Přehled služby Azure DDoS ochrany standardníAzure DDoS Protection Standard overview

Distribuované útoků DoS (Denial) jsou jedním z největší dostupnost a zabezpečení obavy čelí zákazníkům přesunutí svých aplikací do cloudu.Distributed denial of service (DDoS) attacks are one of the largest availability and security concerns facing customers moving their applications to the cloud. Útoku DDoS pokusí vyčerpat prostředky aplikace, provedení aplikace není k dispozici na oprávněné uživatele.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Útoky DDoS můžete cílit na všechny koncový bod, který je veřejně dostupný prostřednictvím Internetu.DDoS attacks can be targeted at any endpoint that is publicly reachable through the Internet.

Azure ochrana proti útoku DDoS v kombinaci s osvědčenými postupy návrhu aplikace ubrání proti útokům DDoS.Azure DDoS Protection, combined with application design best practices, provide defense against DDoS attacks. Azure ochrana proti útoku DDos poskytuje následující úrovně služeb:Azure DDos Protection provides the following service tiers:

  • Azure DDoS ochrany základní: automaticky povolené v rámci platformy Azure bez dalších poplatků.Azure DDoS Protection Basic: Automatically enabled as part of the Azure platform, at no additional charge. Vždy na provoz monitorování a v reálném čase zmírnění běžné útoků na úrovni sítě poskytuje stejné obrany využívaných online službách společnosti Microsoft.Always-on traffic monitoring and real-time mitigation of common network-level attacks provides the same defenses utilized by Microsoft’s online services. Celého rozsahu globální sítě Azure slouží k distribuci a zmírnit útok provoz v oblastech.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Ochrana se poskytuje pro protokol IPv4 a IPv6 Azure veřejné IP adresy.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Azure DDoS ochrany standardní poskytuje možnosti Další zmírnění přizpůsobená speciálně pro prostředky Azure Virtual Network.Azure DDoS Protection Standard Provides additional mitigation capabilities tuned specifically to Azure Virtual Network resources. Se snadno povolit a nevyžaduje žádné změny aplikace.It is simple to enable, and requires no application changes. Zásady ochrany jsou přizpůsobená prostřednictvím monitorování vyhrazené provozu a machine learning algoritmy a použity na veřejné IP adresy přidružené k nasazené ve virtuálních sítích, jako je například nástroj pro vyrovnávání zatížení Azure, Azure Application Gateway a Azure prostředky. Instance Service Fabric.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms and applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Při útoku a historie je k dispozici prostřednictvím zobrazení monitorování Azure v reálném čase telemetrie.Real-time telemetry is available through Azure Monitor views during an attack and for history. Ochrana vrstvy aplikace mohou být přidány prostřednictvím brány Firewall webových aplikací aplikace brány.Application layer protections can be added through Application Gateway Web Application Firewall. Ochrana se poskytuje pro IPv4 Azure veřejné IP adresy.Protection is provided for IPv4 Azure public IP addresses.

Standardní ochrany Azure DDoS

Důležité

Azure DDoS ochrany standardní je aktuálně ve verzi preview.Azure DDoS Protection Standard is currently in preview. Ochrana se poskytuje pro jakýmikoli prostředky Azure, který má Azure veřejnou IP adresu přidružené k, jako jsou virtuální počítače, nástroje pro vyrovnávání zatížení a aplikačních bran.Protection is provided for any Azure resource that has an Azure public IP address associated to it, such as virtual machines, load balancers, and application gateways. Budete muset zaregistrovat pro službu, než můžete povolit standardní ochrany DDoS pro vaše předplatné.You need to register for the service before you can enable DDoS Protection Standard for your subscription. Po registraci, tým Azure DDoS kontaktuje jste a provede vás provede procesem povolování.After registering, the Azure DDoS team contacts you and guides you through the enablement process. DDoS ochrany Standard je k dispozici ve východní USA, Východ USA 2, západ USA, Západ střední USA, Severní Evropa, západní Evropa, Japonsko – Západ, Japonsko – východ, Asie – východ a jihovýchodní Asie oblasti.DDoS Protection Standard is available in the East US, East US 2, West US, West Central US, North Europe, West Europe, Japan West, Japan East, East Asia, and Southeast Asia regions only. Verzi Preview se vám neúčtují poplatky za používání služby.During preview, you are not charged for using the service.

Doporučujeme vám opakujte DDoS ochrany standardní vývoj, testovací nebo produkční prostředí.We encourage you to try DDoS Protection Standard, in development, test, or production environments. Použijte v následujících zdrojích informací k poskytnutí zpětné vazby na vaše prostředí:Use the following resources to provide feedback on your experiences:

Pro problémy podpory můžete otevřete lístek podpory Azure.For support issues, you can open an Azure support ticket. Při DDoS ochrany standardní je ve verzi preview, podpora je k dispozici na základě typu best effort.While DDoS Protection Standard is in preview, support is provided on a best-effort basis.

Typy útoků DDoS, které DDoS ochrany standardní snižujeTypes of DDoS attacks that DDoS Protection Standard mitigates

DDoS ochrany standardní zmírnit tyto typy útoků:DDoS Protection Standard can mitigate these types of attacks:

  • Odměrné útoky: cílem útok je k vyplnění síťovou vrstvou s vyžadovat značné množství zdánlivě legitimní provoz.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Obsahuje záplavy, záplavy zesílení a dalších záplavy maskování paketu UDP.It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS ochrany standardní snižuje tyto možných útoků, které více gigabajt přijmout a čištění, využití Škálováním globální sítě Azure, automaticky.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, leveraging Azure’s global network scale, automatically.
  • Protokol útoky: tyto útoky vykreslení cíl nepřístupný zneužitím slabé místo v zásobníku protokolu vrstvy 4 a vrstvy 3.Protocol attacks: These attacks render a target inaccessible by exploiting a weakness in the layer 3 and layer 4 protocol stack. Obsahuje, útokům zahlcení SYN, reflexe útokům a jiným útokům protokolu.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS ochrany standardní snižuje tyto útoky rozlišování škodlivý a legitimní provozu v interakci s klienta a blokovat škodlivý přenos.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client and blocking malicious traffic.
  • Útoky na aplikace: tyto útoky cílové webové aplikace pakety narušit přenosu dat mezi hostiteli.Application layer attacks: These attacks target web application packets to disrupt the transmission of data between hosts. Obsahuje HTTP protokol narušení, SQL vkládání, skriptování a jiným útokům vrstvy 7.It includes HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Použití Azure brány firewall webových aplikací Application Gateway, s DDoS ochrany Standard zajistit ochranu proti těmto útokům.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks.

DDoS ochrany standardní chrání prostředky ve virtuální síti, včetně veřejné IP adresy přidružené virtuální počítače, nástroje pro vyrovnávání zatížení a aplikačních bran.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Při kombinaci s brány firewall webových aplikací Application Gateway, může DDoS ochrany standardní poskytnout úplné vrstvy 3 pro vrstvy 7 zmírnění schopnosti.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS ochrany standardní funkceDDoS Protection Standard features

Funkce DDoS

DDoS ochrany standardní funkce patří:DDoS Protection Standard features include:

  • Integrace nativní platformy: nativně integrována do Azure a zahrnuje konfiguraci prostřednictvím portálu Azure a prostředí PowerShell.Native platform integration: Natively integrated into Azure and includes configuration through the Azure portal and PowerShell. DDoS ochrany standardní rozumí vašich prostředků a konfigurace prostředků.DDoS Protection Standard understands your resources and resource configuration.
  • Monitorování vždy v provozu: vzory přenosů dat vaší aplikace jsou monitorovány 24 hodin denně, 7 dní v týdnu, hledá indikátory útoků DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Zmírnění dopadů se provádí při překročení zásady ochrany.Mitigation is performed when protection policies are exceeded.
  • Klíč ochrany: zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti, jakmile je povoleno DDoS ochrany standardní.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Je vyžadována definice bez zásahu nebo uživatele.No intervention or user definition is required. DDoS ochrany standardní okamžitě a automaticky snižuje útoku, jakmile bude zjištěno.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Adaptivní ladění: inteligentního provoz profilace zjišťuje provoz vaší aplikace v průběhu času a vybere a aktualizuje profil, který je nejvhodnější pro vaši službu.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Profil upraví jako provoz v průběhu času mění.The profile adjusts as traffic changes over time.
  • Úrovně 3 na ochrana vrstvy 7: poskytuje úplné zásobníku ochrana proti útoku DDoS, při použití s aplikační brány.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with an application gateway.
  • Zmírnění dopadů rozsáhlé škálování: přes 60 útoku různé typy lze zmírnit, s globální kapacity pro ochranu proti největší známé útoky DDoS.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Útokům metriky: Summarized metriky z každé útoku jsou přístupné prostřednictvím Azure monitorování.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Útok výstrahy: výstrah lze nakonfigurovat na spuštění a ukončení útoku a na dobu trvání útok, pomocí předdefinovaných útoku metriky.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Výstrahy integrovat do vaší provozní softwaru, třeba Microsoft Azure Log Analytics, Splunk, Azure Storage, e-mailu a portálu Azure.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Cenově záruku: přenosu dat a aplikací Škálováním na více systémů kompenzace zdokumentovaných útoku DDoS.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Zmírnění dopadů DDoS ochrany standardníDDoS Protection Standard mitigation

Ochrana proti útoku DDoS služby společnosti Microsoft monitoruje provoz skutečné využití a porovná je neustále s definované v zásadách DDoS prahové hodnoty.Microsoft’s DDoS Protection service monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Při překročení prahové hodnoty provoz DDoS zmírnění iniciován automaticky.When that traffic threshold is exceeded, then DDoS mitigation is initiated automatically. Pokud provoz vrátí pod prahovou hodnotou, odebere se zmírnění dopadů.When traffic returns below the threshold, the mitigation is removed.

Během zmírnění dopadů data odesílaná do chráněného prostředku přesměrována službou ochrana proti útoku DDoS a několik ověřování.During mitigation, traffic sent to the protected resource is redirected by the DDoS Protection service and several checks are performed. Těmito kontrolami obecně provádět následující funkce:These checks generally perform the following functions:

  • Zkontrolujte pakety specifikacím Internet a nejsou poškozené.Ensure packets conform to Internet specifications and are not malformed.
  • Komunikovat s klientem nástroje k určení, pokud provoz je potenciálně falešný paket (např: SYN Auth nebo soubor Cookie SYN nebo vyřazení paket pro zdrojů a přenést ho znovu).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limit rychlosti paketů, pokud žádnou jinou metodu vynucení lze provést.Rate-limit packets, if no other enforcement method can be performed.

Bloky ochrany DDoS útokům provozu a předává zbývající provoz do zamýšlené cíle.The DDoS protection blocks attack traffic and forwards remaining traffic to its intended destination. Během několika minut detekce útoku budete upozorněni, používání Azure monitorování metriky.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Konfigurace protokolování na DDoS ochrany standardní telemetrie, můžete napsat protokoly dostupné možnosti pro budoucí analýzu.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Metriky dat v Azure monitorování pro DDoS ochrany Standard se aktuálně uchovávají po dobu 30 dnů.Metric data in Azure Monitor for DDoS Protection Standard is currently retained for 30 days.

Nedoporučujeme zákazníků k simulaci vlastní útoky DDoS.We do not advise customers to simulate their own DDoS attacks. Místo toho zákazníci mohou používat podporu kanál k vyžádání DDoS útokům simulace provedený sítí Azure.Instead, customers can use the support channel to request a DDoS attack simulation executed by Azure Networking. Technika vás bude kontaktovat uspořádání podrobnosti útoku DDoS (porty, protokoly, cílové IP adresy) a uspořádat dobu a naplánovat test.An engineer will contact you to arrange the details of the DDoS attack (ports, protocols, target IPs) and arrange a time to schedule the test.

Další postupNext steps