建議使用 Azure DDoS 保護標準的時機
分散式阻斷服務 (DDoS) 攻擊是將應用程式移至雲端的客戶所面臨的一些最大可用性和安全性顧慮問題。 DDoS 攻擊會嘗試耗盡應用程式的資源,讓合法使用者無法使用該應用程式。 DDoS 攻擊可以鎖定可透過網際網路公開觸達的任何端點。
「Azure DDoS 保護」(結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。
Azure DDoS 保護服務會保護第 3 層和第 4 層網路層。 針對第 7 層的 Web 應用程式保護,您需要使用 WAF 供應項目在應用程式層新增保護。
階層
DDoS 網路保護
「Azure DDoS 網路保護」(結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。
DDoS IP 保護
DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。
主要功能
Always On 流量監視: 一週 7 天每天 24 小時監視應用程式流量模式,以尋找 DDoS 攻擊的指標。 一旦偵測到攻擊,Azure DDoS 保護會立即且自動地減緩攻擊。
自適性即時調整: 智慧型流量分析功能可了解不同時間的應用程式流量,並選取及更新最適合您服務的設定檔。 設定檔會隨著流量因時間的改變而調整。
DDoS 保護分析、計量和警示:「Azure DDoS 保護」會在已啟用 DDoS 的虛擬網路中,針對受保護資源的每個公用 IP 套用三個自動調整的風險降低原則 (TCP SYN、TCP 和 UDP)。 原則閾值是透過機器學習型的網路流量分析來進行自動設定。 只有在超過原則閾值時,才會針對遭到攻擊的 IP 位址進行 DDoS 風險降低。
- 攻擊分析:在攻擊期間取得詳細報告 (五分鐘遞增),並在攻擊結束後取得完整摘要。 將風險降低流量記錄串流至 Microsoft Sentinel 或離線安全性資訊與事件管理 (SIEM) 系統,以在攻擊期間進行近乎即時的監視。
- 攻擊計量:可透過 Azure 監視器來存取每個攻擊的摘要計量。
- 攻擊警示:可以使用內建攻擊衡量標準,設定攻擊開始、停止,以及攻擊持續時間內的警示。 警示會整合到您的作業軟體中 (例如 Microsoft Azure 監視器記錄、Splunk、Azure 儲存體、電子郵件和 Azure 入口網站)。
Azure DDoS 快速回應:在主動式攻擊期間,客戶可聯繫「DDoS 快速回應 (DRR)」團隊,對方能協助您在攻擊期間進行攻擊調查並於攻擊後著手分析。
原生平台整合:原生整合至 Azure。 包含透過 Azure 入口網站進行的的設定。 「Azure DDoS 保護」了解您的資源和資源設定。
統包保護:一旦啟用了「DDoS 網路保護」,簡化的設定即可立即保護虛擬網路上的所有資源。 無需介入或使用者定義。 同樣地,簡化的設定也會在對公用 IP 資源啟用「DDoS IP 保護」時立即保護它。
多層式保護:與 Web 應用程式防火牆 (WAF) 一起部署時,「Azure DDoS 保護」可同時在網路層 (「Azure DDoS 保護」所提供的第 3 層和第 4 層) 和應用程式層 (WAF 所提供的第 7 層) 提供保護。
廣泛的風險降低規模:借助全域的功能,可以降低所有 L3/L4 攻擊媒介的攻擊風險,以防禦已知最大規模的 DDoS 攻擊。
成本保證:獲得資料傳輸和應用程式向外延展服務的點數,以補償因記錄的 DDoS 攻擊而產生的資源成本。
架構
「Azure DDoS 保護」是針對部署在虛擬網路中的服務所設計。 對於其他服務,會套用預設的基礎結構層級 DDoS 保護,以防禦常見的網路層攻擊。
定價
對於「DDoS 網路保護」,在一個租用戶下,可以在多個訂用帳戶中使用單一的 DDoS 保護計劃,因此無需建立多個 DDoS 保護計劃。 對於「DDoS IP 保護」,無需建立 DDoS 保護計劃。 客戶可以對任何公用 IP 資源啟用 DDoS IP 保護。
最佳做法
請遵循下列最佳做法,以將 DDoS 保護和風險降低策略的有效性最大化:
- 在設計您的應用程式和基礎結構時要考慮到備援和復原能力。
- 實作多層的安全性方法 (包括網路、應用程式和資料保護)。
- 準備事件回應計劃以確保對 DDoS 攻擊進行協調回應。