Front Door'da DDoS koruması

  • Makale

Azure Front Door, trafiği dünya çapındaki 192 uç POP'sine dağıtarak kaynaklarınızı HTTP(S) DDoS saldırılarından korumanıza yardımcı olabilecek bir İçerik Teslim Ağıdır (CDN). Bu POP'lar, web uygulamalarınızı ve hizmetlerinizi son kullanıcılarınıza daha hızlı ve daha güvenli bir şekilde sunmak için büyük özel WAN'ımızı kullanır. Azure Front Door ayrıca uygulamalarınızı yaygın açıklardan ve güvenlik açıklarından korumaya yardımcı olmak için katman 3, 4 ve 7 DDoS koruması ile bir web uygulaması güvenlik duvarı (WAF) içerir.

Altyapı DDoS koruması

Azure Front Door, varsayılan Azure altyapısı DDoS korumasından yararlanır. Bu koruma, Front Door ağının genel ölçeğini ve kapasitesini kullanarak ağ katmanı saldırılarını gerçek zamanlı olarak izler ve azaltır. Bu koruma, Microsoft'un kurumsal ve tüketici hizmetlerini büyük ölçekli saldırılara karşı koruma konusunda kanıtlanmış bir kayıt kaydına sahiptir.

Protokol engelleme

Azure Front Door yalnızca HTTP ve HTTPS protokollerini destekler ve her istek için geçerli bir 'Konak' üst bilgisi gerektirir. Bu davranış, çeşitli protokoller ve bağlantı noktaları kullanan hacimli saldırılar, DNS amplifikasyon saldırıları ve TCP zehirleme saldırıları gibi bazı yaygın DDoS saldırı türlerini önlemeye yardımcı olur.

Kapasite emilimi

Azure Front Door, büyük ölçekli, küresel olarak dağıtılmış bir hizmettir. Microsoft'un saniyede yüz binlerce isteği işleyen kendi bulut ürünleri de dahil olmak üzere birçok müşteriye hizmet vermektedir. Front Door, büyük hacimli saldırıları durdurabildiği ve coğrafi olarak yalıtabildiği Azure ağının kenarında yer almaktadır. Bu nedenle Front Door, kötü amaçlı trafiğin Azure ağının sınırlarının ötesine ulaşmasını engelleyebilir.

Önbelleğe Alma

Arka uçlarınızı bir saldırı tarafından oluşturulan büyük trafik hacimlerinden korumak için Front Door'un önbelleğe alma özelliklerini kullanabilirsiniz. Front Door kenar düğümleri önbelleğe alınmış kaynakları döndürür ve bunları arka ucunuza iletmekten kaçının. Dinamik yanıtlarda kısa önbellek süre sonu süreleri (saniye veya dakika) bile arka uç hizmetlerinizin yükünü önemli ölçüde azaltabilir. Önbelleğe alma kavramları ve desenleri hakkında daha fazla bilgi için bkz. Önbelleğe Alma önemli noktalar ve Edilgen önbellek düzeni.

Web Uygulaması Güvenlik Duvarı (WAF)

Birçok farklı saldırı türünü azaltmak için Front Door'un Web Uygulaması Güvenlik Duvarı (WAF) kullanabilirsiniz:

  • Yönetilen kural kümesi, uygulamanızı birçok yaygın saldırıdan korur. Daha fazla bilgi için bkz . Yönetilen kurallar.
  • Belirli bir coğrafi bölgenin dışından veya içinden gelen trafiği engelleyebilir veya statik bir web sayfasına yönlendirebilirsiniz. Daha fazla bilgi için bkz . Coğrafi filtreleme.
  • Kötü amaçlı olarak tanımladığınız IP adreslerini ve aralıklarını engelleyebilirsiniz. Daha fazla bilgi için bkz . IP kısıtlamaları.
  • IP adreslerinin hizmetinizi çok sık çağırmasını önlemek için hız sınırlaması uygulayabilirsiniz. Daha fazla bilgi için bkz . Hız sınırlama.
  • Bilinen imzalara sahip HTTP veya HTTPS saldırılarını otomatik olarak engellemek ve sınırlamak için özel WAF kuralları oluşturabilirsiniz.
  • Bot koruması yönetilen kural kümesi, uygulamanızı bilinen kötü botlardan korur. Daha fazla bilgi için bkz . Bot korumasını yapılandırma.

DDoS saldırılarına karşı koruma sağlamak için Azure WAF'yi kullanma yönergeleri için Uygulama DDoS koruması'na bakın.

Sanal ağ çıkış noktalarını koruma

Genel IP'lerinizi DDoS saldırılarına karşı korumak için kaynak sanal ağda Azure DDoS Koruması'nı etkinleştirin. DDoS Koruması müşterileri, bir saldırı sırasında anında yardım almak için maliyet koruması, SLA garantisi ve DDoS Hızlı Yanıt Ekibi'nden uzmanlara erişim gibi ek avantajlar elde eder.

Azure Özel Bağlantı aracılığıyla Azure Front Door'a erişimini kısıtlayarak Azure'da barındırılan kaynaklarınızın güvenliğini geliştirin. Bu özellik, Azure Front Door ile uygulama sunucularınız arasında özel bir ağ bağlantısına olanak sağlayarak kaynaklarınızı genel İnternet'te kullanıma sunma gereksinimini ortadan kaldırır.

Sonraki adımlar