Funkce služby Azure DDoS Protection

Následující části popisují klíčové funkce služby Azure DDoS Protection.

Monitorování provozu always-on

Azure DDoS Protection monitoruje skutečné využití provozu a neustále ho porovnává s prahovými hodnotami definovanými v zásadách DDoS. Při překročení prahové hodnoty provozu se omezení rizik útoků DDoS spustí automaticky. Když se provoz vrátí pod prahové hodnoty, omezení rizik se zastaví.

Snímek obrazovky se zmírněním rizik ochrany před útoky Azure DDoS

Během zmírnění rizik se provoz odesílaný do chráněného prostředku přesměruje službou DDoS Protection a provádí se několik kontrol, například:

  • Ujistěte se, že pakety odpovídají specifikacím internetu a nejsou poškozené.
  • Komunikujte s klientem a zjistěte, jestli je provoz potenciálně falšovaný paket (například: SYN Auth nebo SYN Cookie nebo vyřazením paketu pro zdroj, který se má znovu převést).
  • Pakety omezení rychlosti, pokud není možné provádět žádnou jinou metodu vynucení.

Azure DDoS Protection zahodí provoz útoku a přesměruje zbývající provoz do zamýšleného cíle. Během několika minut od detekce útoku budete upozorněni pomocí metrik služby Azure Monitor. Konfigurací protokolování telemetrie DDoS Protection můžete protokoly zapisovat do dostupných možností pro budoucí analýzu. Data metrik ve službě Azure Monitor pro DDoS Protection se uchovávají po dobu 30 dnů.

Adaptivní ladění v reálném čase

Složitost útoků (například útoků DDoS s více vektory) a chování tenantů specifických pro jednotlivé zákazníky, které vyžadují zásady ochrany na míru pro jednotlivé zákazníky. Služba toho dosahuje pomocí dvou přehledů:

  • Automatické učení vzorů provozu podle jednotlivých zákazníků (podle veřejné IP adresy) pro vrstvu 3 a 4

  • Minimalizace falešně pozitivních výsledků vzhledem k tomu, že škálování Azure umožňuje absorbovat značné množství provozu.

Diagram fungování ochrany před útoky DDoS

Telemetrie, monitorování a upozorňování DDoS Protection

Azure DDoS Protection zveřejňuje bohatou telemetrii prostřednictvím služby Azure Monitor. Můžete nakonfigurovat výstrahy pro libovolnou metriku služby Azure Monitor, kterou služba DDoS Protection používá. Protokolování můžete integrovat se službou Splunk (Azure Event Hubs), protokoly služby Azure Monitor a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.

Zásady zmírnění rizik služby Azure DDoS Protection

Na webu Azure Portal vyberte Monitorovat>metriky. V podokně Metriky vyberte skupinu prostředků, vyberte typ prostředku veřejné IP adresy a vyberte veřejnou IP adresu Azure. Metriky DDoS jsou viditelné v podokně Dostupné metriky .

DDoS Protection používá tři automaticky vyladěné zásady zmírnění rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku ve virtuální síti, která má povolenou službu DDoS. Prahové hodnoty zásad můžete zobrazit výběrem příchozích paketů metriky pro aktivaci zmírnění rizik útoků DDoS.

Snímek obrazovky s dostupnými metrikami a grafem metrik

Prahové hodnoty zásad se automaticky konfigurují prostřednictvím profilace síťového provozu založeného na strojovém učení. Omezení rizik útoku DDoS se provádí u IP adresy, která je napadena, pouze když dojde k překročení prahové hodnoty zásad.

Další informace najdete v tématu Zobrazení a konfigurace telemetrie DDoS Protection.

Metrika pro IP adresu v rámci útoku DDoS

Pokud je veřejná IP adresa napadená, hodnota metriky v rámci útoku DDoS nebo se nezmění na hodnotu 1, protože DDoS Protection provádí zmírnění rizik provozu útoku.

Snímek obrazovky s metrikou nebo ne metrikou a grafem útoku DDoS

Doporučujeme nakonfigurovat upozornění na tuto metriku. Jakmile se na vaší veřejné IP adrese provede aktivní zmírnění rizik útoků DDoS, zobrazí se vám oznámení.

Další informace najdete v tématu Správa služby Azure DDoS Protection pomocí webu Azure Portal.

Firewall webových aplikací pro útoky na prostředky

Pokud se chcete lépe zabezpečit webové aplikace, měli byste nakonfigurovat firewall webových aplikací (WAF) specifický pro útoky na prostředky na aplikační vrstvě. WAF kontroluje příchozí webový provoz a blokuje injektáže SQL, skriptování mezi weby, útoky DDoS a další útoky vrstvy 7. Azure poskytuje WAF jako funkci služby Application Gateway pro centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. K dispozici jsou další nabídky WAF od partnerů Azure, které můžou být vhodnější pro vaše potřeby prostřednictvím Azure Marketplace.

Dokonce i brány firewall webových aplikací jsou náchylné k útokům na vyčerpání svazků a stavu. Důrazně doporučujeme povolit službu DDoS Protection ve virtuální síti WAF, která pomáhá chránit před multilicenčními útoky a útoky na protokoly. Další informace najdete v části Referenční architektury služby Azure DDoS Protection.

Plánování ochrany

Plánování a příprava jsou zásadní pro pochopení toho, jak bude systém provádět během útoku DDoS. Návrh plánu reakce na řízení incidentů je součástí tohoto úsilí.

Pokud máte službu DDoS Protection, ujistěte se, že je povolená ve virtuální síti internetových koncových bodů. Konfigurace upozornění DDoS pomáhá neustále sledovat potenciální útoky na vaši infrastrukturu.

Monitorujte aplikace nezávisle. Porozumíte normálnímu chování aplikace. Připravte se na akci, pokud se aplikace během útoku DDoS nechová podle očekávání.

Zjistěte, jak vaše služby budou reagovat na útok testováním prostřednictvím simulací DDoS.

Další kroky