與 Azure DDoS 保護合作

本文說明 Azure DDoS 保護所啟用的合作夥伴機會。 本文旨在協助產品管理員和業務開發角色了解投資路徑,並提供合作夥伴價值主張的見解。

背景

分散式阻斷服務 (DDoS) 攻擊是將應用程式移至雲端的客戶所面臨最大可用性和安全性顧慮之一。 由於擷取和 Hacktivism 是 DDoS 攻擊背後的常見動機,因此在啟動時,其類型、規模和發生頻率一直持續增加。

Azure DDoS 保護會利用 Azure 網路的全球規模,針對最複雜的 DDoS 威脅提供因應措施。 本服務能為部署在虛擬網路中的應用程式和資源,提供增強的 DDoS 風險降低功能。

技術合作夥伴可以使用 Azure DDoS Protection 以原生方式保護其客戶的資源,以解決 DDoS 攻擊所造成的可用性和可靠性考慮。

Azure DDoS 保護簡介

Azure DDoS 保護針對第 3 層和第 4 層 DDoS 攻擊提供增強的 DDoS 防護功能。 以下是 DDoS 保護服務的主要功能。

調適性即時調整

針對每個受保護的應用程式,Azure DDoS 保護會根據應用程式的流量配置檔案模式,自動調整 DDoS 風險降低原則閾值。 服務會使用兩種見解來完成這項自訂:

  • 自動學習每位客戶 (每個 IP) 的第 3 層與第 4 層流量模式。
  • 考慮到 Azure 的規模會使之吸收大量的流量,進而降低誤判。

調適型即時調整的圖表。

攻擊分析、遙測、監視和警示

Azure DDoS 保護會識別 DDoS 攻擊並降低風險,無須使用者介入。

  • 如果受保護的資源位於雲端Microsoft Defender涵蓋的訂用帳戶中,則每當偵測到 DDoS 攻擊並減輕受保護應用程式的防護時,DDoS Protection 會自動將警示傳送至適用于雲端的 Defender。
  • 或者,在受保護的公用 IP 上執行風險降低作業時,若想收到通知,可以在 [是否正遭受 DDoS 攻擊] 計量上設定警示
  • 此外,您可以選擇為其他 DDoS 計量建立警示,並設定攻擊遙測來了解攻擊的規模、卸除的流量、攻擊媒介、主要參與者和其他細節。

DDoS 計量

DDoS 快速回應 (DRR)

DDoS 保護客戶在主動式攻擊期間可存取 快速回應小組 。 DRR 有助於在攻擊和攻擊後分析期間進行攻擊調查。

SLA 保證和成本保護

DDoS 保護服務涵蓋在 99.99% SLA 中,而成本保護會在記載的攻擊期間提供相應放大的資源點數。 如需詳細資訊,請參閱 Azure DDoS 保護 SLA

以下是您可以藉由與 Azure DDoS 保護整合來衍生的主要優點:

  • 合作夥伴所提供的服務 (負載平衡器、Web 應用程式防火牆、防火牆等) 提供給其客戶,會自動保護 (後端 Azure DDoS Protection 所) 的白標。
  • 合作夥伴可以存取 Azure DDoS 保護攻擊分析和遙測,其可與自己的產品整合,並提供統一的客戶體驗。
  • 即使沒有 Azure 快速回應支援,合作夥伴仍可使用 DDoS 快速回應支援來解決 DDoS 相關問題。
  • 發生 DDoS 攻擊時,合作夥伴受保護的應用程式會受 DDoS SLA 保證和成本保護支援。

技術整合概觀

Azure DDoS 保護合作夥伴機會可透過 Azure 入口網站、API 和 CLI/PS 提供。

與 DDoS 保護整合

合作夥伴必須執行下列步驟,才能設定與 Azure DDoS Protection 的整合:

  1. 在預期的 (合作夥伴) 訂閱中建立 DDoS 保護方案。 如需逐步指示,請參閱 建立 DDoS 保護方案

    注意

    每個指定的租用者只需要建立 1 個 DDoS 保護方案。

  2. 在您的 (合作夥伴) 訂閱中部署具有公用端點的服務,例如負載平衡器、防火牆和 Web 應用程式防火牆。
  3. 在第一個步驟中建立的 DDoS 保護方案,在具有公用端點的服務虛擬網路上啟用 Azure DDoS 保護。 如需逐步指示,請參閱 啟用 DDoS 保護計劃

    重要

    在虛擬網路上啟用 Azure DDoS 保護之後,該虛擬網路內的所有公用 IP 都會自動受到保護。 這些公用 IP 的原點可以來自 Azure 內部 (本機訂閱) 或 Azure 外部。

  4. 您可以選擇性地將 Azure DDoS 保護遙測和攻擊分析整合到應用程式特定的客戶面向儀表板中。 如需使用遙測的詳細資訊,請參閱檢視及設定 DDoS 保護遙測

上線指南和技術文件

取得協助

進入市場

下一步

檢視現有的合作夥伴整合: