Mi az az Azure DDoS Protection?

  • 12 perc

A Microsoft ingyenesen kínál DDoS-infrastruktúra-védelmet minden Azure-ügyfélnek. A Microsoft további szolgáltatásokat is kínál a DDoS Protection szolgáltatásban.

Azure DDoS Infrastructure Protection vagy Azure DDoS Protection

Vizsgálja, hogy a Contoso milyen előnyökkel jár az Azure DDoS Protectionre való frissítéshez az Azure-ban futó szolgáltatások esetében. A DDoS biztonsági szakértőinek konszenzusában a frissítési lehetőség értékelésének motivációja a DDoS-támadások növekvő gyakorisága és kifinomultsága.

A támadási forgalomnak nem kell másodpercenkénti terabites tartományban lennie egy alkalmazás levételéhez. Bármely konkrét célzott támadás befolyásolhatja az Azure-ban futó alkalmazások rendelkezésre állását, amelyek a nyilvános internetről fogadják a forgalmat.

Mi az a DDoS-támadás?

DDoS-támadás esetén az elkövető szándékosan elárasztja a rendszert, például egy kiszolgálót, webhelyet vagy más hálózati erőforrást hamis forgalommal. A számítógépek összehangolt parancs- és vezérlési hálózaton, úgynevezett botneten csatlakoznak. Egy rosszindulatú harmadik fél vezérli a robotnetet a DDoS-támadás elindításához. A tevékenység szolgáltatásmegtagadást vált ki a jogos felhasználók számára a szolgáltatás képességeinek túlterhelésével. A DDoS-támadásokat bármely olyan végponton meg lehet célozni, amely nyilvánosan elérhető az interneten keresztül.

Az alábbi képen egy tipikus DDoS-támadás látható egy botnetről.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Néhány gyakori DDoS-támadás:

  • Mennyiségi támadások. Ezek a támadások több fertőzött rendszer használatával árasztják el a hálózati réteget, jelentős mennyiségű látszólag jogszerű forgalommal. A több feltört rendszer általában egy bűnözői botnet része. A kötetes DDoS-támadások típusai a következők:

    • UDP-árvizek. A támadó UDP-csomagokat , általában nagy csomagokat küld egyetlen célhelyre vagy véletlenszerű portokra. A támadó rendszerek könnyen meghamazhatják az IP-címüket, mivel az UDP kapcsolat nélküli.
    • Erősítési árvizek. A DNS-kiszolgáló túlterhelt a látszólag jogos szolgáltatáskérésekkel. A támadó célja a DNS-szolgáltatás telítetté helyezése a sávszélesség-kapacitás kimerülésével.
    • Egyéb hamis csomagárvizek. Nagy mennyiségű hamis forgalom küldése egy erőforrásnak.

  • Protokolltámadások. Ezek a támadások az OSI-modell 3. vagy 4. rétegét célják. Kihasználják a TCP gyengeségét. A protokollalapú DDoS-támadásra példa a TCP SYN-árvíz, amely kihasználja a háromirányú kézfogás egy részét. A támadó a SYN+ACK válasz figyelmen kívül hagyásával egymás után küldi el a TCP SYN-kéréseket. Ez a támadás egy cél felé irányul, azzal a céllal, hogy túlterhelje a célpontot, és ne válaszoljon.

  • Erőforrásréteget (alkalmazásréteget) célzó támadások. Az erőforrás-támadások az OSI-modell "legfelső" rétegére irányulnak, hogy megzavarják az adatok gazdagépek közötti átvitelét. Ezek a 7. rétegbeli támadások közé tartozik a HTTP protokoll, az SQL-injektálási támadások, a helyek közötti szkriptelés és más alkalmazástámadások kihasználása.

Azure DDoS Protection-ajánlatok

A DDoS-védelem hasonló a biztonságos és működő biztonsági mentési rendszerhez. A biztonsági mentés értéke a szervezet számára nem nyilvánvaló, amíg nincs rá szükség. A DDoS-védelem, például a biztonsági mentés, kockázatcsökkentést biztosít a lehetséges fenyegetések ellen.

DDoS Infrastructure Protection

Az Azure folyamatos védelmet nyújt a DDoS-támadások ellen. A DDoS Protection nem tárolja az ügyféladatokat. Az Azure DDoS Infrastructure Protection minden olyan Azure-szolgáltatást véd, amely nyilvános IPv4- és IPv6-címeket használ. Ez a DDoS védelmi szolgáltatás segít az összes Azure-szolgáltatás védelmében, beleértve a Szolgáltatásként nyújtott platform (PaaS) szolgáltatásokat, például az Azure DNS-t. A DDoS Infrastructure Protection nem igényel felhasználói konfigurációt vagy alkalmazásmódosítást.

Az Azure DDoS Infrastructure Protection a következő lehetőségeket biztosítja:

  • Aktív forgalomfigyelés és folyamatos észlelés. A DDoS Infrastructure Protection egész nap figyeli az alkalmazás forgalmi mintáit, és a DDoS-támadások jelzéseit keresi.
  • Automatikus támadáscsökkentés. A támadás észlelése után a rendszer enyhíti a támadást.
  • A DDoS Infrastructure Protection szolgáltatásiszint-szerződése (SLA), amely az Azure-régión alapul, és minden tőle telhetőt megtesz.

Az Azure-ban futó szolgáltatásokat az alapértelmezett infrastruktúraszintű DDoS-védelem védi. Az infrastruktúrát védő védelemnek azonban sokkal magasabb a küszöbértéke, mint a legtöbb alkalmazásnak van kapacitása kezelni, és nem biztosít telemetriát vagy riasztást, így bár a forgalom mennyisége a platform által ártalmatlannak tekinthető, pusztító lehet az azt fogadó alkalmazás számára.

Az Azure DDoS Protection szolgáltatásba való előkészítéssel az alkalmazás dedikált monitorozást kap a támadások és az alkalmazásspecifikus küszöbértékek észleléséhez. A szolgáltatás a várt forgalommennyiségre hangolt profillal lesz védve, amely sokkal szigorúbb védelmet nyújt a DDoS-támadások ellen.

Azure DDoS Network Protection

A DDoS Network Protection továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét.

Az alábbi lista a DDoS Network Protection funkcióit és előnyeit ismerteti:

  • 100 nyilvános IP-erőforrás védelme.
  • Intelligens forgalmi profilkészítést biztosít, amelyről a következő leckében olvashat.
  • Natív integrációt biztosít az Azure Portalon a telepítéshez és üzembe helyezéshez. Ez az integrációs szint lehetővé teszi a DDoS Protection számára az Azure-erőforrások és azok konfigurációinak azonosítását.
  • Ha a DDoS Network Protection engedélyezve van egy virtuális hálózaton, a rendszer automatikusan védi a hálózaton lévő összes erőforrást. Nincs szükség más adminisztratív eljárásra.
  • A hálózati erőforrások folyamatosan figyelik a DDoS-támadás jeleit. Az észlelés után a DDoS Network Protection beavatkozik, és automatikusan enyhíti a támadást.
  • Segít a 3. és a 4. réteg biztonságossá tételében a hálózati rétegben. Emellett alkalmazásvédelmet (7. réteg) is biztosít az Azure Web Application Firewall használatával, amely az Azure Gateway részét képezi. Mivel az Azure Gateway és a webalkalmazás tűzfala internetkapcsolattal rendelkezik, a DDoS Protection védi a hálózati adaptereket. Ez a védelmi stratégia egy példa a többrétegű vagy a mélységi védelemre.
  • Részletes támadási elemzési jelentéseket biztosít a támadás során ötperces időközönként, és egy művelet utáni jelentést az esemény teljes összegzéséhez, amikor a támadás véget ér.
  • Támogatja a kockázatcsökkentési naplók integrálását a Felhőhöz készült Microsoft Defender, a Microsoft Sentinel vagy egy offline biztonsági információs és eseménykezelő (SIEM) rendszerrel a közel valós idejű monitorozáshoz egy támadás során.
  • Az Azure Monitor a DDoS Network Protection monitorozási telemetriáját gyűjti össze az összesített támadási metrikákhoz való hozzáférés érdekében.

Azure DDoS IP Protection

A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de az alábbi hozzáadott értékekkel rendelkező szolgáltatásokban különbözik:

  • DDoS gyorsreagálás támogatása
  • Költségvédelem
  • Kedvezmények a WAF-re.

Hozzáadott értékeket növelő szolgáltatások

A költséggarancia és a DDoS gyorsreagálás támogatása a DDoS Network Protection másik fontos funkciója.

Költséggarancia

A DDoS-támadás elején, a hálózati sávszélesség növekedése és/vagy a virtuális gépek számának felskálázása gyakran aktiválja az Azure-ban futó szolgáltatás automatikus horizontális felskálázását.

Megjegyzés:

A DDoS Protection szolgáltatásba bejelentkezett ügyfelek szolgáltatásjóváírást kapnak az alkalmazások kibővítéséhez és a hálózati sávszélesség költségeihez, amelyeket egy dokumentált DDoS-támadás során merülnek fel. A Microsoft közvetlenül biztosítja ezt a kreditet.

DDoS gyorsreagálás támogatása

A Microsoft létrehozott egy DDoS Protection gyorsreagálási csoportot. Ha segítségre van szüksége a DDoS-támadás során, forduljon a csapathoz, és kérjen egy támadás utáni elemzést. A DDoS Protection gyorsreagálási csapata az Azure Rapid Response támogatási modelljét követi.

A csapat értesítéséhez nyissa meg a támogatási kérelmet az Azure Portalon. Lépjen kapcsolatba a csapattal, ha:

  • A vállalat olyan virtuális eseményt tervez, amely várhatóan jelentősen növeli a hálózati forgalmat.
  • Egy támadás súlyosan rontja a védett kritikus üzleti rendszerek teljesítményét.
  • A biztonsági csapat megállapítja, hogy a védett erőforrások támadás alatt állnak, de a DDoS Protection nem enyhíti hatékonyan a támadást.