Часто задаваемые вопросы о защите от атак DDoS Azure

Распределенные атаки типа "отказ в обслуживании", или DDoS, — это тип атаки, при которой злоумышленник отправляет приложению больше запросов, чем оно может обработать. В результате ресурсы заканчиваются, что влияет на доступность приложения и возможность обслуживания клиентов. В последние несколько лет в отрасли наблюдается резкое увеличение числа атак. Более того, эти атаки стали более сложными и масштабными. DDoS-атаку можно направить на любую конечную точку, публично доступную через Интернет.

Защита от атак DDoS Azure в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов. Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure. 

Планы защиты от атак DDoS имеют фиксированную ежемесячную стоимость, и защитить можно до 100 общедоступных IP-адресов. Доступна защита для дополнительных ресурсов.

Один арендатор может использовать один план защиты от атак DDoS в нескольких подписках, поэтому создавать более одного плана защиты от атак DDoS нет необходимости.

Если Шлюз приложений с WAF развертывается в защищенной от атак DDoS виртуальной сети, дополнительная плата за WAF не взимается — вы платите за Шлюз приложений по более низкому тарифу без учета WAF. Эта политика относится к Шлюзам приложений версии 1 и 2.

Дополнительные сведения см . в ценах на Защиту от атак DDoS Azure.

Если вам нужно защитить менее 15 общедоступных IP-ресурсов, уровень защиты IP-адресов является более экономичным. Если у вас более 15 ресурсов общедоступного IP-адреса для защиты, уровень защиты сети является более экономичным. Защита сети также предоставляет дополнительные функции, включая средства быстрого реагирования DDoS Protection (DRR), гарантии защиты затрат и скидки на Брандмауэр веб-приложений (WAF).

Да. Защита от атак DDoS Azure по умолчанию является устойчивой в пределах зоны.

Чтобы включить устойчивость зоны, настройка со стороны клиента не требуется. Устойчивость в пределах зоны для ресурсов Защиты от атак DDoS Azure доступна по умолчанию и управляется самой службой.

Клиенты могут использовать службу защиты от атак DDoS Azure в сочетании с Брандмауэр веб-приложений (WAF) для защиты как на сетевом уровне (уровень 3 и 4, предлагаемый Службой защиты от атак DDoS Azure), так и на уровне приложений (уровень 7, предлагаемый WAF). Предложения WAF включают ценовую категорию WAF шлюза приложений Azure и предложения брандмауэра веб-приложений сторонних производителей, доступные в Azure Marketplace.

Службы, работающие в Azure, по умолчанию защищены от атак DDoS на уровне инфраструктуры. Тем не менее эта защита имеет более высокий порог по объему трафика, чем способно обработать большинство приложений, и не предоставляет телеметрию или предупреждения, поэтому несмотря на то, что определенный объем трафика может считаться безвредным, он способен нарушить работу приложения.

При подключении к службе защиты от атак DDoS приложение получает выделенный мониторинг для обнаружения атак и определенных пороговых значений приложений. Служба будет защищена с помощью профиля, настроенного на ожидаемый объем трафика, что обеспечивает более эффективную защиту от атак DDoS.

В настоящее время поддерживаются только общедоступные IP-адреса в виртуальных сетях на базе ARM. Защищенные ресурсы включают общедоступные IP-адреса, подключенные к виртуальной машине IaaS, Load Balancer (классические и Load Balancer (цен. категория ), Шлюз приложений (включая WAF), брандмауэр, бастион, VPN-шлюз, Service Fabric или виртуальное сетевое устройство на основе IaaS (NVA). Защита также охватывает диапазоны общедоступных IP-адресов, перенесенные в Azure с помощью префиксов пользовательских IP-адресов (BYOIP).

Дополнительные сведения об ограничениях см . в справочных архитектурах Защиты от атак DDoS Azure.

В предварительной версии поддерживаются только защищенные ресурсы на основе ARM. Виртуальные машины в классических/RDFE-развертываниях не поддерживаются. В настоящее время поддержка классических/RDFE-ресурсов не планируется. Дополнительные сведения см . в справочных архитектурах Защиты от атак DDoS Azure.

Общедоступные IP-адреса, подключенные к мультитенантным службам PaaS, сейчас не поддерживаются. Примеры неподдерживаемых ресурсов включают виртуальные IP-адреса службы хранилища, виртуальные IP-адреса Центров событий и приложения Служб приложения/Облачных служб. Дополнительные сведения см . в справочных архитектурах Защиты от атак DDoS Azure.

Чтобы включить Защиту от атак DDoS, вам нужны общедоступные конечные точки службы, связанные с виртуальной сетью в Azure. Примеры конфигураций

• Веб-сайты (IaaS) в Azure и внутренних базах данных в локальном центре обработки данных.
• Шлюз приложений в Azure (защита от атак DDoS в шлюзе приложений или WAF) и веб-сайтах в локальных центрах обработки данных.

Дополнительные сведения см . в справочных архитектурах Защиты от атак DDoS Azure.

При использовании общедоступных IP-адресов Защита от атак DDoS будет поддерживать любое приложение независимо от того, где зарегистрирован или размещен связанный домен, если соответствующий общедоступный IP-адрес размещен в Azure.

Нет. К сожалению, в данный момент настройка политики невозможна.

Нет, к сожалению, в данный момент ручная настройка невозможна.

См. статью Тестирование через моделирования.

Метрики должны отображаться на портале в течение 5 минут. Если ресурс находится под угрозой, другие метрики начнут отображаться на портале в течение 5–7 минут.

Нет. Защита от атак DDoS Azure не хранит данные клиента.

Сценарии, в которых одна виртуальная машина работает за общедоступным IP-адресом, поддерживается, но не рекомендуется. Устранение атак DDoS может не инициироваться мгновенно при обнаружении атаки DDoS. В результате развертывание одной виртуальной машины, которое не может масштабироваться, в таких случаях завершится. Дополнительные сведения см. в основных рекомендациях.