Что такое Защита от атак DDoS Azure?

Распределенные атаки типа "отказ в обслуживании" (DDoS) — это одна из наиболее крупных угроз доступности и безопасности, с которой сталкиваются клиенты, перемещающие свои приложения в облако. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы оно стало недоступным для обычных пользователей. Атаку DDoS можно направить на любую конечную точку, публично доступную через Интернет.

Защита от атак DDoS Azure в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов.

Схема эталонной архитектуры для защищенного веб-приложения PaaS в Azure DDoS.

Защита от атак DDoS Azure защищает от уровней 3 и 4 сетевых слоев. Для защиты веб-приложений на уровне 7 необходимо добавить защиту на уровне приложений с помощью предложения WAF. Дополнительные сведения см. в разделе "Защита от атак DDoS приложения".

Уровни

Защита сети от атак DDoS

Защита сети DDoS Azure, в сочетании с рекомендациями по проектированию приложений, предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Дополнительные сведения о включении защиты сети DDoS см. в кратком руководстве по созданию и настройке защиты сети DDoS Azure с помощью портал Azure.

Защита IP-адресов от атак DDoS

Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но будет отличаться в следующих службах: поддержка быстрого реагирования DDoS, защита затрат и скидки на WAF. Дополнительные сведения о включении защиты IP-адресов DDoS см . в кратком руководстве по созданию и настройке защиты IP-адресов DDoS Azure с помощью Azure PowerShell.

Дополнительные сведения о уровнях см. в разделе "Сравнение уровней защиты от атак DDoS".

Основные возможности

  • Постоянный мониторинг трафика: трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак. Защита от атак DDoS Azure мгновенно отражает атаку сразу после ее обнаружения. Это происходит автоматически.

  • Адаптивная настройка в режиме реального времени: интеллектуальное профилирование трафика изучает трафик приложения с течением времени и выбирает и обновляет профиль, наиболее подходящий для вашей службы. Этот профиль корректируется с изменением трафика с течением времени.

  • Аналитика защиты от атак DDoS, метрики и оповещения. Защита от атак DDoS Azure применяет три автоматически настроенных политики устранения рисков (TCP SYN, TCP и UDP) для каждого общедоступного IP-адреса защищенного ресурса в виртуальной сети с включенным DDoS. Пороговые значения политики настраиваются автоматически через профилирование сетевого трафика на основе машинного обучения. Устранение атак DDoS выполняется для атакованного IP-адреса, только если превышены пороговые значения политики.

    • Аналитика атак: во время атаки вам будут отправляться подробные отчеты с пятиминутными интервалами, а по ее завершении вы получите полную сводку. Выполняйте потоковую передачу журналов потоков устранения рисков в Microsoft Sentinel или в автономную систему управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить во время атаки мониторинг почти в реальном времени. Подробнее см. в статье Просмотр и настройка журнала ведения диагностики атак DDoS.

    • Метрики атак. В Azure Monitor доступны обобщенные метрики для каждой атаки. Подробнее см. в статье Просмотр и настройка телеметрии по защите от атак DDoS.

    • Оповещения об атаках. Вы можете настроить оповещения в начале, конце и на протяжении атаки, используя встроенные метрики атаки. Оповещения интегрируются в операционное программное обеспечение, такое как Microsoft Azure Monitor, Splunk, служба хранилища Azure, программы для работы с электронной почтой и портал Azure. Подробнее см. в статье Просмотр и настройка оповещений защиты от атак DDoS.

  • Быстрый ответ Azure DDoS. Во время активной атаки защита сети Azure DDoS позволила клиентам получить доступ к группе быстрого реагирования DDoS (DRR), которая может помочь в расследовании атак во время атаки и анализа после атак. Дополнительные сведения см. в статье Быстрое реагирование на атаки DDoS Azure.

  • Интеграция с собственной платформой: изначальная интеграция в Azure. Включает в себя настройку на портале Azure. Защита от атак DDoS Azure понимает ресурсы и конфигурацию ресурсов.

  • Защита от ключа. Упрощенная конфигурация немедленно защищает все ресурсы виртуальной сети сразу после включения защиты сети от атак DDoS. От пользователя не требуется никаких действий или настроек. Аналогичным образом упрощенная конфигурация немедленно защищает ресурс общедоступного IP-адреса при включении защиты IP-адресов DDoS.

  • Многоуровневая защита: при развертывании с брандмауэром веб-приложения (WAF), защита от атак DDoS Azure защищает как на сетевом уровне (уровень 3 и 4, предлагаемый Службой защиты от атак DDoS Azure), так и на уровне приложений (уровень 7, предлагаемый WAF). Предложения WAF включают ценовую категорию WAF шлюза приложений Azure и предложения брандмауэра веб-приложений сторонних производителей, доступные в Azure Marketplace.

  • Широкий масштаб устранения рисков: все векторы атак L3/L4 могут быть устранены с глобальной емкостью для защиты от крупнейших известных атак DDoS.

  • Гарантия стоимости: Получите кредит на передачу данных и горизонтальное масштабирование приложений по кредиту для покрытия затрат на ресурсы в результате документированных атак DDoS.

Архитектура

Защита от атак DDoS Azure предназначена для служб, развернутых в виртуальной сети. Для других служб применяется защита от атак DDoS на уровне инфраструктуры по умолчанию, которая обеспечивает защиту от распространенных атак сетевого уровня. Дополнительные сведения о поддерживаемых архитектурах см. в разделе Стандартные архитектуры защиты от атак DDoS.

Цены

Для защиты сети DDoS в клиенте один план защиты от атак DDoS можно использовать в нескольких подписках, поэтому не требуется создавать более одного плана защиты от атак DDoS. Для защиты IP-адресов DDoS не требуется создавать план защиты от атак DDoS. Клиенты могут включить защиту IP-адресов DDoS на любом ресурсе общедоступного IP-адреса.

Дополнительные сведения о ценах на Защиту от атак DDoS Azure см. в статье о ценах на защиту от атак DDoS Azure.

Рекомендации

Чтобы повысить эффективность стратегии защиты от атак DDoS и устранения рисков, выполните следующие рекомендации.

  • Проектирование приложений и инфраструктуры с учетом избыточности и устойчивости.
  • Реализуйте многоуровневый подход к безопасности, включая сетевую, приложение и защиту данных.
  • Подготовьте план реагирования на инциденты, чтобы обеспечить скоординированный ответ на атаки DDoS.

Дополнительные сведения о рекомендациях см. в основных рекомендациях.

Вопросы и ответы

Часто задаваемые вопросы см. в разделе с вопросами и ответами о защите от атак DDoS.

Следующие шаги