DDoS-Schutz unter Front Door

  • Artikel

Azure Front Door ist ein Content Delivery Network (CDN), das Ihnen dabei helfen kann, Ihre Ursprünge vor HTTP(S)-DDoS-Angriffen zu schützen, indem sie den Datenverkehr weltweit über seine 192 Edge-POPs verteilen. Diese POPs verwenden unser großes privates WAN, um Ihre Webanwendungen und Dienste schneller und sicherer für Ihre Endbenutzer bereitzustellen. Azure Front Door umfasst auch den DDoS-Schutz der Ebenen 3, 4 und 7 und eine Web Application Firewall (WAF), um Ihre Anwendungen vor allgemeinen Exploits und Sicherheitsrisiken zu schützen.

DDoS-Infrastrukturschutz

Azure Front Door profitiert von dem standardmäßigen DDoS-Schutz der Azure-Infrastruktur. Dieser Schutz überwacht und entschärft Angriffe auf Netzwerkebenen in Echtzeit mithilfe der globalen Skalierung und Kapazität des Front Door-Netzwerks. Dieser Schutz hat sich außerdem in der Praxis beim Schutz von Unternehmens- und Endkundendiensten von Microsoft vor großangelegten Angriffen bewährt.

Protokollblockierung

Azure Front Door unterstützt nur die HTTP- und HTTPS-Protokolle und erfordert einen gültigen „Host“-Header für jede Anforderung. Dieses Verhalten trägt dazu bei, einige gängige DDoS-Angriffstypen zu verhindern, darunter volumetrische Angriffe, die verschiedene Protokolle und Ports verwenden, DNS-Verstärkungsangriffe und TCP-Poisoningangriffe.

Kapazitätsabsorption

Azure Front Door ist ein hochgradig skalierter, global verteilter Dienst. Es dient vielen Kunden, einschließlich der eigenen Cloudprodukte von Microsoft’, die Hunderte von Tausenden von Anforderungen pro Sekunde verarbeiten. Front Door befindet sich am Rand des Azure-Netzwerks, wo sie großvolumige Angriff absorbiert und geografisch isoliert. Dadurch kann Front Door verhindern, dass schädlicher Datenverkehr über den Rand des Azure-Netzwerks hinausgeht.

Caching

Sie können die Zwischenspeicherungsfunktionen von Front Door verwenden, um Back-Ends vor durch einen Angriff generierten großen Datenverkehrsvolumen zu schützen. Front Door Edge-Knoten geben zwischengespeicherte Ressourcen zurück und vermeiden die Weiterleitung an Ihr Back-End. Sogar kurze Cacheablaufzeiten (Sekunden oder Minuten) bei dynamischen Antworten können die Auslastung Ihrer Back-End-Dienste erheblich verringern. Weitere Informationen zum Zwischenspeichern von Konzepten und Mustern finden Sie unter Caching und Cachefremdes Muster.

Web Application Firewall (WAF)

Sie können die Azure Web Application Firewall für Azure Front Door verwenden, um viele unterschiedliche Arten von Angriffen abzuschwächen:

  • Der verwaltete Regelsatz schützt Ihre Anwendung vor vielen gängigen Angriffen. Weitere Informationen finden Sie unter Verwaltete Regeln.
  • Sie können den Datenverkehr von außerhalb oder innerhalb einer bestimmten geografischen Region zu einer statischen Webseite blockieren oder umleiten. Weitere Informationen finden Sie unter Was ist die Geofilterung in einer Domäne für Azure Front Door Service?.
  • Sie können IP-Adressen und -Bereiche blockieren, die Sie als bösartig identifiziert haben. Weitere Informationen finden Sie unter IP-Einschränkungen.
  • Wenden Sie eine Ratenbegrenzung an, um zu verhindern, dass IP-Adressen Ihren Dienst zu häufig aufrufen. Weitere Informationen finden Sie unter Ratenbegrenzung.
  • Sie können benutzerdefinierte WAF-Regeln erstellen, um HTTP- oder HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden.
  • Der vom Botschutz verwaltete Regelsatz schützt Ihre Anwendung vor bekannten fehlerhaften Bots. Weitere Informationen finden Sie unter Konfigurieren des Botschutzes.

Eine Anleitung zur Verwendung von Azure WAF zum Schutz vor DDoS-Angriffen finden Sie unter DDoS-Schutz für Anwendungen .

Schützen von Ursprüngen des virtuellen Netzwerks

Um Ihre öffentlichen IPs vor DDoS-Angriffen zu schützen, aktivieren Sie Azure DDoS Protection im virtuellen Ursprungsnetzwerk. DDoS Protection-Kunden profitieren von zusätzlichen Vorteilen wie Kostenschutz, SLA-Garantie und Zugang zu Experten des DDoS Rapid Response-Teams für Soforthilfe im Angriffsfall.

Verbessern Sie die Sicherheit Ihrer von Azure gehosteten Ursprünge, indem Sie ihren Zugriff auf Azure Front Door über Azure Private Linkeinschränken. Dieses Feature ermöglicht eine private Netzwerkverbindung zwischen Azure Front Door und Ihren Anwendungsservern, ohne dass Ihre Ursprünge für das öffentliche Internet verfügbar gemacht werden müssen.

Nächste Schritte