Übersicht über Azure DDoS Protection StandardAzure DDoS Protection Standard overview

DDoS-Angriffe (Distributed Denial of Service) stellen eines der größten Verfügbarkeits- und Sicherheitsprobleme für Kunden dar, die ihre Anwendungen in die Cloud verschieben.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Ein DDoS-Angriff hat das Ziel, die Ressourcen einer Anwendung zu verbrauchen, damit sie für berechtigte Benutzer nicht mehr verfügbar ist.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure DDoS Protection in Kombination mit bewährten Anwendungsentwurfsmethoden stellt den bestmöglichen Schutz gegen DDoS-Angriffe dar.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS Protection bietet die folgenden Dienstebenen:Azure DDoS protection provides the following service tiers:

  • Basic: Wird automatisch als Teil der Azure-Plattform ohne Aufpreis aktiviert.Basic: Automatically enabled as part of the Azure platform, at no additional charge. Die stets verfügbare Überwachung des Datenverkehrs und die Abwehr von häufig vorkommenden Angriffen auf Netzwerkebene in Echtzeit bieten die gleichen Schutzmaßnahmen wie die Onlinedienste von Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Das gesamte weltweite Netzwerk von Azure steht für die Verteilung und Abwehr des regionsübergreifenden Angriffsdatenverkehrs zur Verfügung.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Schutz wird für öffentliche Azure-IP-Adressen mit IPv4 und IPv6 bereitgestellt.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard: Stellt zusätzliche Funktionen zur Angriffsabwehr über die Basic-Dienstebene bereit, die speziell für virtuelle Azure-Netzwerkressourcen optimiert sind.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard kann leicht aktiviert werden und erfordert keine Änderung der Anwendung.DDoS Protection Standard is simple to enable, and requires no application changes. Schutzrichtlinien werden über dedizierte Datenverkehrsüberwachung und Machine Learning-Algorithmen optimiert.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Richtlinien werden auf öffentliche IP-Adressen angewendet, die in virtuellen Netzwerken bereitgestellten Ressourcen wie Azure Load Balancer, Azure Application Gateway und Azure Service Fabric-Instanzen zugeordnet sind.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Über Azure Monitor-Ansichten steht Echtzeittelemetrie während eines Angriffs und für den Verlauf zur Verfügung.Real-time telemetry is available through Azure Monitor views during an attack, and for history. Mit der Web Application Firewall für Azure Application Gateway können Sie Schutz auf der Anwendungsebene hinzufügen.Application layer protection can be added through the Azure Application Gateway Web Application Firewall. Schutz wird für öffentliche Azure-IP-Adressen mit IPv4 bereitgestellt.Protection is provided for IPv4 Azure public IP addresses.

Azure DDoS Protection Standard

DDoS-Angriffstypen, die mit DDoS Protection Standard abgewehrt werdenTypes of DDoS attacks that DDoS Protection Standard mitigates

Die folgenden Arten von Angriffen können mit DDoS Protection Standard abgewehrt werden:DDoS Protection Standard can mitigate the following types of attacks:

  • Volumetrische Angriffe: Ziel des Angriffs ist die Überflutung der Netzwerkebene mit einer beträchtlichen Menge scheinbar berechtigten Datenverkehrs.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Dazu zählen UDP-Überflutungen, Verstärkungsüberflutungen und andere Überflutungen mit gefälschten Paketen.It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS Protection Standard wehrt diese bis zu mehreren Gigabytes großen Angriffe ab, indem sie mithilfe des weltweiten Netzwerks von Azure automatisch absorbiert und bereinigt werden.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Protokollangriffe: Diese Angriffe machen den Zugriff auf ein Ziel unmöglich, indem sie eine Schwachstelle in den Schichten 3 und 4 des Protokollstapels ausnutzen.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Dazu gehören SYN-Flutangriffe, Reflektionsangriffe und andere Protokollangriffe.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS Protection Standard wehrt diese Angriffe ab und unterscheidet dabei zwischen schädlichem und berechtigtem Datenverkehr. Nach Interaktion mit dem Client wird der schädliche Datenverkehr gesperrt.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Angriffe auf Ressourcenebene (Anwendungsebene): Das Ziel dieser Art von Angriffen sind Webanwendungspakete, um die Datenübertragung zwischen Hosts zu unterbrechen.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Zu diesen Angriffen zählen Verletzungen des HTTP-Protokolls, die Einschleusung von SQL-Befehlen, XSS-Angriffe (Cross-Site Scripting) und andere Angriffe auf Schicht 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Verwenden Sie die Web Application Firewall von Azure Application Gateway in Kombination mit DDoS Protection Standard zum Schutz vor diesen Angriffen.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Im Azure Marketplace finden Sie auch Webanwendungsfirewall-Angebote von Drittanbietern.There are also third-party web application firewall offerings available in the Azure Marketplace.

Mit DDoS Protection Standard werden Ressourcen in einem virtuellen Netzwerk geschützt, einschließlich öffentlicher IP-Adressen, die virtuellen Computern zugeordnet sind, interner Lastenausgleichsmodule und Anwendungsgateways.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. In Kombination mit der Web Application Firewall von Application Gateway stellt DDoS Protection Standard eine vollständige Abwehrfunktion für Ebene 3 bis Ebene 7 bereit.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Funktionen von DDoS Protection StandardDDoS Protection Standard features

DDoS-Funktionen

Die Funktionen von DDoS Protection Standard umfassen:DDoS Protection Standard features include:

  • Native Plattformintegration: nativ in Azure integriert.Native platform integration: Natively integrated into Azure. Umfasst die Konfiguration über das Azure-Portal.Includes configuration through the Azure portal. DDoS Protection Standard erkennt Ihre Ressourcen und die Ressourcenkonfiguration.DDoS Protection Standard understands your resources and resource configuration.
  • Sofort einsetzbarer Schutz: Dank vereinfachter Konfiguration sind alle Ressourcen in einem virtuellen Netzwerk sofort geschützt, sobald DDoS Protection Standard aktiviert wird.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Es sind weder Benutzereingriffe noch Benutzerdefinitionen erforderlich.No intervention or user definition is required. DDoS Protection Standard wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Stets verfügbare Überwachung des Datenverkehrs: Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche nach Anzeichen für DDoS-Angriffe überwacht.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Abwehrmaßnahmen werden bei Überschreitung der Schutzrichtlinien ausgeführt.Mitigation is performed when protection policies are exceeded.
  • Adaptive Optimierung: Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an.The profile adjusts as traffic changes over time.
  • Schutz für Schicht 3 bis Schicht 7: Bietet vollständigen DDoS-Stapelschutz bei Verwendung mit einer Webanwendungsfirewall.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Umfangreiche Angriffsabwehr: Über 60 verschiedene Angriffstypen können mit einer weltweiten Kapazität zum Schutz vor den größten bekannten DDoS-Angriffen abgewehrt werden.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Angriffsmetriken: Mit Azure Monitor kann auf eine Zusammenfassung der Metriken für jeden Angriff zugegriffen werden.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Angriffswarnungen: Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Warnungen werden in Ihre Betriebssoftware (etwa Microsoft Azure Log Analytics, Splunk, Azure Storage, E-Mail) und das Azure-Portal integriert.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Kostengarantie: Dienstguthaben für Datenübertragung und horizontale Anwendungsskalierung bei dokumentierten DDoS-Angriffen.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Abwehrfunktion von DDoS Protection StandardDDoS Protection Standard mitigation

DDoS Protection Standard überwacht die tatsächliche Auslastung des Datenverkehrs und vergleicht sie ständig mit den Schwellenwerten der DDoS-Richtlinie.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Bei Überschreitung des Schwellenwerts für den Datenverkehr wird die DDoS-Abwehr automatisch eingeleitet.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Sinkt der Datenverkehr wieder unter den Schwellenwert, wird die Abwehr beendet.When traffic returns below the threshold, the mitigation is removed.

Lösung

Während des Abwehrvorgangs wird der an die geschützte Ressource gesendete Datenverkehr von DDoS Protection umgeleitet und mehrfach überprüft, wie etwa folgendermaßen:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Sicherstellen, dass Pakete den Internetspezifikationen entsprechen und nicht falsch formatiert sind.Ensure packets conform to internet specifications and are not malformed.
  • Interaktion mit dem Client, um zu ermitteln, ob es sich bei dem Datenverkehr möglicherweise um ein gefälschtes Paket handelt (z. B. SYN-Authentifizierung, SYN-Cookie oder Löschen eines Pakets, damit die Quelle es erneut übermitteln muss).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Übertragungsratenlimits für Pakete, wenn keine andere Erzwingungsmethode ausgeführt werden kann.Rate-limit packets, if no other enforcement method can be performed.

DDoS Protection sperrt Angriffsdatenverkehr und leitet den verbleibenden Datenverkehr an das vorgesehene Ziel weiter.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Innerhalb weniger Minuten nach Angriffserkennung werden Sie mithilfe der Metriken von Azure Monitor benachrichtigt.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Durch Konfigurieren der Protokollierung der DDoS Protection-Telemetrie können Sie für eine zukünftige Analyse die Protokolle in die verfügbaren Optionen schreiben.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Metrische Daten werden in Azure Monitor für DDoS Protection Standard 30 Tage lang beibehalten.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft hat mit BreakingPoint Cloud eine Partnerschaft zum Erstellen einer Schnittstelle gebildet, durch die Sie für Simulationen Datenverkehr für mit DDoS Protection geschützte öffentliche Endpunkte generieren können.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. Die BreakPoint Cloud-Simulation erlaubt Ihnen Folgendes:The BreakPoint Cloud simulation allows you to:

  • Überprüfen, wie Microsoft Azure DDoS Protection Standard Ihre Azure-Ressourcen vor DDoS-Angriffen schütztValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Optimieren Ihres Prozesses der Reaktion auf Incidents während DDoS-AngriffenOptimize your incident response process while under DDoS attack
  • Dokumentieren der DDoS-KompatibilitätDocument DDoS compliance
  • Schulen Ihrer NetzwerksicherheitsteamsTrain your network security teams

Nächste SchritteNext steps