Vue d’ensemble du service Protection DDos Standard AzureAzure DDoS Protection Standard overview

Les attaques par déni de service distribué (DDoS) représentent certains des problèmes de disponibilité et de sécurité majeurs auxquels sont confrontés les clients qui déplacent leurs applications vers le cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Une attaque DDoS tente d’épuiser les ressources d’une application afin de la rendre indisponible aux utilisateurs légitimes.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Les attaques DDoS peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Combiné aux bonnes pratiques de conception d’application, le service de protection DDoS Azure assure une excellente protection contre les attaques DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS Protection fournit les niveaux de service suivants :Azure DDoS protection provides the following service tiers:

  • De base : Automatiquement activé dans le cadre de la plateforme Azure.Basic: Automatically enabled as part of the Azure platform. La surveillance permanente du trafic et l’atténuation en temps réel des attaques courantes au niveau du réseau fournissent les mêmes défenses que celles utilisées par les services en ligne de Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. La distribution et l’atténuation du trafic d’attaque peuvent être réalisées entre différentes régions à l’échelle du réseau global d’Azure. The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. La protection est assurée pour lesadresses IP publiques IPv4 et IPv6 Azure. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard : Fournit des fonctionnalités d’atténuation supplémentaires sur le niveau de service de base destinées spécifiquement aux ressources du réseau virtuel Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Le service DDoS Protection Standard est facile à activer et ne nécessite aucune modification de l’application.DDoS Protection Standard is simple to enable, and requires no application changes. Les stratégies de protection sont paramétrées par le biais d’algorithmes de surveillance du trafic et d’apprentissage automatique dédiés.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Elles sont appliquées aux adresses IP publiques associées aux ressources déployées sur des réseaux virtuels, telles que les instances Azure Service Fabric, Azure Load Balancer et Azure Application Gateway, mais cette protection ne s’applique pas aux environnements App Service.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments. Les données de télémétrie en temps réel sont disponibles par le biais d’affichages Azure Monitor pendant une attaque et à des fins d’historique. Real-time telemetry is available through Azure Monitor views during an attack, and for history. Des analyses avancées de la prévention des attaques sont disponibles par le biais de paramètres de diagnostic.Rich attack mitigation analytics are available via diagnostic settings. Vous pouvez ajouter une protection de la couche Application par le biais du pare-feu d’applications web Azure Application Gateway ou en installant un pare-feu tiers à partir de la Place de marché Azure.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. La protection est assurée pour lesadresses IP publiques IPv4 et IPv6 Azure.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

Comparaison d’Azure DDoS Protection de base et standard

Types d’attaques DDoS atténuées par le service Protection DDos StandardTypes of DDoS attacks that DDoS Protection Standard mitigates

Le service Protection DDoS Standard peut atténuer les types d’attaques suivants :DDoS Protection Standard can mitigate the following types of attacks:

  • Attaques volumétriques: Objectif de l’attaque consiste à submerger la couche réseau avec une quantité substantielle de trafic apparemment légitime.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Cette attaque inclut les saturations UDP, les saturations par amplification et autres saturations par falsification de paquets.It includes UDP floods, amplification floods, and other spoofed-packet floods. Le service Protection DDoS Standard atténue ces attaques potentielles de plusieurs gigaoctets en les absorbant et en les purgeant, grâce à l’échelle du réseau global d’Azure, automatiquement.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Attaques de protocole: Ces attaques rendent une cible inaccessible, en exploitant une faille dans la couche 3 et la pile de protocole 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Elles incluent les attaques par saturation SYN, les attaques par réflexion et autres attaques de protocole.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. Le service Protection DDoS Standard atténue ces attaques en faisant la distinction entre le trafic légitime et le trafic malveillant, qu’il bloque par l’intermédiaire du client.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Attaques de la couche ressource (application): Ces attaques ciblent les paquets d’application web pour interrompre la transmission des données entre des hôtes.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Les attaques incluent les violations de protocole HTTP, l’injection SQL, les scripts de site à site et autres attaques de la couche 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Associer le pare-feu d’applications web Application Gateway au service Protection DDos Standard offre une défense contre ces attaques.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Il existe également des offres de pare-feu d’application web tiers sur la Place de marché Microsoft Azure.There are also third-party web application firewall offerings available in the Azure Marketplace.

Le service Protection DDos Standard protège les ressources d’un réseau virtuel, y compris les adresses IP publiques associées aux machines virtuelles, les équilibreurs de charge internes et les passerelles d’application.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Associé à Application Gateway WAF, le service Protection DDos Standard peut fournir une fonctionnalité d’atténuation complète pour les couches 3 à 7.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Fonctionnalités du service Protection DDos StandardDDoS Protection Standard features

Fonctionnalités de DDoS

Les fonctionnalités du service Protection DDos Standard sont les suivantes :DDoS Protection Standard features include:

  • Intégration de la plateforme native : Intégré en natif dans Azure.Native platform integration: Natively integrated into Azure. Inclut la configuration par le biais du portail Azure.Includes configuration through the Azure portal. Le service Protection DDos Standard comprend vos ressources et leur configuration.DDoS Protection Standard understands your resources and resource configuration.
  • Protection clés en main : La configuration simplifiée protège immédiatement toutes les ressources situées sur un réseau virtuel dès que DDoS Protection Standard est activé.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Aucune définition ou intervention de l’utilisateur n’est nécessaire.No intervention or user definition is required. Le service Protection DDoS Standard atténue de façon instantanée et automatique l’attaque une fois que celle-ci est détectée.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Surveillance permanente du trafic : Vos modèles de trafic d’application sont surveillés 24h/24 et 7j/7, à la recherche d’indicateurs d’attaques DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. L’atténuation est effectuée en cas de dépassement des stratégies de protection.Mitigation is performed when protection policies are exceeded.
  • Optimisation adaptative : Profilage intelligent du trafic apprend le trafic de votre application au fil du temps et sélectionne et met à jour le profil est le plus approprié pour votre service.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Le profil s’ajuste en fonction des modifications du trafic au fil du temps.The profile adjusts as traffic changes over time.
  • Une protection multicouche : Offre une protection DDoS de pile complète, quand elle est utilisée avec un pare-feu d’application web.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Échelle de prévention étendue : Plus de 60 types d’attaques différents peuvent être contrées, avec une protection globale contre les attaques DDoS les plus connues.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Attaque analytique : Recevez des rapports détaillés toutes les cinq minutes pendant une attaque, et un résumé complet une fois l’attaque terminée.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Transmettez en continu les journaux de flux de prévention des attaques à un système hors ligne de gestion des informations et des événements de sécurité (SIEM) pour une supervision en temps quasi-réel pendant une attaque.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Métriques des attaques : Des métriques récapitulatives de chaque attaque sont accessibles via Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alerte d’attaque : Les alertes peuvent être configurées au démarrage et arrêt d’une attaque et pendant sa durée, à l’aide de métriques d’attaque intégrées.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Les alertes s’intègrent à vos logiciels opérationnels tels que les journaux Microsoft Azure Monitor, Splunk, stockage Azure, E-mail et le portail Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Maîtrise des coûts : Si vous documentez les attaques DDoS, vous bénéficiez en retour de crédits pour les services de scale-out d’application et de transfert de données.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigation avec le service Protection DDos StandardDDoS Protection Standard mitigation

Le service Protection DDoS Standard surveille l’utilisation du trafic réelle et la compare en permanence aux seuils définis dans la stratégie DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Si le seuil de trafic est dépassé, l’atténuation DDoS est lancée automatiquement.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Quand le trafic repasse sous le seuil, l’atténuation est supprimée.When traffic returns below the threshold, the mitigation is removed.

Atténuation

Pendant l’atténuation, le trafic envoyé vers la ressource protégée est redirigé par le service de protection DDoS et plusieurs vérifications sont effectuées, telles que les suivantes :During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Vérifier que les paquets sont conformes aux spécifications de l’Internet et qu’ils ne sont pas mal formés.Ensure packets conform to internet specifications and are not malformed.
  • Interagir avec le client pour déterminer si le trafic est potentiellement un paquet falsifié (par exemple : SYN Auth ou SYN Cookie ou en supprimant un paquet pour la source de retransmette).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limiter le débit des paquets si aucune autre méthode de mise en œuvre ne peut être effectuée.Rate-limit packets, if no other enforcement method can be performed.

Le service de protection DDoS bloque le trafic d’attaque et transfère le trafic restant vers la destination prévue.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Dans les quelques minutes qui suivent la détection d’une attaque, vous êtes informé grâce aux métriques Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Vous pouvez configurer la journalisation des données de télémétrie du service Protection DDos Standard de manière à écrire les journaux d’activité des options disponibles en vue d’une analyse future.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Les données des métriques dans Azure Monitor pour le service Protection DDoS Standard sont conservées pendant 30 jours.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft travaille en collaboration avec BreakingPoint Cloud pour créer une interface à l’aide de laquelle vous pouvez générer du trafic sur les adresses IP publiques dotées de DDoS Protection à des fins de simulation.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. La simulation BreakPoint Cloud vous permet d’effectuer les tâches suivantes :The BreakPoint Cloud simulation allows you to:

  • Valider la façon dont Microsoft Azure DDoS Protection Standard protège vos ressources Azure contre les attaques DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Optimiser votre processus de réponse aux incidents en cas d’attaque DDoSOptimize your incident response process while under DDoS attack
  • Documenter la conformité DDoSDocument DDoS compliance
  • Former des équipes de sécurité réseauTrain your network security teams

Étapes suivantesNext steps