Azure DDoS 保護是什麼?
分散式阻斷服務 (DDoS) 攻擊是客戶將應用程式移至雲端的一些最大可用性和安全性考慮。 DDoS 攻擊會嘗試耗盡應用程式的資源,讓應用程式無法供合法使用者使用。 DDoS 攻擊可以鎖定可透過網際網路公開觸達的任何端點。
Azure DDoS Protection 與應用程式設計最佳做法結合,提供增強的 DDoS 風險降低功能來抵禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。
Azure DDoS 保護可保護第 3 層和第 4 層網路層。 針對第 7 層的 Web 應用程式保護,您必須使用 WAF 供應專案在應用層新增保護。 如需詳細資訊,請參閱 應用程式 DDoS 保護 。
階層
DDoS 網路保護
Azure DDoS 網路保護結合應用程式設計最佳做法,提供增強的 DDoS 風險降低功能,以抵禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 如需啟用 DDoS 網路保護的詳細資訊,請參閱 快速入門:使用 Azure 入口網站 建立及設定 Azure DDoS 網路保護。
DDoS IP 保護
DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。 如需啟用 DDoS IP 保護的詳細資訊,請參閱 快速入門:使用 Azure PowerShell 建立及設定 Azure DDoS IP 保護。
如需階層的詳細資訊,請參閱 DDoS 保護層比較 。
主要功能
Always On 流量監視: 一週 7 天每天 24 小時監視應用程式流量模式,以尋找 DDoS 攻擊的指標。 一旦偵測到攻擊,Azure DDoS 保護會立即且自動地減緩攻擊。
自適性即時調整: 智慧型流量分析功能可了解不同時間的應用程式流量,並選取及更新最適合您服務的設定檔。 設定檔會隨著流量因時間的改變而調整。
DDoS 保護分析、計量和警示: Azure DDoS 保護會在已啟用 DDoS 的虛擬網路中,針對受保護資源的每個公用 IP 套用三個自動調整的風險降低原則(TCP SYN、TCP 和 UDP)。 原則閾值是透過機器學習服務型網路流量分析自動設定。 只有在超過原則閾值時,才會針對遭到攻擊的 IP 位址進行 DDoS 風險降低。
攻擊分析:在攻擊期間取得詳細報告 (五分鐘遞增),並在攻擊結束後取得完整摘要。 將風險降低流程記錄串流至 Microsoft Sentinel 或離線安全性資訊和事件管理 (SIEM) 系統,以在攻擊期間進行近乎即時的監視。 請參閱 檢視及設定 DDoS 診斷記錄 以深入瞭解。
攻擊計量: 可透過 Azure 監視器存取每個攻擊的摘要計量。 請參閱 檢視及設定 DDoS 保護遙測 以深入瞭解。
攻擊警示: 可以使用內建攻擊計量,在攻擊的開始和停止期間設定警示。 警示會整合到您的作業軟體中,例如 Microsoft Azure 監視器記錄、Splunk、Azure 儲存體、電子郵件和Azure 入口網站。 若要深入瞭解,請參閱 檢視及設定 DDoS 保護警示 。
Azure DDoS 快速回應: 在主動式攻擊期間,客戶可以存取 DDoS 快速回應 (DRR) 小組,後者可在攻擊和攻擊後分析期間協助調查攻擊。 如需詳細資訊,請參閱 Azure DDoS 快速回應 。
原生平臺整合: 原生整合至 Azure。 包含透過Azure 入口網站的設定。 Azure DDoS 保護會瞭解您的資源和資源設定。
周全保護: 簡化的設定會在啟用 DDoS 網路保護後立即保護虛擬網路上的所有資源。 不需要介入或使用者定義。 同樣地,簡化的設定會在啟用 DDoS IP 保護時立即保護公用 IP 資源。
多層式保護: 使用 Web 應用程式防火牆 (WAF) 部署時,Azure DDoS 保護會保護網路層 (Azure DDoS 保護所提供的第 3 層和第 4 層,由 Azure DDoS 保護提供)和應用層 (WAF 所提供的第 7 層)。 WAF 供應專案包括 Azure 應用程式閘道 WAF SKU 和協力廠商 Web 應用程式防火牆供應專案,可在 Azure Marketplace 中使用 。
廣泛的風險降低規模: 所有 L3/L4 攻擊媒介都可以使用全域容量來緩解,以防止最大的已知 DDoS 攻擊。
成本保證: 針對記錄的 DDoS 攻擊所產生的資源成本接收資料傳輸和應用程式向外延展服務點數。
架構
Azure DDoS 保護是針對 部署在虛擬網路 中的服務所設計。 對於其他服務,會套用預設基礎結構層級 DDoS 保護,以抵禦常見的網路層攻擊。 若要深入瞭解支援的架構,請參閱 DDoS 保護參考架構 。
定價
針對 DDoS 網路保護,在租使用者下,單一 DDoS 保護方案可以跨多個訂用帳戶使用,因此不需要建立多個 DDoS 保護方案。 針對 DDoS IP 保護,不需要建立 DDoS 保護計劃。 客戶可以在任何公用 IP 資源上啟用 DDoS IP 保護。
若要瞭解 Azure DDoS 保護定價,請參閱 Azure DDoS 保護定價 。
最佳做法
遵循下列最佳做法,將 DDoS 保護和風險降低策略的有效性最大化:
- 在考慮備援和復原能力時設計您的應用程式和基礎結構。
- 實作多層式安全性方法,包括網路、應用程式和資料保護。
- 準備事件回應計畫,以確保協調回應 DDoS 攻擊。
若要深入瞭解最佳做法,請參閱 基本最佳做法 。
常見問題
如需常見問題,請參閱 DDoS 保護常見問題 。