesi tabanlı ağ trafiği profili oluşturma yoluyla otomatik olarak yapılandırılır. DDoS azaltma, saldırı altındaki bir IP adresi için yalnızca ilke eşiği aşıldığında gerçekleşir.
Saldırı analizi: Saldırı sırasında beş dakikalık artışlarla ayrıntılı raporlar ve saldırı bittikten sonra tam bir özet alın. Bir saldırı sırasında neredeyse gerçek zamanlı izleme için microsoft Sentinel'e veya çevrimdışı güvenlik bilgileri ve olay yönetimi (SIEM) sistemine akış azaltma akışı günlükleri. Daha fazla bilgi edinmek için bkz . DDoS tanılama günlüğünü görüntüleme ve yapılandırma.
Saldırı ölçümleri: Her saldırıdan özetlenen ölçümlere Azure İzleyici aracılığıyla erişilebilir. Daha fazla bilgi edinmek için bkz . DDoS koruma telemetrisini görüntüleme ve yapılandırma.
Saldırı uyarısı: Uyarılar, yerleşik saldırı ölçümleri kullanılarak bir saldırının başlangıcında ve durdurulmasında ve saldırı süresi boyunca yapılandırılabilir. Uyarılar Microsoft Azure İzleyici günlükleri, Splunk, Azure Depolama, E-posta ve Azure portalı gibi işletimsel yazılımınızla tümleştirilir. Daha fazla bilgi edinmek için bkz . DDoS koruma uyarılarını görüntüleme ve yapılandırma.
Azure DDoS Hızlı Yanıtı: Etkin bir saldırı sırasında Azure DDoS Ağ Koruması özellikli müşteriler, bir saldırı ve saldırı sonrası analiz sırasında saldırı araştırmasına yardımcı olabilecek DDoS Hızlı Yanıt (DRR) ekibine erişebilir. Daha fazla bilgi için bkz . Azure DDoS Hızlı Yanıtı.
Yerel platform tümleştirmesi: Azure ile yerel olarak tümleştirilmiştir. Azure portalı üzerinden yapılandırmayı içerir. Azure DDoS Koruması kaynaklarınızı ve kaynak yapılandırmanızı anlar.
Anahtar teslimi koruma: Basitleştirilmiş yapılandırma, DDoS Ağ Koruması etkinleştirildiği anda sanal ağdaki tüm kaynakları hemen korur. Müdahale veya kullanıcı tanımı gerekmez. Benzer şekilde, basitleştirilmiş yapılandırma, DDoS IP Koruması etkinleştirildiğinde bir genel IP kaynağını hemen korur.
Çok Katmanlı koruma: Bir web uygulaması güvenlik duvarı (WAF) ile dağıtıldığında, Azure DDoS Koruması hem ağ katmanında (Azure DDoS Koruması tarafından sunulan Katman 3 ve 4) hem de uygulama katmanında (WAF tarafından sunulan Katman 7) korur. WAF teklifleri, Azure Application Gateway WAF SKU'su ve Azure Market kullanılabilir üçüncü taraf web uygulaması güvenlik duvarı tekliflerini içerir.
Kapsamlı azaltma ölçeği: Tüm L3/L4 saldırı vektörleri, bilinen en büyük DDoS saldırılarına karşı korunmak için küresel kapasiteyle azaltılabilir.
Maliyet garantisi: Belgelenen DDoS saldırıları sonucunda ortaya çıkan kaynak maliyetleri için veri aktarımı ve uygulama ölçeği genişletme hizmeti kredisi alın.
Mimari
Azure DDoS Koruması, sanal ağda dağıtılan hizmetler için tasarlanmıştır. Diğer hizmetler için, yaygın ağ katmanı saldırılarına karşı savunma yapan varsayılan altyapı düzeyinde DDoS koruması uygulanır. Desteklenen mimariler hakkında daha fazla bilgi edinmek için bkz . DDoS Koruması başvuru mimarileri.
Fiyatlandırma
DDoS Ağ Koruması için bir kiracı altında birden çok abonelikte tek bir DDoS koruma planı kullanılabilir, bu nedenle birden fazla DDoS koruma planı oluşturmanız gerekmez. DDoS IP Koruması için DDoS koruma planı oluşturmanız gerekmez. Müşteriler herhangi bir genel IP kaynağında DDoS IP korumasını etkinleştirebilir.
Azure DDoS Koruması fiyatlandırması hakkında bilgi edinmek için bkz . Azure DDoS Koruması fiyatlandırması.
En İyi Uygulamalar
Aşağıdaki en iyi yöntemleri izleyerek DDoS koruma ve azaltma stratejinizin verimliliğini en üst düzeye çıkarın:
- Uygulamalarınızı ve altyapınızı yedeklilik ve dayanıklılık göz önünde bulundurarak tasarlar.
- Ağ, uygulama ve veri koruması dahil olmak üzere çok katmanlı bir güvenlik yaklaşımı uygulayın.
- DDoS saldırılarına eşgüdümlü bir yanıt sağlamak için bir olay yanıt planı hazırlayın.
En iyi yöntemler hakkında daha fazla bilgi edinmek için bkz . Temel en iyi yöntemler.
SSS
Sık sorulan sorular için bkz . DDoS Koruması SSS.