⁧⁩ميزات Azure DDoS Protection Standard⁧⁩

  • مقالة
  • قراءة خلال 3 دقائق

توضح الأقسام التالية الميزات الرئيسية لخدمة Azure DDoS Protection Standard.

مراقبة دائمة لنسبة استخدام الشبكة

يُراقب معيار حماية DDoS الاستخدام الفعلي لنسبة استخدام الشبكة ويقارنها باستمرار بالحد المُعرّف في نهج DDoS. عند تجاوز حد نسبة استخدام الشبكة، يبدأ تخفيف DDoS من المخاطر تلقائيًا. حين تعود نسبة استخدام الشبكة إلى ما دون الحد، يتوقف تخفيف المخاطر.

Azure DDoS Protection Standard Mitigation

أثناء تخفيف المخاطر، تُعيد خدمة حماية DDoS توجيه نسبة استخدام الشبكة المُرسلة إلى المورد المحمي، وتُجرى العديد من عمليات التدقيق مثل:

  • التأكد من تطابق الحِزم مع مواصفات الإنترنت وعدم تشوهها.
  • التفاعل مع العميل لتحديد ما إذا كانت نسبة استخدام الشبكة حزمة زائفة (على سبيل المثال: SYN Auth أو SYN Cookie أو عن طريق قطع حزمة للمصدر لإعادة إرسالها).
  • حزم الحد من المعدل، إذا لم يكن بالإمكان تنفيذ أي طريقة إنفاذ أخرى.

تقطع حماية DDoS سير الهجوم وتعيد توجيه النسبة المُتبقية إلى وجهتها المقصودة. في غضون بضع دقائق من اكتشاف الهجوم، يتم إعلامك من خلال مقاييس Azure Monitor. عن طريق تكوين تسجيل الدخول إلى بيانات تتبع الاستخدام لمعيار حماية DDoS، يمكنك كتابة السجلات إلى الخيارات المتاحة للتحليل في المستقبل. يتم الاحتفاظ ببيانات القياس في Azure Monitor لمعيار حماية DDoS لمدة 30 يومًا.

ضبط تكيفي في الوقت الحقيقي

يتطلب تعقيد الهجمات (على سبيل المثال، هجمات DDoS متعددة النواقل) والسلوكيات الخاصة بالتطبيقات للمستأجرين سياسات حماية مخصصة لكل عميل. تُحقق الخدمة ذلك باستخدام رؤيتين:

  • التعلم التلقائي لأنماط حركة المرور لكل عميل (لكل عنوان IP عام) للطبقة 3 و4.

  • تقليل الإيجابيات الزائفة، باعتبار أن مقياس Azure يسمح لها باستيعاب كمية كبيرة من نسبة استخدام الشبكة.

Diagram of how DDoS Protection Standard works, with

القياس عن بعد والمراقبة والتنبيه لحماية DDoS

يعرض معيار حماية DDoS القياس عن بعد الغني عبر شاشة Azure. يمكنك تكوين تنبيهات لأي من مقاييس Azure Monitor التي تستخدمها حماية DDoS. يمكنك دمج تسجيل الدخول مع Splunk (Azure Event Hubs) وسجلات Azure Monitor وAzure Storage للتحليل المُتقدم عِبر واجهة تشخيص Azure Monitor.

سياسات التخفيف من DDoS

في مدخل Azure، حدد MonitorMetrics>. في جزء Metrics حدد مجموعة الموارد، وحدد نوع مورد من Public IP Address، وحدد عنوان IP العام لـ Azure. تكون مقاييس DDoS مرئية في جزء Available metrics.

يطبق معيار حماية DDoS ثلاثة نهج تخفيف تلقائية الضبط (TCP SYN وTCP وUDP) لكل عنوان IP عام للمورد المحمي، في الشبكة الظاهرية التي تم تمكين DDoS عليها. يمكنك عرض عتبات السياسة عن طريق تحديد الحزم الواردة المترية لتشغيل تخفيف DDoS.

Available metrics and metrics chart

تُكوّن حدود النهج تلقائيًا عِبر جمع معلومات نسبة استخدام الشبكة المستندة إلى التعلم الآلي. يحدث تخفيف DDoS لعنوان IP المُعرض للهجوم فقط عند تجاوز حد النهج.

مقياس لعنوان IP تحت هجوم DDoS

إذا كان عنوان IP العام يتعرض للهجوم، فإن قيمة المقياس تحت هجوم DDoS أو لا تتغير إلى 1 حيث تقوم حماية DDoS بالتخفيف من حركة مرور الهجوم.

نوصي بتكوين تنبيه على هذا المقياس. سيتم إعلامك بعد ذلك عندما يكون هناك تخفيف نشط ل DDoS يتم إجراؤه على عنوان IP العام الخاص بك.

لمزيد من المعلومات، راجع إدارة معيار حماية Azure DDoS باستخدام مدخل Azure.

جدار حماية تطبيق الويب لهجمات الموارد

خاصة بهجمات الموارد في طبقة التطبيق، يجب تكوين جدار حماية تطبيق ويب (WAF) للمساعدة في تأمين تطبيقات الويب. يفحص WAF نسبة استخدام شبكة الويب الواردة لمنع حقن SQL والبرامج النصية عِبر الموقع وDDoS وغيرها من هجمات الطبقة 7. يوفر Azure WAF كميزة من ميزات بوابة التطبيقات للحماية المركزية لتطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة. هناك عروض WAF أخرى متوفرة من شركاء Azure والتي قد تكون أكثر ملاءمة لاحتياجاتك عبر Azure Marketplace.

حتى جدران حماية تطبيقات الويب عُرضة لهجمات الإرهاق الحَجميّ وهجمات استنزاف الحالة. نوصي بشدة بتمكين معيار حماية DDoS على شبكة WAF الافتراضية للمساعدة في الحماية من الهجمات الحجمية وهجمات البروتوكول. لمزيد من المعلومات، راجع قسم البنى المرجعية لحماية DDoS .

تخطيط الحماية

يعد التخطيط والإعداد أمرين حاسمين لفهم كيفية أداء النظام أثناء هجوم DDoS. ويعد تصميم خطة استجابة لإدارة الحوادث جزءا من هذا الجهد.

إذا كان لديك معيار حماية DDoS، فتأكد من تمكينه على الشبكة الافتراضية لنقاط النهاية المواجهة للإنترنت. يساعدك تكوين تنبيهات DDoS على مراقبة أي هجمات محتملة على البنية التحتية لديك باستمرار.

راقب تطبيقاتك بشكل مستقل. فهم السلوك الطبيعي للتطبيق. استعد للتصرف إذا كان التطبيق لا يتصرف كما هو متوقع أثناء هجوم DDoS.

تعرف على كيفية استجابة خدماتك للهجوم من خلال الاختبار من خلال عمليات المحاكاة.

الخطوات التالية