Opis ochrony przed atakami DDoS na platformie Azure

  • 4 min

Każda firma, duża lub mała, może być celem poważnego ataku sieciowego. Charakter tych ataków może być oświadczeniem lub dlatego, że atakujący chciał zakwestionować.

Rozproszone ataki typu "odmowa usługi"

Celem ataku DDoS (Distributed Denial of Service) jest przeciążenie zasobów aplikacji i serwerów, co czyni je nieodpowiadczymi lub powolnymi dla prawdziwych użytkowników. Atak DDoS zwykle dotyczy każdego publicznego urządzenia, do którego można uzyskać dostęp za pośrednictwem Internetu.

Trzy najczęstsze typy ataków DDoS to:

  • Ataki wolumetryczne: są to ataki oparte na woluminach, które zalewają warstwę sieci pozornie uzasadnionym ruchem, przeciążając dostępną przepustowość. Legalny ruch nie może przechodzić.
  • Ataki na protokół: ataki protokołu powodują, że obiekt docelowy jest niedostępny przez wyczerpanie zasobów serwera za pomocą fałszywych żądań protokołu, które wykorzystują słabe strony protokołów warstwy 3 (sieci) i warstwy 4 (transport).
  • Ataki warstwowe zasobów (aplikacji): te ataki dotyczą pakietów aplikacji internetowych w celu zakłócenia transmisji danych między hostami.

Co to jest usługa Azure DDoS Protection?

Usługa Azure DDoS Protection została zaprojektowana tak, aby chronić aplikacje i serwery przez analizowanie ruchu sieciowego i odrzucanie niczego, co wygląda jak atak DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Usługa Azure DDoS Protection chroni warstwę 3 (warstwę sieciową) i warstwę 4 (warstwa transportu). Najważniejsze korzyści obejmują:

  • Monitorowanie ruchu zawsze włączonego: Wzorce ruchu aplikacji są monitorowane przez 24 godziny dziennie, 7 dni w tygodniu, szukając wskaźników ataków DDoS. Usługa Azure DDoS Protection natychmiast i automatycznie ogranicza atak po jego wykryciu. W ramach ograniczania ryzyka ruch wysyłany do chronionego zasobu jest przekierowywany przez usługę ochrony przed atakami DDoS, a kilka kontroli jest wykonywanych. Usługa Azure DDoS Protection odrzuca ruch atakujący i przekazuje pozostały ruch do zamierzonego miejsca docelowego. W ciągu kilku minut od wykrycia ataku otrzymasz powiadomienie za pomocą metryk usługi Azure Monitor.
  • Adaptacyjne dostrajanie w czasie rzeczywistym: profilowanie ruchu inteligentnego uczy się ruchu aplikacji w czasie i wybiera i aktualizuje profil, który jest najbardziej odpowiedni dla Twojej usługi. Profil zmienia się wraz ze zmianami ruchu w miarę upływu czasu.
  • Telemetria, monitorowanie i alerty usługi DDoS Protection usługi DDoS Protection udostępnia zaawansowane dane telemetryczne za pośrednictwem usługi Azure Monitor. Możesz skonfigurować alerty dla dowolnych metryk usługi Azure Monitor używanych przez usługę DDoS Protection. Rejestrowanie można zintegrować z usługą Azure Event Hubs, dziennikami usługi Azure Monitor i usługą Azure Storage w celu przeprowadzenia zaawansowanej analizy za pośrednictwem interfejsu diagnostyki usługi Azure Monitor.

Usługa Azure DDoS Protection obsługuje dwa typy warstw: DDoS IP Protection i DDoS Network Protection. Warstwa jest konfigurowana w witrynie Azure Portal podczas konfigurowania usługi Azure DDoS Protection.

  • Ochrona sieci przed atakami DDoS: usługa ochrony sieci DDoS (dostępna jako jednostka SKU) w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów.
  • Ochrona adresów IP przed atakami DDoS: Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych zgodnie z rzeczywistym użyciem. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS, ale różni się w tym, że nie obejmuje usług dodanych do wartości, takich jak obsługa szybkiego reagowania DDoS, ochrona kosztów i rabaty w zaporze aplikacji internetowej (WAF), które są częścią ochrony sieci DDoS. Aby uzyskać pełną listę funkcji i odpowiednich warstw, zobacz Porównanie warstw usługi Azure DDoS Protection

Często zadawane pytanie polega na tym, że warto rozważyć dodanie usług DDos Protection, jeśli usługi uruchomione na platformie Azure są z natury chronione przez domyślną ochronę przed atakami DDoS na poziomie infrastruktury? Przyczyną jest to, że ochrona infrastruktury ma wyższy próg niż większość aplikacji ma pojemność do obsługi i nie zapewnia telemetrii ani alertów. Tak więc, gdy ilość ruchu może być postrzegana jako nieszkodliwa przez platformę, może to być druzgocące dla aplikacji, która ją odbiera. Dołączając do usługi Azure DDoS Protection, aplikacja otrzymuje dedykowane monitorowanie w celu wykrywania ataków i progów specyficznych dla aplikacji. Usługa będzie chroniona przy użyciu profilu, który jest dostrojony do oczekiwanego ruchu, zapewniając ściślejszą ochronę przed atakami DDoS.

Jak wspomniano wcześniej, usługa Azure DDos Protection chroni warstwę 3 i warstwę 4. W przypadku ochrony aplikacji internetowych w warstwie 7 (warstwa aplikacji) należy dodać ochronę w warstwie aplikacji przy użyciu oferty zapory aplikacji internetowej (WAF) opisanej w kolejnej lekcji tego modułu.