Přehled služby Azure DDoS Protection StandardAzure DDoS Protection Standard overview

Distribuované útoky na dostupnost služeb (DDoS) jsou některé z největších obavy týkající se dostupnosti a zabezpečení zákazníci, které se pohybují své aplikace do cloudu.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. S útoky DDoS pokusí vyčerpání aplikační prostředky, čímž aplikaci není k dispozici pro oprávněné uživatele.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Útoky DDoS můžete cílit na libovolný koncový bod, který je veřejně dostupný prostřednictvím Internetu.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure DDoS protection v kombinaci s aplikací osvědčené postupy pro navrhování, poskytují ochranu před útoky DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS protection nabízí následující úrovně služeb:Azure DDoS protection provides the following service tiers:

  • Základní: automaticky povolené v rámci platformy Azure.Basic: Automatically enabled as part of the Azure platform. Monitorování neustále v provozu a v reálném čase ke zmírnění běžných útoků na úrovni sítě, poskytují stejné obranu využívaných online služeb Microsoftu.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Celé škále globální sítě Azure slouží k distribuci a zmírnit útok provoz napříč oblastmi.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Poskytuje ochranu pro protokoly IPv4 a IPv6 Azure veřejné IP adresy.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standardní: úroveň služeb Basic, který je vyladěný speciálně pro prostředky Azure Virtual Network poskytuje funkce pro další zmírnění útoků.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard je snadno zajistit a nevyžaduje žádné změny aplikace.DDoS Protection Standard is simple to enable, and requires no application changes. Zásady ochrany je vyladěná prostřednictvím monitorování vyhrazené provozu a algoritmů strojového učení.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Zásady se použijí k veřejné IP adresy přidružené k prostředkům, které jsou nasazené ve virtuálních sítích, jako je například nástroj pro vyrovnávání zatížení Azure, Azure Application Gateway a Azure Service Fabric instance, ale tato ochrana se nevztahuje na služby App Service Environment.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments. Telemetrická data v reálném čase je k dispozici prostřednictvím Azure Monitor zobrazení během útoku a historie.Real-time telemetry is available through Azure Monitor views during an attack, and for history. Bohaté útoku zmírnění analytics jsou k dispozici přes nastavení diagnostiky.Rich attack mitigation analytics are available via diagnostic settings. Ochrana vrstvy aplikace je možné přidat prostřednictvím Firewall webových aplikací služby Azure Application Gateway nebo po instalací 3. stran firewall z Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. Poskytuje ochranu pro IPv4 Azure veřejné IP adresy.Protection is provided for IPv4 Azure public IP addresses.

Azure DDoS Protection základní vs. Standard

Typy útoků DDoS, které před útoky DDoS Protection Standard omezujeTypes of DDoS attacks that DDoS Protection Standard mitigates

DDoS Protection standardní lze zmírnit tyto typy útoků:DDoS Protection Standard can mitigate the following types of attacks:

  • Odměrné útoky: útok cílem je k vyplnění síťové vrstvě s vyžadovat značné množství zdánlivě legitimní provoz.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Obsahuje UDP záplavy zesílení záplavy a dalších záplavy falešné paketů.It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS Protection Standard omezuje tyto potenciální útoky více GB zajistit plynulý provoz a čištění, škálování globální sítě Azure, automaticky.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Protokol útoky: tyto útoky cíl vykreslování nedostupný, zneužitím slabiny ve vrstvě 3 a zásobník protokolu vrstvy 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Zahrnuje, SYN útokům zahlcení reflexe útoky a dalších útoků protokolu.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS Protection standardní zmírňuje tyto útoky rozlišování škodlivým a legitimní provoz tak, že komunikaci s klientem a blokování škodlivý provoz.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Útoky na prostředku (aplikace): cílit na tyto útoky pakety webové aplikace, narušit přenos dat mezi hostiteli.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Útoky patří HTTP narušením protokolu SQL vkládání, skriptování napříč weby a další útoky vrstvy 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Použití Azure Application Gateway firewall webových aplikací, před útoky DDoS Protection Standard, zajistit ochranu před těmito útoky.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Existují také nabídky brány firewall třetích stran webových aplikací k dispozici v Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

Standardní před útoky DDoS Protection chrání prostředky ve virtuální síti, včetně veřejné IP adresy přidružené k virtual machines, nástroji pro vyrovnávání zatížení a brány application Gateway.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Po s firewallem webových aplikací aplikační brány s velkou provázaností, můžete před útoky DDoS Protection standardní zadejte úplné vrstvy 3 vrstvy 7 funkci omezení rizik.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS Protection standardní funkceDDoS Protection Standard features

Funkce před útoky DDoS

DDoS Protection standardní funkce patří:DDoS Protection Standard features include:

  • Integrace nativní platformy: nativně integrované do Azure.Native platform integration: Natively integrated into Azure. Zahrnuje konfiguraci prostřednictvím webu Azure portal.Includes configuration through the Azure portal. Standardní před útoky DDoS Protection rozumí vašim prostředkům a konfiguraci prostředků.DDoS Protection Standard understands your resources and resource configuration.
  • Ochrana na klíč: zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti jako standardní před útoky DDoS Protection je povolená.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Vyžaduje se žádná definice zásahů nebo uživatele.No intervention or user definition is required. Standardní před útoky DDoS Protection okamžitě a automaticky zmírní útok, jakmile se detekuje.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitorování vždy provozu: vzory provozu vaší aplikace jsou monitorovány 24 hodin denně, 7 dní v týdnu, hledá indikátory útoky DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Omezení rizik provádí při překročení zásady ochrany.Mitigation is performed when protection policies are exceeded.
  • Adaptivní ladění: provoz inteligentní profilace učí o provozu vaší aplikace v průběhu času a vybere a aktualizuje profil, který je nejvhodnější pro vaši službu.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Profil, který upravuje provoz mění v průběhu času.The profile adjusts as traffic changes over time.
  • Víceúrovňovou ochranu: poskytuje ochranu před útoky DDoS plnohodnotných, při použití s firewallem webových aplikací.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Škálování rozsáhlé omezení rizik: přes 60 útoku různé typy můžete minimalizovat, globální kapacitou pro ochranu před největší známé útoky DDoS.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Útokům analytics: získat podrobné sestavy v přírůstcích po 5 minutách během útoku a úplný přehled po skončení útoku.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Stream zmírnění protokolů toku pro offline bezpečnostní informace a události správu systému (SIEM) pro téměř v reálném čase monitorovat během útoku.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Útokům metriky: Summarized metriky z každého útoku jsou přístupné prostřednictvím služby Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Upozornění útoku: oznámení se dají konfigurovat na spouštění a zastavování útoků a na dobu trvání útok, pomocí integrované útoku metrik.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Upozornění integrovat do provozní softwaru, například Microsoft Azure Log Analytics, Splunk, Azure Storage, e-mailu a na webu Azure portal.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Se zárukou nákladů: přenosu dat a aplikací horizontální navýšení kapacity kredity pro dokument útoky DDoS.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

DDoS Protection standardní omezení rizikDDoS Protection Standard mitigation

DDoS Protection standardní monitoruje využití skutečný provoz a neustále porovná je s prahové hodnoty definované v zásadě před útoky DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Pokud je překročena mezní hodnota provoz, omezení rizik útoků DDoS automaticky inicializován.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Po návratu provoz pod prahovou hodnotou, odeberou se omezení rizik.When traffic returns below the threshold, the mitigation is removed.

Omezení rizik

Během omezení rizik přesměruje provoz odeslaný na chráněný prostředek službou DDoS protection a jsou prováděny několik kontrol, jako je například následující kontroly:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Ujistěte se pakety specifikacím internet a nejsou poškozené.Ensure packets conform to internet specifications and are not malformed.
  • Interakce s klientem nástroje k určení, zda je přenos potenciálně falešné paketů (např.: SYN Auth nebo soubor Cookie SYN nebo přetažením paketů pro zdroj k opětovnému přenosu je).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Omezení četnosti pakety, pokud žádnou jinou metodu vynucení lze provést.Rate-limit packets, if no other enforcement method can be performed.

Služba DDoS protection blokuje provoz útoku a předává zbývající provoz do jeho požadovaného cíle.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Během několika minut detekce útoku budete upozorněni, pomocí metrik Azure monitoru.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Konfigurace protokolování na DDoS Protection standardní telemetrická data, můžete zaznamenat protokoly na k dispozici možnosti pro pozdější analýzu.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Data metriky ve službě Azure Monitor pro standardní před útoky DDoS Protection se uchovávají po dobu 30 dnů.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft uzavřel partnerství s BreakingPoint Cloud k vytváření rozhraní ve kterém můžete vygenerovat provoz s podporou služba DDoS Protection veřejné IP adresy pro simulace.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. Simulace zarážku Cloud vám umožní:The BreakPoint Cloud simulation allows you to:

  • Ověření, jak Microsoft Azure DDoS Protection Standard chrání vaše prostředky Azure před útoky DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Optimalizace procesu reakce na incidenty v rámci útoky DDoSOptimize your incident response process while under DDoS attack
  • Dodržování předpisů dokument před útoky DDoSDocument DDoS compliance
  • Trénování vaše týmy zabezpečení sítěTrain your network security teams

Další postupNext steps