Přehled služby Azure DDoS ochrany standardníAzure DDoS Protection Standard overview

Distribuované útoků DoS (Denial) jsou některé největší dostupnost a zabezpečení obavy směřující zákazníky, kteří jsou přesunutí svých aplikací do cloudu.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Útoku DDoS pokusí vyčerpat prostředky aplikace, provedení aplikace není k dispozici na oprávněné uživatele.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Útoky DDoS můžete cílit na všechny koncový bod, který je veřejně dostupný prostřednictvím Internetu.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure ochrana proti útoku DDoS v kombinaci s osvědčenými postupy návrhu aplikace ubrání proti útokům DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure ochrana proti útoku DDos poskytuje následující úrovně služeb:Azure DDos protection provides the following service tiers:

  • Základní: automaticky povolené v rámci platformy Azure bez dalších poplatků.Basic: Automatically enabled as part of the Azure platform, at no additional charge. Monitorování vždy v provozu a v reálném čase zmírnění běžné útoků na úrovni sítě, zadejte stejné obrany využívaných online službách společnosti Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Celého rozsahu globální sítě Azure slouží k distribuci a zmírnit útok provoz v oblastech.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Ochrana se poskytuje pro protokol IPv4 a IPv6 Azure veřejné IP adresy.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standardní: poskytuje možnosti Další zmírnění přes vrstvu základní služby, která jsou přizpůsobená speciálně pro prostředky Azure Virtual Network.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS ochrany standardní je jednoduchá, aby a nevyžaduje žádné změny aplikace.DDoS Protection Standard is simple to enable, and requires no application changes. Zásady ochrany jsou přizpůsobená prostřednictvím monitorování vyhrazené provozu a algoritmů strojového učení.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Zásady se použijí pro veřejné IP adresy přidružené k nasazené ve virtuálních sítích, jako je například nástroj pro vyrovnávání zatížení Azure, Azure Application Gateway a Azure Service Fabric instancí prostředky.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Při útoku a historie je k dispozici prostřednictvím zobrazení monitorování Azure v reálném čase telemetrie.Real-time telemetry is available through Azure Monitor views during an attack, and for history. Ochrana vrstvy aplikace mohou být přidány prostřednictvím brány Firewall webových aplikací Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway Web Application Firewall. Ochrana se poskytuje pro IPv4 Azure veřejné IP adresy.Protection is provided for IPv4 Azure public IP addresses.

Standardní ochrany Azure DDoS

Typy útoků DDoS, které DDoS ochrany standardní snižujeTypes of DDoS attacks that DDoS Protection Standard mitigates

DDoS ochrany standardní zmírnit tyto typy útoků:DDoS Protection Standard can mitigate the following types of attacks:

  • Odměrné útoky: cílem útok je k vyplnění síťovou vrstvou s vyžadovat značné množství zdánlivě legitimní provoz.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Obsahuje záplavy, záplavy zesílení a dalších záplavy maskování paketu UDP.It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS ochrany standardní snižuje tyto možných útoků, které více gigabajt přijmout a čištění, škálování globální sítě Azure, automaticky.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Protokol útoky: tyto útoky vykreslení cíl nepřístupné, zneužitím slabé místo v zásobníku protokolu vrstvy 4 a vrstvy 3.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Obsahuje, útokům zahlcení SYN, reflexe útokům a jiným útokům protokolu.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS ochrany standardní snižuje tyto útoky rozlišování škodlivý a legitimní provozu v interakci s klientem, a blokovat škodlivý přenos.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Útoky na prostředku (aplikace): tyto útoky cílové webové aplikace paketů narušit přenosu dat mezi hostiteli.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Útoků zahrnují HTTP porušení protokolu, SQL vkládání, skriptování mezi servery a jiným útokům vrstvy 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Použití Azure brány firewall webových aplikací Application Gateway, s DDoS ochrany Standard zajistit ochranu proti těmto útokům.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Existují také nabídky brány firewall třetích stran webové aplikace k dispozici v Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

DDoS ochrany standardní chrání prostředky ve virtuální síti, včetně veřejné IP adresy přidružené virtuální počítače, nástroje pro vyrovnávání zatížení a aplikačních bran.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Při kombinaci s brány firewall webových aplikací Application Gateway, může DDoS ochrany standardní poskytnout úplné vrstvy 3 pro vrstvy 7 zmírnění schopnosti.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS ochrany standardní funkceDDoS Protection Standard features

Funkce DDoS

DDoS ochrany standardní funkce patří:DDoS Protection Standard features include:

  • Integrace nativní platformy: nativně integrována do Azure.Native platform integration: Natively integrated into Azure. Zahrnuje konfiguraci prostřednictvím portálu Azure.Includes configuration through the Azure portal. DDoS ochrany standardní rozumí vašich prostředků a konfigurace prostředků.DDoS Protection Standard understands your resources and resource configuration.
  • Klíč ochrany: zjednodušená konfigurace okamžitě chrání všechny prostředky ve virtuální síti, jakmile je povoleno DDoS ochrany standardní.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Je vyžadována definice bez zásahu nebo uživatele.No intervention or user definition is required. DDoS ochrany standardní okamžitě a automaticky snižuje útoku, jakmile bude zjištěno.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitorování vždy v provozu: vzory přenosů dat vaší aplikace jsou monitorovány 24 hodin denně, 7 dní v týdnu, hledá indikátory útoků DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Zmírnění dopadů se provádí při překročení zásady ochrany.Mitigation is performed when protection policies are exceeded.
  • Adaptivní ladění: inteligentního provoz profilace zjišťuje provoz vaší aplikace v průběhu času a vybere a aktualizuje profil, který je nejvhodnější pro vaši službu.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Profil upraví jako provoz v průběhu času mění.The profile adjusts as traffic changes over time.
  • Úrovně 3 na ochrana vrstvy 7: poskytuje úplné zásobníku ochrana proti útoku DDoS, pokud se používá s brány firewall webových aplikací.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Zmírnění dopadů rozsáhlé škálování: přes 60 útoku různé typy lze zmírnit, s globální kapacity pro ochranu proti největší známé útoky DDoS.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Útokům metriky: Summarized metriky z každé útoku jsou přístupné prostřednictvím Azure monitorování.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Útok výstrahy: výstrah lze nakonfigurovat na spuštění a ukončení útoku a na dobu trvání útok, pomocí předdefinovaných útoku metriky.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Výstrahy integrovat do vaší provozní softwaru, třeba Microsoft Azure Log Analytics, Splunk, Azure Storage, e-mailu a portálu Azure.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Cenově záruku: přenosu dat a aplikací Škálováním na více systémů kompenzace zdokumentovaných útoku DDoS.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Zmírnění dopadů DDoS ochrany standardníDDoS Protection Standard mitigation

DDoS ochrany standardní monitoruje provoz skutečné využití a porovná je neustále s definované v zásadách DDoS prahové hodnoty.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Když je prahová hodnota provoz, je DDoS zmírnění iniciován automaticky.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Pokud provoz vrátí pod prahovou hodnotou, odebere se zmírnění dopadů.When traffic returns below the threshold, the mitigation is removed.

Omezení rizik

Během zmírnění dopadů data odesílaná do chráněného prostředku přesměrována ochrany službou DDoS a několik ověřování, jako je například následující kontroly:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Zkontrolujte pakety specifikacím internet a nejsou poškozené.Ensure packets conform to internet specifications and are not malformed.
  • Komunikovat s klientem nástroje k určení, pokud provoz je potenciálně falešný paket (např: SYN Auth nebo soubor Cookie SYN nebo vyřazení paket pro zdrojů a přenést ho znovu).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limit rychlosti paketů, pokud žádnou jinou metodu vynucení lze provést.Rate-limit packets, if no other enforcement method can be performed.

Ochrana proti útoku DDoS blokuje přenos útoku a předá zbývající provoz do zamýšlené cíle.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Během několika minut detekce útoku budete upozorněni, používání Azure monitorování metriky.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Konfigurace protokolování na DDoS ochrany standardní telemetrie, můžete napsat protokoly dostupné možnosti pro budoucí analýzu.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Metriky dat v Azure monitorování pro DDoS ochrany Standard se uchovávají po dobu 30 dnů.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Má spolupráci se společností Microsoft BreakingPoint cloudu k sestavení rozhraní, kde můžete vytvářet přenosy dat s povoleným ochrana proti útoku DDoS veřejné IP adresy pro simulace.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. Simulace zarážek cloudu umožňuje:The BreakPoint Cloud simulation allows you to:

  • Ověření, jak Microsoft Azure DDoS ochrany standardní chrání vaše prostředky Azure před útoky DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Optimalizace váš proces reakcí na incidenty v rámci útoku DDoSOptimize your incident response process while under DDoS attack
  • Dodržování předpisů DDoS dokumentuDocument DDoS compliance
  • Cvičení týmům zabezpečení sítěTrain your network security teams

Další postupNext steps