共用方式為


與 Azure DDoS 保護合作

本文描述 Azure DDoS 保護提供的合作機會。 本文旨在協助產品管理員和業務開發角色了解投資路徑,並提供合作夥伴價值主張的見解。

背景

分散式阻斷服務 (DDoS) 攻擊是將應用程式移至雲端的客戶所面臨最大可用性和安全性顧慮之一。 勒索和駭客是 DDoS 攻擊背後的常見動機,由於手法相對容易且價格低廉,相關類型、規模和發生頻率便不斷增加。

Azure DDoS 保護會利用 Azure 網路的全球規模,針對最複雜的 DDoS 威脅提供因應措施。 本服務能為部署在虛擬網路中的應用程式和資源,提供增強的 DDoS 風險降低功能。

技術合作夥伴可透過 Azure DDoS 保護以原生方式保護客戶的資源,解決 DDoS 攻擊造成的可用性和可靠性疑慮。

Azure DDoS 保護簡介

Azure DDoS 保護針對第 3 層和第 4 層 DDoS 攻擊提供增強的 DDoS 風險降低功能。 下列各節會概略說明 DDoS 保護服務的主要功能。

自適性即時微調

針對每個受保護的應用程式,Azure DDoS 保護會根據應用程式的流量設定檔模式自動調整 DDoS 風險降低原則閾值。 服務會使用兩種見解來完成這項自訂:

  • 自動學習每位客戶 (每個 IP) 的第 3 層與第 4 層流量模式。
  • 最大限度地減少誤判為真的情況 (考量到 Azure 的規模使其能夠接收大量流量)。

Diagram of Adaptive real time tuning.

攻擊分析、遙測、監視和警示

Azure DDoS 保護會識別 DDoS 攻擊並降低風險,無須使用者介入。

  • 如果受保護的資源位於適用於雲端的 Microsoft Defender 涵蓋的訂閱,則每當偵測到 DDoS 攻擊受保護應用程式並已降低風險時,DDoS 保護會自動將警示傳送至適用於雲端的 Defender。
  • 或者,在受保護的公用 IP 上執行風險降低作業時,若想收到通知,可以在 [是否正遭受 DDoS 攻擊] 計量上設定警示
  • 此外,您可以選擇為其他 DDoS 計量建立警示,並設定攻擊遙測來了解攻擊的規模、卸除的流量、攻擊媒介、主要參與者和其他細節。

DDoS metrics

DDoS 快速回應 (DRR)

DDoS 保護的客戶可以在攻擊進行期間,連絡快速回應小組。 DRR 可協助您在攻擊發生期間調查攻擊,以及進行攻擊後的分析。

SLA 保證和成本保護

DDoS 保護服務涵蓋在 99.99% 的 SLA 中,而成本保護提供資源點數以在記錄的攻擊期間進行擴增。 如需詳細資訊,請參閱 Azure DDoS 保護 SLA

下列為您與 Azure DDoS 保護整合而得的主要優點:

  • 合作夥伴提供給客戶的服務 (負載平衡器、Web 應用程式防火牆、防火牆等) 會自動由 Azure DDoS 保護在後端進行保護 (白色標籤)。
  • 合作夥伴可存取 Azure DDoS 保護攻擊分析和遙測,並與自己的產品整合,提供統一的客戶體驗。
  • 即使沒有 Azure 快速回應支援,合作夥伴仍可使用 DDoS 快速回應支援來解決 DDoS 相關問題。
  • 發生 DDoS 攻擊時,合作夥伴受保護的應用程式會受 DDoS SLA 保證和成本保護支援。

技術整合概觀

Azure DDoS 保護的合作機會可透過 Azure 入口網站、API 和 CLI/PS 取得。

與 DDoS 保護整合

合作夥伴必須執行下列步驟,才能設定與 Azure DDoS 保護進行整合:

  1. 在預期的 (合作夥伴) 訂閱中建立 DDoS 保護方案。 如需逐步指示,請參閱建立 DDoS 保護計劃

    注意

    每個指定的租用者只需要建立 1 個 DDoS 保護方案。

  2. 在您的 (合作夥伴) 訂閱中部署具有公用端點的服務,例如負載平衡器、防火牆和 Web 應用程式防火牆。
  3. 使用在第一個步驟中建立的 DDoS 保護計劃,在具有公用端點之服務的虛擬網路上啟用 Azure DDoS 保護。 如需逐步指示,請參閱啟用 DDoS 保護計劃

    重要

    在虛擬網路上啟用 Azure DDoS 保護之後,該虛擬網路內所有的公用 IP 都會自動受到保護。 這些公用 IP 的原點可以來自 Azure 內部 (本機訂閱) 或 Azure 外部。

  4. 您也可以在應用程式特定的客戶面向儀表板中整合 Azure DDoS 保護遙測和攻擊分析。 如需使用遙測的詳細資訊,請參閱檢視及設定 DDoS 保護遙測

上線指南和技術文件

取得協助

進入市場

下一步

檢視現有的合作夥伴整合: