Arsitektur referensi DDoS Protection

Standar Azure DDoS Protection didesain untuk layanan yang disebarkan di jaringan virtual. Arsitektur referensi berikut disusun berdasarkan skenario, dengan pola arsitektur dikelompokkan bersama.

Catatan

Sumber daya yang dilindungi termasuk IP publik yang dilampirkan ke IaaS mesin virtual (kecuali untuk mesin virtual tunggal yang berjalan di belakang IP publik), Load Balancer (Classic & Standard Load Balancers), kluster Application Gateway (termasuk WAF), Firewall, Bastion, VPN Gateway, Service Fabric atau Network Virtual Appliance (NVA) berbasis IaaS. Perlindungan juga mencakup rentang IP publik yang dibawa ke Azure melalui Prefiks IP Kustom (BYOIP). Layanan PaaS (multi-penyewa), yang mencakup Lingkungan Azure App Service untuk Power Apps atau manajemen API di jaringan virtual dengan IP publik, saat ini tidak didukung.

Beban kerja komputer virtual (Windows/Linux)

Aplikasi berjalan pada VM dengan muatan seimbang

Arsitektur referensi ini menunjukkan set praktik yang telah terbukti untuk menjalankan beberapa VM Windows dalam skala yang diatur di belakang penyeimbang muatan, untuk meningkatkan ketersediaan dan skalabilitas. Arsitektur ini dapat digunakan untuk beban kerja tanpa status apa pun, seperti server web.

Diagram of the reference architecture for an application running on load-balanced VMs

Dalam arsitektur ini, beban kerja didistribusikan ke beberapa instans VM. Ada satu alamat IP publik, dan lalu lintas internet didistribusikan ke VM melalui penyeimbang muatan. Standar Azure DDoS Protection diaktifkan di jaringan virtual penyeimbang muatan Azure (internet) yang memiliki IP publik yang terkait dengannya.

Penyeimbang muatan mendistribusikan permintaan internet yang masuk ke instans VM. Set skala komputer virtual memungkinkan jumlah VM yang diskalakan masuk atau keluar secara manual, atau otomatis berdasarkan aturan yang telah ditentukan sebelumnya. Hal ini penting jika sumber daya berada di bawah serangan DDoS. Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat artikel ini.

Aplikasi berjalan di N-tingkat Windows

Ada banyak cara untuk menetapkan arsitektur N-tingkat. Diagram berikut menunjukkan aplikasi web tiga tingkat yang khas. Arsitektur ini dibangun di atas artikel Menjalankan VM dengan muatan seimbang untuk skalabilitas dan ketersediaan. Tingkat web dan bisnis menggunakan VM dengan muatan seimbang.

Diagram of the reference architecture for an application running on Windows N-tier

Dalam arsitektur ini, Standar Azure DDoS Protection diaktifkan di jaringan virtual. Semua IP publik di jaringan virtual mendapatkan perlindungan DDoS untuk Layer 3 dan 4. Untuk perlindungan Layer 7, sebarkan Application Gateway di SKU WAF. Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat Aplikasi Windows N-tier di Azure.

Catatan

Skenario di mana satu VM berjalan di belakang IP publik tidak didukung. Mitigasi DDoS mungkin tidak dimulai secara instan ketika serangan DDoS terdeteksi. Akibatnya, penyebaran mesin virtual tunggal yang skalanya tidak dapat diperluas akan tidak berfungsi dalam kasus seperti itu.

Aplikasi web PaaS

Arsitektur referensi ini memperlihatkan eksekusi aplikasi Azure App Service di satu wilayah. Arsitektur ini menunjukkan serangkaian praktik yang telah terbukti untuk aplikasi web yang menggunakan Azure App Service dan Azure SQL Database. Wilayah siaga diatur untuk skenario failover.

Diagram of the reference architecture for a PaaS web application

Azure Traffic Manager merutekan permintaan masuk ke Application Gateway di salah satu wilayah. Selama operasi normal, Azure Traffic Manager merutekan permintaan ke Application Gateway di wilayah aktif. Jika wilayah itu menjadi tidak tersedia, Azure Traffic Manager mengalami kegagalan terhadap Application Gateway di wilayah siaga.

Semua lalu lintas dari internet yang ditujukan ke aplikasi web dirutekan ke alamat IP publik Application Gateway melalui Azure Traffic Manager. Dalam skenario ini, layanan aplikasi (aplikasi web) itu sendiri tidak secara langsung menghadap ke luar dan dilindungi oleh Application Gateway.

Kami menyarankan Anda untuk mengonfigurasi SKU WAF Application Gateway (mode pencegahan) untuk membantu melindungi dari serangan Layer 7 (HTTP/HTTPS/WebSocket). Selain itu, aplikasi web dikonfigurasi untuk hanya menerima lalu lintas dari Application Gateway alamat IP.

Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat Aplikasi web multi-wilayah yang sangat tersedia.

Mitigasi untuk layanan PaaS non-web

HDInsight di Azure

Arsitektur referensi ini menunjukkan konfigurasi Standar Azure DDoS Protection untuk kluster HDInsight. Pastikan kluster HDInsight ditautkan ke jaringan virtual dan Azure DDoS Protection diaktifkan di jaringan virtual.

Selection for enabling DDoS Protection

Dalam arsitektur ini, lalu lintas yang ditujukan ke kluster HDInsight dari internet dirutekan ke IP publik yang terkait dengan penyeimbang muatan gateway HDInsight. Penyeimbang muatan gateway kemudian mengirimkan lalu lintas ke simpul kepala atau simpul pekerja secara langsung. Karena Standar Azure DDoS Protection diaktifkan di jaringan virtual HDInsight, semua IP publik di jaringan virtual mendapatkan perlindungan DDoS untuk Layer 3 dan 4. Arsitektur referensi ini dapat dikombinasikan dengan arsitektur referensi N-Tingkat dan multi-wilayah.

Untuk informasi selengkapnya tentang arsitektur referensi ini, lihat dokumentasi Memperluas HDInsight menggunakan Virtual Network Azure.

Catatan

Lingkungan Azure App Service untuk Power Apps atau manajemen API dalam jaringan virtual dengan IP publik keduanya tidak didukung secara asli.

Topologi jaringan hub-and-spoke dengan Azure Firewall dan Azure Bastion

Arsitektur referensi ini merinci topologi hub-and-spoke dengan Azure Firewall di dalam hub sebagai DMZ untuk skenario yang memerlukan kontrol pusat atas aspek keamanan. Azure Firewall adalah firewall terkelola sebagai layanan dan ditempatkan di subnetnya sendiri. Azure Bastion disebarkan dan ditempatkan di subnetnya sendiri.

Ada dua jari yang terhubung ke hub menggunakan serekan VNet dan tidak ada konektivitas spoke-to-spoke. Jika Anda memerlukan konektivitas spoke-to-spoke, maka Anda perlu membuat rute untuk meneruskan lalu lintas dari satu berbicara ke firewall, yang kemudian dapat merutekannya ke yang lain berbicara.

Screenshot showing Hub-and-spoke architecture with firewall, bastion, and DDoS Protection Standard

Dalam arsitektur ini, Standar Azure DDoS Protection diaktifkan di jaringan virtual. Oleh karena itu, semua IP Publik yang berada di dalam hub dilindungi oleh paket DDoS Standard. Dalam skenario ini, firewall di hub membantu mengontrol lalu lintas masuk dari internet, sementara IP publik firewall sedang dilindungi. Azure DDoS Protection Standard juga melindungi IP publik dari bastion tersebut.

DDoS Protection Standard dirancang untuk layanan yang disebarkan di jaringan virtual. Untuk informasi selengkapnya, lihat Menyebarkan layanan Azure khusus ke jaringan virtual.

Catatan

Standar Perlindungan DDoS melindungi IP Publik sumber daya Azure. DDoS Protection Basic, yang tidak memerlukan konfigurasi dan diaktifkan secara default, hanya melindungi infrastruktur platform yang mendasari Azure (misalnya Azure DNS). Untuk mengetahui informasi selengkapnya, lihat gambaran umum Standar Azure DDoS Protection. Untuk informasi selengkapnya tentang topologi hub-and-spoke, lihat Topologi jaringan Hub-spoke.

Langkah berikutnya