Co to jest usługa Azure DDoS Protection?

  • 12 min

Firma Microsoft oferuje ochronę infrastruktury DDoS wszystkim klientom platformy Azure bezpłatnie. Firma Microsoft oferuje również dodatkowe usługi w swojej usłudze DDoS Protection.

Azure DDoS Infrastructure Protection lub Azure DDoS Protection

Badasz korzyści dla firmy Contoso w celu uaktualnienia do usługi Azure DDoS Protection dla usług działających na platformie Azure. Motywacją do oceny tej opcji uaktualnienia, w konsensusie ekspertów ds. zabezpieczeń DDoS, jest rosnąca częstotliwość i wyrafinowanie ataków DDoS.

Ruch atakujący nie musi znajdować się w zakresie terabitów na sekundę, aby usunąć aplikację. Każdy konkretny atak docelowy może mieć wpływ na dostępność aplikacji uruchomionej na platformie Azure, która odbiera ruch z publicznego Internetu.

Co to jest atak DDoS?

W ataku DDoS sprawca celowo zalewa system, taki jak serwer, witryna internetowa lub inny zasób sieciowy, z fałszywym ruchem. Komputery są połączone w skoordynowanej sieci poleceń i kontroli, nazywanej botnetem. Złośliwa inna firma kontroluje botnet w celu uruchomienia ataku DDoS. Działanie wyzwala odmowę usług uprawnionym użytkownikom przez przeciążenie możliwości usługi. Ataki DDoS mogą być kierowane do dowolnego punktu końcowego, który jest publicznie dostępny za pośrednictwem Internetu.

Na poniższej ilustracji przedstawiono typowy atak DDoS z botnetu.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Oto niektóre typowe ataki DDoS:

  • Ataki wolumetryczne. Ataki te używają wielu zainfekowanych systemów, aby zalać warstwę sieci znaczną ilością pozornie uzasadnionego ruchu. Wiele systemów zagrożonych jest zazwyczaj częścią botnetu przestępczego. Typy ataków DDoS wolumetrycznych to:

    • Powodzie UDP. Osoba atakująca wysyła pakiety UDP, zazwyczaj duże, do pojedynczego miejsca docelowego lub do losowych portów. Systemy atakujące mogą łatwo fałszować swój adres IP, ponieważ UDP jest bez połączenia.
    • Powodzie wzmacniania. Serwer DNS jest przytłoczony pozornie uzasadnionymi żądaniami usługi. Celem osoby atakującej jest nasycenie usługi DNS przez wyczerpanie pojemności przepustowości.
    • Inne podszywane powodzie pakietów. Wysyłanie ogromnych ilości fałszywego ruchu do zasobu.

  • Ataki na protokół. Te ataki dotyczą warstwy 3 lub 4 modelu OSI. Wykorzystują słabość protokołu TCP. Przykładem ataku DDoS opartego na protokole jest powódź TCP SYN, która wykorzystuje część trójkierunkowego uzgadniania. Osoba atakująca wysyła kolejne żądania TCP SYN, ignorując odpowiedź SYN+ACK. Ten atak jest kierowany do celu z celem przeciążenia celu i jego braku odpowiedzi.

  • Ataki na warstwę zasobu (aplikacji). Ataki na zasoby mają na celu "górną" warstwę w modelu OSI, aby zakłócić przesyłanie danych między hostami. Te ataki w warstwie 7 obejmują wykorzystanie protokołu HTTP, ataków polegających na wstrzyknięciu kodu SQL, skryptach między witrynami i innych atakach aplikacji.

Oferty usługi Azure DDoS Protection

Ochrona przed atakami DDoS jest podobna do bezpiecznego i działającego systemu tworzenia kopii zapasowych. Wartość kopii zapasowej w organizacji nie jest oczywista, dopóki nie będzie potrzebna. Ochrona przed atakami DDoS, na przykład kopia zapasowa, zapewnia ograniczenie ryzyka przed potencjalnymi zagrożeniami.

Ochrona infrastruktury przed atakami DDoS

Platforma Azure zapewnia ciągłą ochronę przed atakami DDoS. Ochrona przed atakami DDoS nie przechowuje danych klientów. Bez dodatkowych kosztów usługa Azure DDoS Infrastructure Protection chroni każdą usługę platformy Azure korzystającą z publicznych adresów IPv4 i IPv6. Ta usługa ochrony przed atakami DDoS pomaga chronić wszystkie usługi platformy Azure, w tym usługi typu platforma jako usługa (PaaS), takie jak Azure DNS. Ochrona infrastruktury przed atakami DDoS nie wymaga żadnych zmian konfiguracji użytkownika ani aplikacji.

Usługa Azure DDoS Infrastructure Protection zapewnia:

  • Aktywne monitorowanie ruchu i wykrywanie zawsze włączone. Usługa DDoS Infrastructure Protection monitoruje wzorce ruchu aplikacji przez cały dzień, wyszukując wskaźniki ataków DDoS.
  • Automatyczne ograniczanie ryzyka ataków. Po wykryciu ataku można go wyeliminować.
  • Umowa dotycząca poziomu usług (SLA) dotycząca ochrony infrastruktury przed atakami DDoS, która jest oparta na regionie świadczenia usługi Azure z najlepszą pomocą techniczną.

Usługi działające na platformie Azure są z natury chronione przez domyślną ochronę przed atakami DDoS na poziomie infrastruktury. Jednak ochrona zabezpieczania infrastruktury ma znacznie wyższy próg niż większość aplikacji ma pojemność do obsługi i nie zapewnia telemetrii ani alertów, więc podczas gdy wolumin ruchu może być postrzegany jako nieszkodliwy przez platformę, może to być druzgocące dla aplikacji odbierającej ją.

Dołączając do usługi Azure DDoS Protection, aplikacja otrzymuje dedykowane monitorowanie w celu wykrywania ataków i progów specyficznych dla aplikacji. Usługa będzie chroniona za pomocą profilu, który jest dostrojony do oczekiwanego natężenia ruchu, zapewniając znacznie ściślejszą ochronę przed atakami DDoS.

Azure DDoS Network Protection

Ochrona przed atakami DDoS w sieci zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej.

Poniższa lista zawiera opis funkcji i korzyści z ochrony sieci przed atakami DDoS:

  • Ochrona 100 zasobów publicznych adresów IP.
  • Zapewnia ona inteligentne profilowanie ruchu, które poznasz w następnej lekcji.
  • Zapewnia natywną integrację z witryną Azure Portal na potrzeby instalacji i wdrażania. Ten poziom integracji umożliwia usłudze DDoS Protection identyfikowanie zasobów platformy Azure i ich konfiguracji.
  • Gdy ochrona sieci przed atakami DDoS jest włączona dla sieci wirtualnej, wszystkie zasoby w tej sieci są automatycznie chronione. Nie jest wymagana żadna inna procedura administracyjna.
  • Zasoby sieciowe są w ramach ciągłego monitorowania ruchu w celu wskazania ataku DDoS. Po wykryciu usługa DDoS Network Protection interweniuje i automatycznie ogranicza atak.
  • Pomaga zabezpieczyć warstwy 3 i 4 w warstwie sieciowej. Zapewnia również ochronę aplikacji (warstwa 7) za pomocą usługi Azure Web Application Firewall, która jest dołączona do usługi Azure Gateway. Ponieważ usługa Azure Gateway i zapora aplikacji internetowej są połączone z Internetem, usługa DDoS Protection chroni swoje interfejsy sieciowe. Ta strategia ochrony to przykład ochrony wielowarstwowej lub ochrony w głębi systemu.
  • Udostępnia szczegółowe raporty analityczne dotyczące ataków podczas ataku w pięciominutowych odstępach czasu oraz raport po wykonaniu akcji w celu pełnego podsumowania zdarzenia po zakończeniu ataku.
  • Obejmuje ona obsługę integracji dzienników ograniczania ryzyka z Microsoft Defender dla Chmury, Microsoft Sentinel lub systemem zarządzania informacjami i zdarzeniami zabezpieczeń w trybie offline (SIEM) na potrzeby monitorowania niemal w czasie rzeczywistym podczas ataku.
  • Usługa Azure Monitor zbiera dane telemetryczne monitorowania z usługi DDoS Network Protection w celu uzyskania dostępu do podsumowanych metryk ataku.

Azure DDoS IP Protection

Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne co usługa DDoS Network Protection, ale różnią się następującymi usługami dodawanymi do wartości:

  • Obsługa szybkiego reagowania na atak DDoS
  • Ochrona kosztów
  • Rabaty na zaporę aplikacji internetowej.

Usługi dodane do wartości

Gwarancja kosztów i obsługa szybkiego reagowania DDoS to dwie inne ważne funkcje ochrony sieci przed atakami DDoS.

Gwarancja kosztów

Na początku ataku DDoS wzrost przepustowości sieci i/lub skalowania w górę liczby maszyn wirtualnych często wyzwala automatyczne skalowanie w poziomie usługi działającej na platformie Azure.

Uwaga

Klienci, którzy są dołączani do usługi DDoS Protection, otrzymują środki na usługi dla kosztów skalowania aplikacji w poziomie i przepustowości sieci, które są naliczane podczas udokumentowanego ataku DDoS. Firma Microsoft bezpośrednio zapewnia te środki.

Obsługa szybkiego reagowania na atak DDoS

Firma Microsoft utworzyła zespół szybkiego reagowania ds. ochrony przed atakami DDoS Protection. Możesz skontaktować się z tym zespołem, aby uzyskać pomoc podczas ataku DDoS i poprosić o analizę po ataku. Zespół szybkiego reagowania na atak DDoS Protection jest zgodny z modelem obsługi szybkiego reagowania na platformę Azure.

Możesz powiadomić zespół, otwierając wniosek o pomoc techniczną w witrynie Azure Portal. Skontaktuj się z zespołem, jeśli:

  • Firma planuje zdarzenie wirtualne, które ma znacznie zwiększyć ruch sieciowy.
  • Istnieje atak, który poważnie obniża wydajność chronionego krytycznego systemu biznesowego.
  • Zespół ds. zabezpieczeń określa, że chronione zasoby są atakowane, ale ochrona przed atakami DDoS Nie ogranicza skutecznie ataku.