Mikor érdemes használni az Azure DDoS Protectiont?
Itt összehasonlítjuk a DDoS Infrastructure Protection szolgáltatást és a DDoS Protection szolgáltatást, hogy jobban megismerjük a frissítés előnyeit. Ebben a leckében többet tudhat meg a DDoS Protection termékváltozatok közötti főbb különbségekről, valamint az alkalmazásokba irányuló DDoS-támadások elleni rugalmasság kialakításáról. Ezeket az információkat arra fogja használni, hogy eldöntse, melyik termékváltozat megfelelő a Contoso számára.
DDoS-reziliens szolgáltatások létrehozása az Azure-ban
Az Azure DDoS Infrastructure Protection automatikusan védi az Azure-ban üzembe helyezett összes szolgáltatást további költségek nélkül, és nem igényel módosításokat az alkalmazások vagy felhasználók konfigurációjában.
Amikor úgy dönt, hogy az Azure DDoS Infrastructure Protectionről az Azure DDoS Protectionre frissít, fontos kockázatelemzést végezni a kulcsfontosságú Azure-erőforrások DDoS-támadásához. Még az elérhető beépített DDoS-szolgáltatások esetén is célszerű nem csak az üzembe helyezés utáni védelemre támaszkodni. Fontos egy rugalmas és tesztelt alkalmazás létrehozása, amely ellenáll a szolgáltatásmegtagadásos támadásoknak, vagy gyorsan helyreáll.
Az Azure-keretrendszer a számítási feladatok rugalmasságához
Az Azure csapata közzétett egy keretrendszert a számítási feladatok rugalmassághoz való tervezéséhez. Ez a keretrendszer olyan alapelvek gyűjteménye, amelyeket a számítási feladatok minőségének javítása érdekében követhet.
A számítási feladatok létrehozásakor vagy üzembe helyezésekor fontos a következő szempontok tervezése:
- Biztonság. A biztonsági követelmények azonosítása és dokumentálása a fejlesztési életciklus korai szakaszában. Ez a gyakorlat segít biztosítani, hogy a biztonság prioritás legyen az alkalmazás teljes életciklusa során. A rosszul megtervezett alkalmazások nem hatékony rutinokkal rendelkezhetnek, amelyek túlzott erőforrásokat használnak, ami szolgáltatáskimaradást okozhat, még alacsony kérelemarány mellett is.
- Skálázhatóság. Az Azure horizontálisan automatikusan skáláz egy alkalmazást, de DDoS-támadás esetén az alkalmazást úgy kell megterveznie, hogy megfeleljen ennek az igénynek. Ha az alkalmazás egy szolgáltatás egyetlen üzembe helyezésétől függ, az egyetlen meghibásodási pontot eredményez. Több példány üzembe helyezése rugalmasabbá és skálázhatóbbá teszi a rendszert.
- Mélységi védelem. A részletes védelem egy jól elfogadott stratégia, amely több biztonsági intézkedést alkalmaz a szervezet eszközeinek védelmére. Az Azure-szolgáltatások biztonsági védelmének rétegzésével és duplikálásával csökkentheti a sikeres támadás esélyét. A beépített Azure-platform képességeinek ismeretével és megértésével a kialakítás biztonságát és robusztusságát is javíthatja. Az Azure-szolgáltatások használatának másik előnye az alkalmazás támadási felületének csökkentése. A részletes védelem magában foglalja a szervezet összes biztonsági intézkedését az alkalmazás biztonságossá tételével kapcsolatos összes probléma megoldásához.
Ezek az intézkedések segíthetnek a biztonság javításában és a jogszabályi követelményeknek való megfelelésben. A DDoS-rugalmas alkalmazások létrehozásának szempontjainak kezelése után most meg kell határoznia, hogy az Azure DDoS Protection mely funkcióira van szüksége. Az alábbi táblázat a DDoS Protection-szintek és a DDoS Infrastructure Protection főbb funkcióit hasonlítja össze.
| Funkció | DDoS Infrastructure Protection | DDoS Network Protection | DDoS IP Protection |
|---|---|---|---|
| Aktív forgalomfigyelés > mindig észlelés alatt | Igen | Yes | Igen |
| Automatikus támadáscsökkentés | Igen | Yes | Igen |
| Rendelkezésre állási garancia | Nem | Yes | Igen |
| Cost Protection | Nem | Igen | Nem |
| Az ügyfélalkalmazásra hangolt kockázatcsökkentési szabályzatok | Nem | Yes | Igen |
| Metrikák és értesítések | Nem | Yes | Igen |
| Kárenyhítési jelentések | Nem | Yes | Igen |
| A kockázatcsökkentési folyamat naplói | Nem | Yes | Igen |
| DDoS gyorsreagálás támogatása | Nem | Igen | Nem |
További DDoS Protection-funkciók
A DDoS Protection használatával a forgalom mindig az Azure-régión belül marad. A helyi régión belüli forgalom megtartása a teljesítményben is segít, mivel a DDoS Protection egy Azure-régióban végzi a támadások elhárítását. Az Azure DDoS Protection az alkalmazáshoz legközelebbi támadási forgalmat csökkenti. Ha azonban a Microsoft megállapítja, hogy a támadás mennyisége jelentős, akkor az Azure hálózatkezelésének globális skálájával fogja megvédeni a támadást, ahonnan származik.
A Microsoft ezzel a részletes védelmi stratégiával védi a háttérszolgáltatásokat és az Olyan Azure-szolgáltatásokat, mint az Azure Front Door és Azure-alkalmazás Gateway.
A DDoS Protection több funkciót kínál, mint a DDoS Infrastructure Protection. Ha megállapítja, hogy bizonyos alkalmazások kritikus fontosságúak; például egy nagy mennyiségű, bevételt generáló e-kereskedelmi webhely, majd a DDoS Protection az ajánlott választás.
Úgy döntött, hogy a DDoS IP Protection termékváltozata tökéletes a kis szervezet számára, mivel ip-alapú fizetéses szolgáltatás. Ha a Contoso kibővíti szolgáltatásait, válthat a DDoS Network Protection termékváltozatra a virtuális hálózatvédelem, a DDoS gyorsreagálás támogatása és a költséggarancia érdekében.