Azure DDoS 保護是什麼?

  • 發行項

分散式阻斷服務 (DDoS) 攻擊是客戶將應用程式移至雲端的一些最大可用性和安全性考慮。 DDoS 攻擊會嘗試耗盡應用程式的資源,讓應用程式無法供合法使用者使用。 DDoS 攻擊可以鎖定可透過網際網路公開觸達的任何端點。

Azure DDoS Protection 與應用程式設計最佳做法結合,提供增強的 DDoS 風險降低功能來抵禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。

Diagram of the reference architecture for an Azure DDoS protected PaaS web application.

Azure DDoS 保護可保護第 3 層和第 4 層網路層。 針對第 7 層的 Web 應用程式保護,您必須使用 WAF 供應專案在應用層新增保護。 如需詳細資訊,請參閱 應用程式 DDoS 保護

階層

DDoS 網路保護

Azure DDoS 網路保護結合應用程式設計最佳做法,提供增強的 DDoS 風險降低功能,以抵禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 如需啟用 DDoS 網路保護的詳細資訊,請參閱 快速入門:使用 Azure 入口網站 建立及設定 Azure DDoS 網路保護。

DDoS IP 保護

DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。 如需啟用 DDoS IP 保護的詳細資訊,請參閱 快速入門:使用 Azure PowerShell 建立及設定 Azure DDoS IP 保護。

如需階層的詳細資訊,請參閱 DDoS 保護層比較

主要功能

  • Always On 流量監視: 一週 7 天每天 24 小時監視應用程式流量模式,以尋找 DDoS 攻擊的指標。 一旦偵測到攻擊,Azure DDoS 保護會立即且自動地減緩攻擊。

  • 自適性即時調整: 智慧型流量分析功能可了解不同時間的應用程式流量,並選取及更新最適合您服務的設定檔。 設定檔會隨著流量因時間的改變而調整。

  • DDoS 保護分析、計量和警示: Azure DDoS 保護會在已啟用 DDoS 的虛擬網路中,針對受保護資源的每個公用 IP 套用三個自動調整的風險降低原則(TCP SYN、TCP 和 UDP)。 原則閾值是透過機器學習服務型網路流量分析自動設定。 只有在超過原則閾值時,才會針對遭到攻擊的 IP 位址進行 DDoS 風險降低。

    • 攻擊分析:在攻擊期間取得詳細報告 (五分鐘遞增),並在攻擊結束後取得完整摘要。 將風險降低流程記錄串流至 Microsoft Sentinel 或離線安全性資訊和事件管理 (SIEM) 系統,以在攻擊期間進行近乎即時的監視。 請參閱 檢視及設定 DDoS 診斷記錄 以深入瞭解。

    • 攻擊計量: 可透過 Azure 監視器存取每個攻擊的摘要計量。 請參閱 檢視及設定 DDoS 保護遙測 以深入瞭解。

    • 攻擊警示: 可以使用內建攻擊計量,在攻擊的開始和停止期間設定警示。 警示會整合到您的作業軟體中,例如 Microsoft Azure 監視器記錄、Splunk、Azure 儲存體、電子郵件和Azure 入口網站。 若要深入瞭解,請參閱 檢視及設定 DDoS 保護警示

  • Azure DDoS 快速回應: 在主動式攻擊期間,客戶可以存取 DDoS 快速回應 (DRR) 小組,後者可在攻擊和攻擊後分析期間協助調查攻擊。 如需詳細資訊,請參閱 Azure DDoS 快速回應

  • 原生平臺整合: 原生整合至 Azure。 包含透過Azure 入口網站的設定。 Azure DDoS 保護會瞭解您的資源和資源設定。

  • 周全保護: 簡化的設定會在啟用 DDoS 網路保護後立即保護虛擬網路上的所有資源。 不需要介入或使用者定義。 同樣地,簡化的設定會在啟用 DDoS IP 保護時立即保護公用 IP 資源。

  • 多層式保護: 使用 Web 應用程式防火牆 (WAF) 部署時,Azure DDoS 保護會保護網路層 (Azure DDoS 保護所提供的第 3 層和第 4 層,由 Azure DDoS 保護提供)和應用層 (WAF 所提供的第 7 層)。 WAF 供應專案包括 Azure 應用程式閘道 WAF SKU 和協力廠商 Web 應用程式防火牆供應專案,可在 Azure Marketplace 中使用

  • 廣泛的風險降低規模: 所有 L3/L4 攻擊媒介都可以使用全域容量來緩解,以防止最大的已知 DDoS 攻擊。

  • 成本保證: 針對記錄的 DDoS 攻擊所產生的資源成本接收資料傳輸和應用程式向外延展服務點數。

架構

Azure DDoS 保護是針對 部署在虛擬網路 中的服務所設計。 對於其他服務,會套用預設基礎結構層級 DDoS 保護,以抵禦常見的網路層攻擊。 若要深入瞭解支援的架構,請參閱 DDoS 保護參考架構

定價

針對 DDoS 網路保護,在租使用者下,單一 DDoS 保護方案可以跨多個訂用帳戶使用,因此不需要建立多個 DDoS 保護方案。 針對 DDoS IP 保護,不需要建立 DDoS 保護計劃。 客戶可以在任何公用 IP 資源上啟用 DDoS IP 保護。

若要瞭解 Azure DDoS 保護定價,請參閱 Azure DDoS 保護定價

最佳做法

遵循下列最佳做法,將 DDoS 保護和風險降低策略的有效性最大化:

  • 在考慮備援和復原能力時設計您的應用程式和基礎結構。
  • 實作多層式安全性方法,包括網路、應用程式和資料保護。
  • 準備事件回應計畫,以確保協調回應 DDoS 攻擊。

若要深入瞭解最佳做法,請參閱 基本最佳做法

常見問題

如需常見問題,請參閱 DDoS 保護常見問題

下一步