Panoramica di Protezione DDoS di Azure StandardAzure DDoS Protection Standard overview

Gli attacchi Distributed Denial of Service (DDoS) sono tra le principali preoccupazioni che riguardano la disponibilità e la sicurezza per quei clienti che spostano le loro applicazioni nel cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi.A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Protezione DDoS di Azure, insieme alle procedure consigliate di progettazione delle applicazioni, offre un meccanismo di difesa dagli attacchi DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Protezione DDos di Azure offre i livelli di servizio seguenti:Azure DDoS protection provides the following service tiers:

  • Basic: attivata automaticamente come parte della piattaforma di Azure.Basic: Automatically enabled as part of the Azure platform. Il monitoraggio del traffico always on e la mitigazione in tempo reale di attacchi comuni a livello di rete forniscono le stesse difese usate dai Servizi online di Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft's online services.L'intera scala della rete globale di Azure può essere usata per distribuire e mitigare il traffico degli attacchi tra le aree. The entire scale of Azure's global network can be used to distribute and mitigate attack traffic across regions.La protezione viene fornita per gli indirizzi IP pubblici di Azure IPv4 e IPv6. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard: offre funzionalità aggiuntive di mitigazione tramite il livello di servizio Basic ottimizzate in modo specifico per le risorse di Rete virtuale di Microsoft Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Protezione DDoS Standard è semplice da abilitare e non richiede alcuna modifica alle applicazioni.DDoS Protection Standard is simple to enable, and requires no application changes. I criteri di protezione sono ottimizzati tramite il monitoraggio del traffico dedicato e algoritmi di apprendimento automatico.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. I criteri vengono applicati agli indirizzi IP pubblici associati alle risorse distribuite nelle reti virtuali, ad esempio le istanze di Azure Load Balancer, del gateway applicazione di Azure e di Azure Service Fabric, ma questa protezione non si applica agli ambienti del servizio app.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments.La telemetria in tempo reale è disponibile tramite le viste di Monitoraggio di Azure durante un attacco e come informazione cronologica. Real-time telemetry is available through Azure Monitor views during an attack, and for history. Sono disponibili funzionalità complete di analisi della mitigazione degli attacchi tramite le impostazioni di diagnostica.Rich attack mitigation analytics are available via diagnostic settings. È possibile aggiungere protezioni a livello dell'applicazione tramite il web application firewall del gateway applicazione di Azure o installando un firewall di terze parti da Microsoft Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. La protezione viene fornita per gli indirizzi IP pubblici di Azure IPv4 e IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
FunzionalitàFeature Protezione DDoS BasicDDoS Protection Basic Protezione DDoS StandardDDoS Protection Standard
Monitoraggio del traffico attivo & rilevamento always onActive traffic monitoring & always on detection Yes Yes
Mitigazioni di attacchi automaticiAutomatic attack mitigations Yes Yes
Garanzia di disponibilitàAvailability guarantee Area di AzureAzure Region ApplicazioneApplication
Criteri di mitigazioneMitigation policies Ottimizzato per il volume dell'area di traffico di AzureTuned for Azure traffic region volume Ottimizzato per il volume di traffico dell'applicazioneTuned for application traffic volume
Metriche & avvisiMetrics & alerts NoNo Metriche di attacco in tempo reale & log delle risorse tramite monitoraggio di AzureReal time attack metrics & resource logs via Azure Monitor
Report di mitigazioneMitigation reports NoNo Report sulla mitigazione degli attacchi postPost attack mitigation reports
Log del flusso di mitigazioneMitigation flow logs NoNo Flusso di log NRT per l'integrazione SIEMNRT log stream for SIEM integration
Personalizzazione dei criteri di mitigazioneMitigation policy customization NoNo Coinvolgere gli esperti DDoSEngage DDoS Experts
SupportoSupport Massimo sforzoBest effort Accesso agli esperti DDoS durante un attacco attivoAccess to DDoS Experts during an active attack
Contratto di servizioSLA Area di AzureAzure Region Protezione dei costi & delle applicazioniApplication guarantee & cost protection
PrezziPricing GratuitoFree Utilizzo mensile & basato suMonthly & usage based

Tipi di attacchi DDoS mitigati da Protezione DDoS StandardTypes of DDoS attacks that DDoS Protection Standard mitigates

Protezione DDoS Standard consente di mitigare i seguenti tipi di attacchi:DDoS Protection Standard can mitigate the following types of attacks:

  • Attacchi volumetrici: l'obiettivo dell'attacco è quello di intasare il livello di rete con una notevole quantità di traffico in apparenza legittimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Sono inclusi attacchi flood UDP, attacchi flood con amplificazione e attacchi flood con pacchetti falsificati.It includes UDP floods, amplification floods, and other spoofed-packet floods. Protezione DDoS standard attenua questi potenziali attacchi a più gigabyte grazie all'assorbimento e alla pulitura, con la scalabilità di rete globale di Azure, in modo automatico.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure's global network scale, automatically.
  • Attacchi ai protocolli: questi attacchi rendono inaccessibile una destinazione sfruttando una vulnerabilità nello stack di protocolli di livello 3 e di livello 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Sono inclusi attacchi di tipo SYN flood, attacchi di tipo reflection e altri attacchi contro i protocolli.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. Protezione DDoS Standard mitiga questi attacchi distinguendo tra traffico dannoso e legittimo tramite l'interazione con il client e bloccando il traffico dannoso.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Attacchi a livello di risorsa (applicazione): questi attacchi colpiscono i pacchetti di applicazioni Web per interrompere la trasmissione dei dati tra host.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Gli attacchi includono violazioni del protocollo HTTP, attacchi SQL injection, script intersito e altri attacchi di livello 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Usare un Web Application Firewall, ad esempio il gateway applicazionedi Azure Web Application Firewall, oltre a protezione DDoS standard per offrire una difesa contro tali attacchi.Use a Web Application Firewall, such as the Azure Application Gateway web application firewall, as well as DDoS Protection Standard to provide defense against these attacks. Sono disponibili anche offerte di terze parti di web application firewall nel Microsoft Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

Protezione DDoS Standard protegge le risorse in una rete virtuale, inclusi gli indirizzi IP pubblici associati alle macchine virtuali, i bilanciamenti del carico e i gateway applicazione.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Una volta abbinato il gateway applicazione web application firewall o una web application firewall di terze parti distribuita in una rete virtuale con un indirizzo IP pubblico, protezione DDoS standard può fornire funzionalità di mitigazione complete di livello 3 a livello 7.When coupled with the Application Gateway web application firewall, or a third-party web application firewall deployed in a virtual network with a public IP, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Funzionalità di Protezione DDoS StandardDDoS Protection Standard features

Funzionalità DDoS

Le funzionalità di Protezione DDoS Standard includono:DDoS Protection Standard features include:

  • Integrazione di piattaforma nativa: integrato in modo nativo in Azure.Native platform integration: Natively integrated into Azure. Include la configurazione tramite il portale di Azure.Includes configuration through the Azure portal. Protezione DDoS Standard comprende le risorse e la loro configurazione.DDoS Protection Standard understands your resources and resource configuration.
  • Protezione pronta all'uso: la configurazione semplificata consente di proteggere immediatamente tutte le risorse in una rete virtuale non appena il servizio Protezione DDoS Standard viene abilitato.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Non è necessaria alcuna definizione dell'utente o intervento.No intervention or user definition is required. Il servizio Protezione DDoS Standard mitiga istantaneamente e automaticamente gli attacchi non appena vengono rilevati.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitoraggio del traffico sempre attivo: i modelli di traffico delle applicazioni vengono monitorati 24 ore su 24, 7 giorni su 7, cercando gli indicatori di attacchi DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. La mitigazione viene applicata quando vengono superati i criteri di protezione.Mitigation is performed when protection policies are exceeded.
  • Ottimizzazione adattiva: La profilatura del traffico intelligente apprende il traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio.Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. Il profilo viene modificato in base ai cambiamenti del traffico nel tempo.The profile adjusts as traffic changes over time.
  • Protezione su più livelli: offre protezione DDoS dello stack completo se usata con un web application firewall.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Scala di mitigazione completa: è possibile mitigare più di 60 tipi diversi di attacchi con capacità globale, per una protezione dai più noti attacchi DDoS.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Analisi degli attacchi: ottieni report dettagliati con incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Esegui lo streaming dei log del flusso di mitigazione in un sistema di informazioni di sicurezza e gestione degli eventi offline per il monitoraggio quasi in tempo reale durante un attacco.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Metriche degli attacchi: tramite Monitoraggio di Azure è possibile accedere al riepilogo delle metriche per ogni attacco.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Avviso di attacco: Gli avvisi possono essere configurati in fase di avvio e arresto di un attacco e sulla durata dell'attacco, usando le metriche di attacco predefinite.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. Gli avvisi si integrano nel software operativo, come Microsoft Azure log di monitoraggio, Splunk, archiviazione di Azure, posta elettronica e il portale di Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Garanzia di costo: Crediti di servizio di trasferimento dati e scalabilità orizzontale dell'applicazione per gli attacchi DDoS documentati.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigazione di Protezione DDoS StandardDDoS Protection Standard mitigation

Protezione DDoS Standard monitora l'utilizzo effettivo del traffico e lo confronta continuamente con le soglie definite nei criteri DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Quando la soglia di traffico viene superata, viene avviata automaticamente la mitigazione DDoS.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Quando il traffico torna sotto la soglia, la mitigazione viene rimossa.When traffic returns below the threshold, the mitigation is removed.

Misura di prevenzione

Durante la mitigazione il traffico inviato alla risorsa protetta viene reindirizzato dal servizio Protezione DDoS e vengono eseguiti diversi controlli, ad esempio i controlli seguenti:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Verificare che i pacchetti siano conformi alle specifiche Internet e abbiano un formato valido.Ensure packets conform to internet specifications and are not malformed.
  • Interagire con il client per determinare se il traffico è stato potenzialmente falsificato, ad esempio usando una tecnica SYN Auth o SYN Cookie oppure eliminando un pacchetto in modo che l'origine lo trasmetta di nuovo.Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limitare la frequenza dei pacchetti se non è possibile usare altri metodi di imposizione.Rate-limit packets, if no other enforcement method can be performed.

Protezione DDoS blocca il traffico degli attacchi e inoltra il traffico rimanente verso la destinazione prevista.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Entro pochi minuti dal rilevamento degli attacchi, si riceve una notifica in base alle metriche di Monitoraggio di Azure.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Configurando la registrazione per la telemetria di Protezione DDoS Standard, è possibile scrivere log disponibili per analisi future.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. I dati delle metriche di Monitoraggio di Azure per Protezione DDoS Standard vengono mantenuti per 30 giorni.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft ha collaborato con BreakingPoint Cloud per compilare un'interfaccia in cui è possibile generare il traffico per abilitare la protezione DDoS agli indirizzi IP pubblici per simulazioni.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. La simulazione BreakPoint Cloud consente di:The BreakPoint Cloud simulation allows you to:

  • Convalidare come la Protezione DDoS Standard di Microsoft Azure consente di proteggere le risorse di Azure da attacchi DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Ottimizzare il processo di risposta agli eventi imprevisti durante un attacco DDoSOptimize your incident response process while under DDoS attack
  • Documentare la conformità DDoSDocument DDoS compliance
  • Eseguire il training dei team di sicurezza di reteTrain your network security teams

Passaggi successiviNext steps