Bu makalede Azure DDoS Koruması hakkında sık sorulan sorular yanıtlanmaktadır.
Dağıtılmış Hizmet Reddi (DDoS) saldırısı nedir?
Dağıtılmış hizmet reddi veya DDoS, bir saldırganın uygulamaya işleme yeteneğinden daha fazla istek gönderdiği bir saldırı türüdür. Sonuçta elde edilen etki, uygulamanın kullanılabilirliğini ve müşterilerine hizmet verme becerisini etkileyen kaynakların tükenmiş olmasıdır. Son birkaç yılda, sektör saldırılarda keskin bir artış gözlemlemiştir ve saldırılar daha karmaşık ve daha büyük hale gelmiştir. DDoS saldırıları, İnternet üzerinden genel olarak erişilebilen herhangi bir uç noktaya hedeflenebilir.
Azure DDoS Koruması hizmeti nedir?
Azure DDoS Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır. Tüm yeni veya mevcut sanal ağlarda korumayı etkinleştirmek basit bir işlemdir ve uygulama veya kaynak değişikliği gerektirmez. Daha fazla bilgi için bkz . Azure DDoS Koruması'ne genel bakış.
Fiyatlandırma nasıl çalışır?
DDoS koruma planlarında en fazla 100 genel IP adresini kapsayan sabit bir aylık ücret vardır. Ek kaynaklar için koruma sağlanır.
Bir kiracı altında tek bir DDoS koruma planı birden çok abonelikte kullanılabilir, bu nedenle birden fazla DDoS koruma planı oluşturmanız gerekmez.
WAF ile Application Gateway DDoS korumalı bir sanal ağa dağıtıldığında WAF için ek ücret alınmaz; Application Gateway için WAF olmayan daha düşük bir ücret ödersiniz. Bu ilke hem Application Gateway v1 hem de v2 SKU'ları için geçerlidir.
Fiyatlandırma ve diğer ayrıntılar için bkz . Azure DDoS Koruması fiyatlandırması .
Hangi Azure DDoS Koruması katmanını seçmeliyim?
15'ten az genel IP kaynağını korumanız gerekiyorsa, IP Koruması katmanı daha uygun maliyetli bir seçenektir. Korumanız gereken 15'ten fazla genel IP kaynağınız varsa Ağ Koruması katmanı daha uygun maliyetlidir. Ağ Koruması ayrıca DDoS Koruması Hızlı Yanıt (DRR), maliyet koruma garantileri ve Web Uygulaması Güvenlik Duvarı (WAF) indirimleri gibi ek özellikler de sunar.
Hizmet bölgesi dayanıklı mı?
Evet. Azure DDoS Koruması varsayılan olarak bölgeye dayanıklıdır.
Hizmeti alanlar arası dayanıklı olacak şekilde Nasıl yaparım? yapılandırabilirsiniz?
Bölge dayanıklılığını etkinleştirmek için müşteri yapılandırması gerekmez. Azure DDoS Koruması kaynakları için bölge dayanıklılığı varsayılan olarak kullanılabilir ve hizmetin kendisi tarafından yönetilir.
Hizmet katmanında koruma (katman 7) ne olacak?
Müşteriler Azure DDoS Koruma hizmetini hem ağ katmanında (Azure DDoS Koruması tarafından sunulan Katman 3 ve 4) hem de uygulama katmanında (WAF tarafından sunulan Katman 7) koruma amacıyla Web Uygulaması Güvenlik Duvarı (WAF) ile birlikte kullanabilir. WAF teklifleri, Azure Application Gateway WAF SKU'su ve Azure Market kullanılabilir üçüncü taraf web uygulaması güvenlik duvarı tekliflerini içerir.
Hizmet olmadan Azure'da hizmetler güvenli değil mi?
Azure'da çalışan hizmetler, varsayılan altyapı düzeyinde DDoS koruması tarafından doğal olarak korunur. Ancak, altyapıyı koruyan koruma, çoğu uygulamanın işleme kapasitesine sahip olduğundan çok daha yüksek bir eşiğe sahiptir ve telemetri veya uyarı sağlamaz, bu nedenle bir trafik hacmi platform tarafından zararsız olarak algılanabilir, ancak bunu alan uygulama için yıkıcı olabilir.
Uygulama, Azure DDoS Koruma Hizmeti'ne eklenerek saldırıları ve uygulamaya özgü eşikleri algılamak için ayrılmış izleme alır. Bir hizmet, beklenen trafik hacmine göre ayarlanmış bir profille korunarak DDoS saldırılarına karşı çok daha sıkı bir savunma sağlar.
Desteklenen korumalı kaynak türleri nelerdir?
ARM tabanlı VNET'lerdeki genel IP'ler şu anda tek korumalı kaynak türüdür. Korumalı kaynaklar arasında IaaS VM'sine bağlı genel IP'ler, Yük Dengeleyici (Klasik ve Standart Load Balancer), Application Gateway (WAF dahil), Güvenlik Duvarı, Bastion, VPN Gateway, Service Fabric veya IaaS tabanlı Ağ Sanal Gereci (NVA) bulunur. Koruma ayrıca Özel IP Ön Ekleri (BYOIPs) aracılığıyla Azure'a getirilen genel IP aralıklarını da kapsar.
Sınırlamalar hakkında bilgi edinmek için bkz . Azure DDoS Koruması başvuru mimarileri.
Klasik/RDFE korumalı kaynaklar destekleniyor mu?
Önizlemede yalnızca ARM tabanlı korumalı kaynaklar desteklenir. Klasik/RDFE dağıtımlarındaki VM'ler desteklenmez. Şu anda Klasik/RDFE kaynakları için destek planlanmıyor. Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.
DDoS Koruması kullanarak PaaS kaynaklarımı koruyabilir miyim?
Çok kiracılı, tek VIP PaaS hizmetlerine bağlı genel IP'ler şu anda desteklenmemektedir. Desteklenmeyen kaynaklara örnek olarak Depolama VIP'ler, Event Hubs VIP'leri ve App/Cloud Services uygulamaları verilebilir. Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.
DDoS Koruması kullanarak şirket içi kaynaklarımı koruyabilir miyim?
DDoS korumasının etkinleştirilmesi için hizmetinizin Azure'daki bir sanal ağ ile ilişkilendirilmiş genel uç noktalarına sahip olmanız gerekir. Örnek tasarımlar şunlardır:
- Azure'daki web siteleri (IaaS) ve şirket içi veri merkezinde arka uç veritabanları.
- Azure'da Application Gateway (App Gateway/WAF'de etkinleştirilen DDoS koruması) ve şirket içi veri merkezlerindeki web siteleri.
Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.
Azure dışında bir etki alanı kaydedebilir ve bunu VM veya ELB gibi korumalı bir kaynakla ilişkilendirebilir miyim?
Genel IP senaryolarında DDoS Koruması hizmeti, ilişkili Genel IP'nin Azure'da barındırıldığı sürece ilişkili etki alanının nerede kaydedildiğine veya barındırıldığına bakılmaksızın tüm uygulamaları destekler.
Sanal ağlara/Genel IP'lere uygulanan DDoS ilkesini el ile yapılandırabilir miyim?
Hayır, ne yazık ki ilke özelleştirmesi şu anda kullanılamıyor.
Belirli IP adreslerini izin verilenler listesine/blok listesine ekleyebilir miyim?
Hayır, ne yazık ki el ile yapılandırma şu anda kullanılamıyor.
DDoS Korumasını nasıl test ederim?
Simülasyonlar aracılığıyla test etme bölümüne bakın.
Ölçümlerin portalda yüklenmesi ne kadar sürer?
Ölçümler portalda 5 dakika içinde görünür olmalıdır. Kaynağınız saldırı altındaysa, diğer ölçümler 5-7 dakika içinde portalda gösterilmeye başlar.
Hizmet müşteri verilerini depolar mı?
Hayır, Azure DDoS koruması müşteri verilerini depolamaz.
Genel IP'nin arkasında tek bir VM dağıtımı destekleniyor mu?
Tek bir VM'nin genel IP'nin arkasında çalıştığı senaryolar desteklenir ancak önerilmez. DDoS saldırısı algılandığında DDoS azaltması anında başlatılamayabilir. Sonuç olarak, ölçeği genişletememe özelliğine sahip tek bir VM dağıtımı bu gibi durumlarda azaltılır. Daha fazla bilgi için bkz . Temel en iyi yöntemler.