DDoS-beveiliging op Front Door

  • Artikel

Azure Front Door is een CDN (Content Delivery Network) waarmee u uw oorsprongen kunt beschermen tegen HTTP(S) DDoS-aanvallen door het verkeer over de 192 edge-POP's wereldwijd te distribueren. Deze POP's maken gebruik van ons grote privé-WAN om uw webtoepassingen en -services sneller en veiliger aan uw eindgebruikers te leveren. Azure Front Door bevat ook laag 3, 4 en 7 DDoS-beveiliging en een WAF (Web Application Firewall) om uw toepassingen te beschermen tegen veelvoorkomende aanvallen en beveiligingsproblemen.

DDoS-beveiliging voor infrastructuur

Azure Front Door profiteert van de DDoS-standaardbeveiliging van de Azure-infrastructuur. Deze beveiliging bewaakt en beperkt in realtime aanvallen in de netwerklaag door gebruik te maken van de wereldwijde schaal en capaciteit van het netwerk van Front Door. Deze beveiliging heeft een bewezen trackrecord bij het beschermen van de enterprise- en consumentenservices van Microsoft tegen grootschalige aanvallen.

Protocolblokkering

Azure Front Door ondersteunt alleen de HTTP- en HTTPS-protocollen en vereist een geldige hostheader voor elke aanvraag. Dit gedrag helpt bij het voorkomen van enkele veelvoorkomende DDoS-aanvalstypen, zoals volumetrische aanvallen die gebruikmaken van verschillende protocollen en poorten, DNS-amplificatieaanvallen en TCP-vergiftigingsaanvallen.

Capaciteitsabsorbatie

Azure Front Door is een grootschalige, wereldwijd gedistribueerde service. Het biedt veel klanten, waaronder de eigen cloudproducten van Microsoft die honderdduizenden aanvragen per seconde verwerken. Front Door bevindt zich aan de rand van het Azure-netwerk, waar grote volumeaanvallen kunnen worden onderschept en geografisch kan worden geïsoleerd. Daarom kan Front Door voorkomen dat schadelijk verkeer zich buiten de rand van het Azure-netwerk bevindt.

Caching

U kunt de cachemogelijkheden van Front Door gebruiken om uw back-ends te beschermen tegen grote verkeersvolumes die worden gegenereerd door een aanval. Front Door Edge-knooppunten retourneren resources in de cache en voorkomen dat ze naar uw back-end worden doorgestuurd. Zelfs korte verlooptijden van de cache (seconden of minuten) voor dynamische reacties kunnen de belasting van uw back-endservices aanzienlijk verminderen. Zie Cacheoverwegingen en cache-aside-patroon voor meer informatie over cacheconcepten en -patronen.

Web Application Firewall (WAF)

U kunt WaF (Web Application Firewall) van Front Door gebruiken om veel verschillende soorten aanvallen te beperken:

  • De beheerde regelset beschermt uw toepassing tegen veel voorkomende aanvallen. Zie Beheerde regels voor meer informatie.
  • U kunt verkeer van buiten of binnen een specifieke geografische regio blokkeren of omleiden naar een statische webpagina. Zie Geofiltering voor meer informatie.
  • U kunt IP-adressen en bereiken blokkeren die u identificeert als schadelijk. Zie IP-beperkingen voor meer informatie.
  • U kunt frequentiebeperking toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Snelheidsbeperking voor meer informatie.
  • U kunt aangepaste WAF-regels maken om HTTP- of HTTPS-aanvallen met bekende handtekeningen automatisch te blokkeren en frequentie te beperken.
  • De beheerde regelset voor botbeveiliging beschermt uw toepassing tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.

Raadpleeg De DDoS-beveiliging van de toepassing voor hulp bij het gebruik van Azure WAF om te beschermen tegen DDoS-aanvallen.

Oorsprong van virtuele netwerken beveiligen

Schakel Azure DDoS Protection in op het oorspronkelijke virtuele netwerk om uw openbare IP-adressen te beschermen tegen DDoS-aanvallen. DDoS Protection-klanten ontvangen extra voordelen, zoals kostenbescherming, SLA-garantie en toegang tot experts van het DDoS Rapid Response Team voor directe hulp tijdens een aanval.

Verbeter de beveiliging van uw door Azure gehoste origins door hun toegang tot Azure Front Door te beperken via Azure Private Link. Deze functie maakt een privénetwerkverbinding mogelijk tussen Azure Front Door en uw toepassingsservers, waardoor uw origins niet meer zichtbaar moeten worden gemaakt voor het openbare internet.

Volgende stappen