Verwenden von Azure DDoS Protection
Hier vergleichen wir die Dienste DDoS Infrastructure Protection und DDoS Protection, um einen besseren Überblick über die Vorteile eines Upgrades zu erhalten. In dieser Lerneinheit erfahren Sie mehr über die wichtigsten Unterschiede zwischen den DDoS Protection-SKUs und darüber, wie Sie Resilienz gegen DDoS-Angriffe in Ihren Anwendungen erreichen. Anhand dieser Informationen können Sie entscheiden, welche SKU für Contoso geeignet ist.
Erstellen von gegen DDoS-Angriffe resistenten Diensten in Azure
Azure DDoS Infrastructure Protection schützt jeden bereitgestellten Dienst in Azure automatisch ohne zusätzliche Kosten und erfordert auch keine Änderungen an der Konfiguration von Anwendungen oder Benutzer*innen.
Vor der Entscheidung, ein Upgrade von Azure DDoS Infrastructure Protection auf Azure DDoS Protection auszuführen, ist es wichtig, eine Risikoanalyse für DDoS-Angriffe auf Ihre wichtigsten Azure-Ressourcen durchzuführen. Auch mit den verfügbaren integrierten DDoS-Diensten sollten Sie sich nicht nur auf Schutz nach der Bereitstellung verlassen. Es ist wichtig, eine Anwendung zu entwickeln, die robust und getestet ist, um einem Denial-of-Service-Angriff standzuhalten oder schnell wiederhergestellt werden zu können.
Azure-Framework für Arbeitsauslastungsresilienz
Das Azure-Team hat ein Framework zum Entwerfen Ihrer Arbeitsauslastung für Resilienz veröffentlicht. Dieses Framework ist eine Sammlung von Prinzipien, die Sie befolgen können, um die Qualität einer Arbeitsauslastung zu verbessern.
Beim Erstellen oder Bereitstellen der Arbeitsauslastung ist es wichtig, im Entwurf Folgendes zu berücksichtigen:
- Sicherheit. Identifizieren und dokumentieren Sie die Sicherheitsanforderungen frühzeitig im Entwicklungslebenszyklus. Durch diese Methode wird sichergestellt, dass Sicherheit während des gesamten Lebenszyklus einer Anwendung Priorität besitzt. Schlecht konzipierte Anwendungen können ineffiziente Routinen aufweisen, die übermäßig viele Ressourcen verbrauchen, was selbst bei einer geringen Anforderungsrate zu einem Dienstausfall führen kann.
- Skalierbarkeit. Azure bietet horizontale automatische Skalierung einer Anwendung, aber Sie müssen die Anwendung so entwerfen, dass sie diese Anforderung bei einem DDoS-Angriff erfüllt. Wenn die Anwendung von einer einzelnen Bereitstellung eines Diensts abhängt, führt dies zu einem Single Point of Failure. Durch Bereitstellen mehrerer Instanzen wird Ihr System stabiler und besser skalierbar.
- Tiefgehende Verteidigung. Tiefgehende Verteidigung ist eine gut akzeptierte Strategie, bei der mehrere Sicherheitsmaßnahmen zum Schutz der Ressourcen eines Unternehmens verwendet werden. Sie können die Wahrscheinlichkeit eines erfolgreichen Angriffs durch Schichtung und sogar Duplizieren von Sicherheitsmaßnahmen für Azure-Dienste verringern. Außerdem können Sie die Sicherheit und Stabilität Ihres Entwurfs verbessern, indem Sie die Funktionen der integrierten Azure-Plattform kennen und verstehen. Ein weiterer Vorteil der Verwendung von Azure-Diensten ist eine Verringerung der Angriffsfläche Ihrer Anwendung. Bei tiefgehender Verteidigung werden alle Sicherheitsmaßnahmen der Organisation integriert, um alle Probleme im Zusammenhang mit dem Schützen einer Anwendung zu berücksichtigen.
Diese Maßnahmen können Ihnen helfen, die Sicherheit zu erhöhen und gesetzliche Anforderungen zu erfüllen. Nachdem Sie sich mit den Überlegungen zur Erstellung von gegen DDoS-Angriffe resistenten Anwendungen befasst haben, müssen Sie nun ermitteln, welche Funktionen von Azure DDoS Protection Sie benötigen. In der folgenden Tabelle werden die wichtigsten Features von DDoS Protection und DDoS Infrastructure Protection verglichen.
| Funktion | DDoS Infrastructure Protection | DDoS-Netzwerkschutz | DDoS-IP-Schutz |
|---|---|---|---|
| Aktive Überwachung des Datenverkehrs und Always On-Erkennung | Ja | Ja | Ja |
| Automatische Angriffsentschärfung | Ja | Ja | Ja |
| Verfügbarkeitsgarantie | Nein | Ja | Ja |
| Kostenschutz | Nein | Ja | Nein |
| Auf die Kundenanwendung abgestimmte Entschärfungsrichtlinien | Nein | Ja | Ja |
| Metriken und Warnungen | Nein | Ja | Ja |
| Berichte zur Entschärfung | Nein | Ja | Ja |
| Protokolle des Risikominderungsflusses | Nein | Ja | Ja |
| Unterstützung von DDoS Rapid Response | Nein | Ja | Nein |
Weitere DDoS Protection-Features
Bei DDoS Protection verbleibt der Datenverkehr immer innerhalb der Azure-Region. Wenn Sie den Datenverkehr auf die lokale Region beschränken, hilft dies auch bezüglich der Leistung, da DDoS Protection die Angriffsabwehr in einer Azure-Region durchführt. Azure DDoS Protection verringert den Angriffsdatenverkehr in der größten Nähe der Anwendung. Wenn Microsoft jedoch feststellt, dass das Angriffsvolumen signifikant ist, dann wird Microsoft die globale Reichweite des Azure-Netzwerks nutzen, um den Angriff dort abzuwehren, wo er seinen Ursprung hat.
Microsoft verwendet diese tiefgehende Verteidigungsstrategie zum Schutz Ihrer Back-End-Dienste und Ihrer Azure-Dienste wie Azure Front Door und Azure Application Gateway.
DDoS Protection bietet mehr Features als DDoS Infrastructure Protection. Wenn Sie feststellen, dass bestimmte Anwendungen kritisch sind, zum Beispiel eine umsatzstarke E-Commerce-Website mit hohem Datenverkehr, dann ist DDoS Protection die empfohlene Wahl.
Sie sind zu dem Schluss gekommen, dass die DDoS IP Protection-SKU perfekt für Ihre kleine Organisation ist, da es sich um einen Pay-per-IP-Dienst handelt. Sie wissen, dass Sie zur DDoS Network Protection-SKU wechseln können, um vom Schutz virtueller Netzwerke, der DDoS Rapid Response-Unterstützung und einer Kostengarantie zu profitieren, sobald Contoso seine Dienste erweitert.