Vad är Azure DDoS Protection?
Microsoft erbjuder DDoS-infrastrukturskydd till alla Azure-kunder utan kostnad. Microsoft erbjuder även ytterligare tjänster i deras DDoS Protection-tjänst.
Azure DDoS Infrastructure Protection eller Azure DDoS Protection
Du undersöker fördelarna med att Contoso uppgraderar till Azure DDoS Protection för dina tjänster som körs i Azure. Motivationen för att utvärdera det här uppgraderingsalternativet, i samförstånd med DDoS-säkerhetsexperter, är den växande frekvensen och sofistikeringen av DDoS-attacker.
Attacktrafiken behöver inte finnas i intervallet terabit per sekund för att ta bort ett program. Alla specifika riktade attacker kan påverka tillgängligheten för ett program som körs i Azure, som tar emot trafik från det offentliga Internet.
Vad är en DDoS-attack?
I en DDoS-attack översvämmar en gärningsman avsiktligt systemet, som en server, webbplats eller annan nätverksresurs, med falsk trafik. Datorerna är anslutna i ett samordnat kommando- och kontrollnätverk, som kallas botnet. En skadlig tredje part kontrollerar botnätet för att starta DDoS-attacken. Aktiviteten utlöser en överbelastning av tjänster till legitima användare, genom att överväldiga tjänstens funktioner. DDoS-attacker kan riktas mot valfri slutpunkt som kan nås offentligt via Internet.
Följande bild visar en typisk DDoS-attack från ett botnät.
Några vanliga DDoS-attacker är:
Volymetriska attacker. Dessa attacker använder flera infekterade system för att översvämma nätverksskiktet med en betydande mängd till synes legitim trafik. De flera komprometterade systemen är vanligtvis en del av ett kriminellt botnät. Typerna av volymtriska DDoS-attacker är:
- UDP-översvämningar. Angriparen skickar UDP-paket, vanligtvis stora, till ett enda mål eller till slumpmässiga portar. De attackerande systemen kan enkelt förfalska sin IP-adress, eftersom UDP är anslutningslös.
- Förstärkningsöversvämmningar. En DNS-server är överbelastad med till synes legitima begäranden om tjänsten. Angriparens mål är att mätta DNS-tjänsten genom att förbruka bandbreddskapaciteten.
- Andra falska paket översvämmas. Skickar enorma mängder falsk trafik till en resurs.
Protokollattacker. Dessa attacker riktar sig mot Layer 3 eller Layer 4 i OSI-modellen. De utnyttjar en svaghet i TCP. Ett exempel på en protokollbaserad DDoS-attack är TCP SYN-översvämningen, som utnyttjar en del av trevägshandskakningen. Angriparen skickar en följd av TCP SYN-begäranden och ignorerar SYN+ACK-svaret. Den här attacken riktas mot ett mål med målet att överbelasta målet och få det att inte svara.
Resursattacker (program) på programnivå. Resursattacker riktar sig mot det "översta" lagret i OSI-modellen för att störa överföringen av data mellan värdar. Dessa layer-7-attacker omfattar att utnyttja HTTP-protokollet, SQL-inmatningsattacker, skript för flera platser och andra programattacker.
Azure DDoS Protection-erbjudanden
DDoS-skydd liknar ett säkert och fungerande säkerhetskopieringssystem. En säkerhetskopias värde för din organisation är inte uppenbart förrän det behövs. DDoS-skydd, till exempel en säkerhetskopia, ger riskreducering mot potentiella hot.
DDoS-infrastrukturskydd
Azure ger kontinuerligt skydd mot DDoS-attacker. DDoS-skydd lagrar inte kunddata. Utan extra kostnad skyddar Azure DDoS Infrastructure Protection varje Azure-tjänst som använder offentliga IPv4- och IPv6-adresser. Den här DDoS-skyddstjänsten hjälper till att skydda alla Azure-tjänster, inklusive PaaS-tjänster (plattform som en tjänst), till exempel Azure DNS. DDoS Infrastructure Protection kräver ingen användarkonfiguration eller programändringar.
Azure DDoS Infrastructure Protection tillhandahåller:
- Aktiv trafikövervakning och always-on-identifiering. DDoS Infrastructure Protection övervakar dina programtrafikmönster hela dagen, varje dag, och söker efter indikatorer för DDoS-attacker.
- Automatisk attackreducering. När attacken har identifierats minimeras den.
- Serviceavtalet för DDoS Infrastructure Protection (SLA), som baseras på Azure-regionen med bästa möjliga stöd.
Tjänster som körs i Azure skyddas av standardskyddet för DDoS på infrastrukturnivå. Skyddet som skyddar infrastrukturen har dock ett mycket högre tröskelvärde än de flesta program har kapacitet att hantera och tillhandahåller inte telemetri eller aviseringar, så även om en trafikvolym kan uppfattas som ofarlig av plattformen kan det vara förödande för programmet som tar emot den.
Genom att registrera sig för Azure DDoS Protection-tjänsten får programmet dedikerad övervakning för att identifiera attacker och programspecifika tröskelvärden. En tjänst skyddas med en profil som är anpassad till den förväntade trafikvolymen, vilket ger ett mycket hårdare skydd mot DDoS-attacker.
Azure DDoS Network Protection
DDoS Network Protection ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk.
I följande lista beskrivs funktionerna och fördelarna med DDoS Network Protection:
- Skydd för 100 offentliga IP-resurser.
- Det ger intelligent trafikprofilering, som du lär dig mer om i nästa lektion.
- Den tillhandahåller intern integrering i Azure-portalen för installation och distribution. Med den här integreringsnivån kan DDoS Protection identifiera dina Azure-resurser och deras konfigurationer.
- När DDoS Network Protection är aktiverat för ett virtuellt nätverk skyddas alla resurser i nätverket automatiskt. Inget annat administrativt förfarande krävs.
- Dina nätverksresurser är under konstant trafikövervakning för indikationer på en DDoS-attack. När det har identifierats ingriper DDoS Network Protection och minimerar automatiskt attacken.
- Det hjälper till att skydda lager 3 och 4 på nätverksskiktet. Det ger också programskydd (layer 7) med Azure Web Application Firewall, som ingår i Azure Gateway. Eftersom Azure Gateway och brandväggen för webbprogram är internetriktade skyddar DDoS Protection deras nätverksgränssnitt. Den här skyddsstrategin är ett exempel på skydd med flera lager eller skydd på djupet.
- Den innehåller detaljerade attackanalysrapporter under attacken i femminutersintervall och en rapport efter åtgärd för en fullständig sammanfattning av händelsen när attacken slutar.
- Den innehåller stöd för integrering av åtgärdsloggar med Microsoft Defender för molnet, Microsoft Sentinel eller ett SIEM-system (offline security information and event management) för övervakning i nära realtid under en attack.
- Azure Monitor samlar in övervakningstelemetri från DDoS Network Protection för åtkomst till sammanfattade attackmått.
Azure DDoS IP Protection
DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i följande mervärdestjänster:
- Stöd för snabba DDoS-svar
- Kostnadsskydd
- Rabatter på WAF.
Mervärdestjänster
Kostnadsgaranti och stöd för DDoS-snabba svar är två av de andra viktiga DDoS-nätverksskyddsfunktionerna.
Kostnadsgaranti
I början av en DDoS-attack utlöser ökningen av nätverksbandbredden och/eller uppskalningen av antalet virtuella datorer ofta den automatiska utskalningen av tjänsten som körs i Azure.
Kommentar
Kunder som är anslutna till DDoS Protection får tjänstkredit för utskalning av program och kostnader för nätverksbandbredd som de ådrar sig under en dokumenterad DDoS-attack. Microsoft tillhandahåller direkt den här krediten.
Stöd för snabba DDoS-svar
Microsoft har skapat ett snabbsvarsteam för DDoS Protection. Du kan kontakta det här teamet för att få hjälp under en DDoS-attack och begära en analys efter attacken. Svarsteamet för DDoS Protection följer Azure Rapid Response-supportmodellen.
Du kan meddela teamet genom att öppna en supportbegäran på Azure-portalen. Kontakta teamet om:
- Ditt företag planerar en virtuell händelse som förväntas öka nätverkstrafiken avsevärt.
- Det finns en attack som allvarligt försämrar prestandan för ett skyddat kritiskt affärssystem.
- Säkerhetsteamet fastställer att skyddade resurser är under attack, men DDoS Protection minimerar inte attacken effektivt.