Co to jest usługa Azure DDoS Protection?

Ataki typu „rozproszona odmowa usługi” (Distributed Denial of Service, DDoS) należą do największych obaw związanych z dostępnością i zabezpieczeniami wśród klientów, którzy planują przeniesienie swoich aplikacji do chmury. Atak DDoS próbuje wyczerpać zasoby aplikacji, dzięki czemu aplikacja jest niedostępna dla uprawnionych użytkowników. Celem ataku DDoS może być dowolny punkt końcowy publicznie dostępny za pośrednictwem Internetu.

Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów.

Usługa Azure DDoS Protection chroni warstwę 3 i warstwę 4 sieci. W przypadku zabezpieczania aplikacji internetowych na warstwie aplikacji (warstwa 7), należy dodać ochronę, korzystając z oferty WAF. Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDoS aplikacji.

Poziomy

Ochrona sieci przed atakami DDoS

Usługa Azure DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Aby uzyskać więcej informacji na temat włączania ochrony sieci przed atakami DDoS, zobacz Szybki start: tworzenie i konfigurowanie usługi Azure DDoS Network Protection przy użyciu witryny Azure Portal.

Ochrona adresów IP przed atakami DDoS

Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona IP przed atakami DDoS zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS, ale różni się następującymi usługami dodatkowymi: wsparciem szybkiego reagowania DDoS, ochroną kosztów oraz rabatami na WAF (zapora aplikacji internetowej). Aby uzyskać więcej informacji na temat włączania ochrony adresów IP przed atakami DDoS, zobacz Szybki start: tworzenie i konfigurowanie usługi Azure DDoS IP Protection przy użyciu programu Azure PowerShell.

Aby uzyskać więcej informacji na temat warstw, zobacz Porównanie warstw usługi DDoS Protection.

Najważniejsze funkcje    

• Monitorowanie ruchu zawsze włączonego: Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Usługa Azure DDoS Protection natychmiast i automatycznie ogranicza atak po jego wykryciu.

• Adaptacyjne dostrajanie w czasie rzeczywistym: inteligentne profilowanie ruchu uczy się charakterystyki ruchu Twojej aplikacji z czasem, wybiera, a następnie aktualizuje najbardziej odpowiedni profil dla Twojej usługi. Profil zmienia się wraz ze zmianami ruchu w miarę upływu czasu.

• Analiza, metryki i alerty usługi DDoS Protection: Usługa Azure DDoS Protection stosuje trzy automatycznie dostrojone zasady ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu w sieci wirtualnej z włączoną funkcją DDoS. Progi zasad są konfigurowane automatycznie za pośrednictwem profilowania ruchu sieciowego opartego na uczeniu maszynowym. Ograniczenie ryzyka ataków DDoS występuje dla adresu IP objętego atakiem tylko wtedy, gdy próg zasad zostanie przekroczony.

  • Analiza ataków: Otrzymuj szczegółowe raporty w odstępach pięciominutowych podczas ataku oraz pełne podsumowanie po jego zakończeniu. Przesyłanie dzienników przepływu ograniczania ryzyka do usługi Microsoft Sentinel lub systemu SIEM działającego w trybie offline w celu monitorowania niemal w czasie rzeczywistym podczas ataku. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie rejestrowania diagnostycznego ataków DDoS.

  • Metryki ataku: podsumowane metryki z każdego ataku są dostępne za pośrednictwem usługi Azure Monitor. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie telemetrii ochrony przed atakami DDoS.

  • Alerty ataku: alerty można skonfigurować na początku i zatrzymaniu ataku oraz w czasie trwania ataku przy użyciu wbudowanych metryk ataku. Alerty integrują się z oprogramowaniem operacyjnym, takimi jak dzienniki usługi Microsoft Azure Monitor, splunk, Azure Storage, poczta e-mail i witryna Azure Portal. Aby dowiedzieć się więcej, zobacz Wyświetlanie i konfigurowanie alertów ochrony przed atakami DDoS.

• Szybka reakcja usługi Azure DDoS: Podczas aktywnego ataku usługa Azure DDoS Network Protection umożliwiła klientom dostęp do zespołu DDoS Rapid Response (DRR), który może pomóc w badaniu ataku podczas analizy ataków i analizy po ataku. Aby uzyskać więcej informacji, zobacz Azure DDoS Rapid Response.

• Natywna integracja platformy: natywnie zintegrowana z platformą Azure. Obejmuje konfigurację za pośrednictwem witryny Azure Portal. Usługa Azure DDoS Protection rozumie zasoby i konfigurację zasobów.

• Ochrona pod kluczem: Uproszczona konfiguracja natychmiast chroni wszystkie zasoby w sieci wirtualnej natychmiast po włączeniu ochrony sieci przed atakami DDoS. Nie jest wymagana żadna interwencja ani definicja użytkownika. Podobnie uproszczona konfiguracja natychmiast chroni zasób publicznego adresu IP po włączeniu ochrony adresów IP przed atakami DDoS.

• Ochrona wielowarstwowa: po wdrożeniu za pomocą zapory aplikacji internetowej (WAF) usługa Azure DDoS Protection chroni zarówno w warstwie sieciowej (warstwa 3 i 4 oferowana przez usługę Azure DDoS Protection) jak i w warstwie aplikacji (warstwa 7 oferowana przez zaporę aplikacji internetowej). Oferty zapory aplikacji internetowej obejmują jednostkę SKU Azure Application Gateway WAF oraz oferty zapór aplikacji internetowych innych firm dostępne w Azure Marketplace.

• Obszerna skala ograniczania ryzyka: wszystkie wektory ataków L3/L4 można ograniczyć, przy użyciu globalnej pojemności, aby chronić przed największymi znanymi atakami DDoS.

• Gwarancja kosztowa: uzyskaj kredyt serwisowy na transfer danych i skalowanie aplikacji za koszty zasobów poniesione w wyniku udokumentowanych ataków DDoS.

Architektura

Usługa Azure DDoS Protection jest przeznaczona dla usług wdrożonych w sieci wirtualnej. W przypadku innych usług stosowana jest domyślna ochrona przed atakami DDoS na poziomie infrastruktury, która chroni przed typowymi atakami w warstwie sieciowej. Aby dowiedzieć się więcej na temat obsługiwanych architektur, zobacz Architektury referencyjne usługi DDoS Protection.

Cennik

W przypadku ochrony sieci przed atakami DDoS w ramach dzierżawy można użyć jednego planu ochrony DDoS w wielu subskrypcjach, więc nie trzeba tworzyć więcej niż jednego planu ochrony DDoS. W przypadku ochrony przed atakami DDoS IP nie ma potrzeby tworzenia planu ochrony przed atakami DDoS. Klienci mogą włączyć ochronę adresów IP przed atakami DDoS na dowolnym zasobie publicznego adresu IP.

Aby dowiedzieć się więcej o cenach usługi Azure DDoS Protection, zobacz Cennik usługi Azure DDoS Protection.

Najlepsze praktyki

Maksymalizuj skuteczność strategii ochrony przed atakami DDoS i ograniczania ryzyka, postępując zgodnie z następującymi najlepszymi rozwiązaniami:

• Projektowanie aplikacji i infrastruktury z myślą o nadmiarowości i odporności.
• Zaimplementuj wielowarstwowe podejście zabezpieczeń, w tym sieć, aplikację i ochronę danych.
• Przygotuj plan reagowania na zdarzenia, aby zapewnić skoordynowaną reakcję na ataki DDoS.

Aby dowiedzieć się więcej na temat najlepszych rozwiązań, zobacz Podstawowe najlepsze rozwiązania.

Często zadawane pytania

Aby uzyskać często zadawane pytania, zobacz często zadawane pytania dotyczące ochrony przed atakami DDoS.

Następne kroki

• Szybki start: tworzenie planu ochrony przed atakami DDoS
• Moduł Szkoleniowy: Wprowadzenie do usługi Azure DDoS Protection
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure