Ochrona przed atakami DDoS w usłudze Front Door

  • Artykuł

Usługa Azure Front Door to usługa Content Delivery Network (CDN), która może pomóc w ochronie źródeł przed atakami DDoS HTTP przez dystrybucję ruchu na całym świecie. Te dostawcy pops używają naszej dużej prywatnej sieci WAN do szybszego i bezpieczniejszego dostarczania aplikacji internetowych i usług użytkownikom końcowym. Usługa Azure Front Door obejmuje również ochronę przed atakami DDoS warstwy 3, 4 i 7 ataków DDoS oraz zaporę aplikacji internetowej w celu ochrony aplikacji przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach.

Ochrona przed atakami DDoS infrastruktury

Usługa Azure Front Door korzysta z domyślnej ochrony przed atakami DDoS infrastruktury platformy Azure. Ta ochrona monitoruje i ogranicza ataki warstwy sieciowej w czasie rzeczywistym przy użyciu globalnej skali i pojemności sieci usługi Front Door. Ta ochrona ma sprawdzony rekord w zabezpieczaniu usług korporacyjnych i konsumenckich firmy Microsoft przed atakami na dużą skalę.

Blokowanie protokołu

Usługa Azure Front Door obsługuje tylko protokoły HTTP i HTTPS i wymaga prawidłowego nagłówka "Host" dla każdego żądania. To zachowanie pomaga zapobiec niektórym typowym typom ataków DDoS, takim jak ataki wolumetryczne, które używają różnych protokołów i portów, ataków wzmacniania DNS i ataków zatrucia TCP.

Absorpcja pojemności

Usługa Azure Front Door to usługa rozproszona na dużą skalę w skali globalnej. Obsługuje wielu klientów, w tym własne produkty w chmurze firmy Microsoft, które obsługują setki tysięcy żądań na sekundę. Usługa Front Door znajduje się na skraju sieci platformy Azure, gdzie może przechwytywać i izolować geograficznie duże ataki. W związku z tym usługa Front Door może uniemożliwić złośliwemu ruchowi dotarcie poza krawędź sieci platformy Azure.

Buforowanie

Możesz użyć funkcji buforowania usługi Front Door, aby chronić zaplecza przed dużymi ilościami ruchu generowanymi przez atak. Węzły brzegowe usługi Front Door zwracają buforowane zasoby i unikaj przekazywania ich do zaplecza. Nawet krótkie czasy wygaśnięcia pamięci podręcznej (w sekundach lub minutach) odpowiedzi dynamicznych mogą znacznie zmniejszyć obciążenie usług zaplecza. Aby uzyskać więcej informacji na temat pojęć i wzorców buforowania, zobacz Buforowanie zagadnienia i wzorzec z odkładaniem do pamięci podręcznej.

Zapora aplikacji internetowej

Zapora aplikacji internetowej (WAF) usługi Front Door umożliwia eliminowanie wielu różnych typów ataków:

  • Zestaw reguł zarządzanych chroni aplikację przed wieloma typowymi atakami. Aby uzyskać więcej informacji, zobacz Reguły zarządzane.
  • Możesz zablokować lub przekierować ruch z zewnątrz lub wewnątrz określonego regionu geograficznego do statycznej strony internetowej. Aby uzyskać więcej informacji, zobacz Filtrowanie geograficzne.
  • Możesz zablokować adresy IP i zakresy identyfikowane jako złośliwe. Aby uzyskać więcej informacji, zobacz Ograniczenia adresów IP.
  • Ograniczenie szybkości można stosować, aby zapobiec zbyt częstemu wywoływaniu usługi przez adresy IP. Aby uzyskać więcej informacji, zobacz Ograniczanie szybkości.
  • Możesz utworzyć niestandardowe reguły zapory aplikacji internetowej, aby automatycznie blokować i ograniczać liczbę ataków HTTP lub HTTPS, które mają znane podpisy.
  • Zestaw reguł zarządzanych przez ochronę botów chroni aplikację przed znanymi złymi botami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ochrony bota.

Zapoznaj się z tematem Ochrona przed atakami DDoS aplikacji, aby uzyskać wskazówki dotyczące sposobu ochrony przed atakami DDoS przy użyciu zapory aplikacji internetowej platformy Azure.

Ochrona źródeł sieci wirtualnej

Aby chronić publiczne adresy IP przed atakami DDoS, włącz usługę Azure DDoS Protection w sieci wirtualnej pochodzenia. Klienci usługi DDoS Protection otrzymują dodatkowe korzyści, takie jak ochrona kosztów, gwarancja umowy SLA i dostęp do ekspertów z zespołu DDoS Rapid Response Team w celu natychmiastowej pomocy podczas ataku.

Zwiększ bezpieczeństwo źródeł hostowanych na platformie Azure, ograniczając dostęp do usługi Azure Front Door za pośrednictwem usługi Azure Private Link. Ta funkcja umożliwia połączenie sieci prywatnej między usługą Azure Front Door i serwerami aplikacji, eliminując konieczność uwidocznienia źródeł w publicznym Internecie.

Następne kroki