Descrição geral do padrão de proteção contra DDoS do AzureAzure DDoS Protection Standard overview

Os ataques de Denial of Service distribuído (DDoS) são algumas das maiores preocupações de disponibilidade e segurança relativamente aos clientes que estão a mover as suas aplicações para a cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Um ataque de DDoS tenta esgotar os recursos de uma aplicação, tornando a aplicação indisponível para legitimar utilizadores.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

A proteção contra DDoS do Azure, juntamente com práticas recomendadas do design de aplicativo, fornecer defesa contra ataques DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. A proteção contra DDoS do Azure fornece os escalões de serviço seguintes:Azure DDoS protection provides the following service tiers:

  • Básico: Ativada automaticamente como parte da plataforma do Azure.Basic: Automatically enabled as part of the Azure platform. Monitorização de tráfego sempre ativa e em tempo real mitigação de ataques de nível de rede comuns, fornecem as mesmas defesas utilizadas pelos serviços online da Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. O dimensionamento da rede global do Azure pode ser utilizado para distribuir e reduzir o tráfego de ataque em várias regiões. The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Proteção é fornecida para IPv4 e IPv6 Azure endereços IP públicos. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Padrão: Fornece capacidades de mitigação adicionais sobre o escalão de serviço básico que são ajustados especificamente para os recursos de rede Virtual do Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Padrão de proteção de DDoS é simples para ativar e requer sem alterações de aplicação.DDoS Protection Standard is simple to enable, and requires no application changes. As políticas de proteção são otimizadas através da monitorização do tráfego dedicado e algoritmos de machine learning.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. As políticas são aplicadas para endereços IP públicos associados a recursos implementados em redes virtuais, como o Balanceador de carga do Azure, o Gateway de aplicação do Azure e instâncias do Azure Service Fabric, mas esta proteção não é aplicável a ambientes de serviço de aplicações.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments. Telemetria em tempo real está disponível através do Azure monitorizar vistas de durante um ataque e para o histórico. Real-time telemetry is available through Azure Monitor views during an attack, and for history. Análise de mitigação de ataque de rich está disponível através das definições de diagnóstico.Rich attack mitigation analytics are available via diagnostic settings. Proteção de camada de aplicativo pode ser adicionada através da Firewall de aplicação de Web do Gateway de aplicação do Azure ou instalando uma firewall de terceiros 3º do Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. Proteção é fornecida para IPv4 e IPv6 Azure endereços IP públicos.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

Vs básica de proteção contra DDoS do Azure. Standard

Tipos de ataques de DDoS mitiga de DDoS Protection padrãoTypes of DDoS attacks that DDoS Protection Standard mitigates

Padrão de proteção de DDoS capazes de atenuar os seguintes tipos de ataques:DDoS Protection Standard can mitigate the following types of attacks:

  • Ataques volumetric: O objetivo do ataque é inundar da camada de rede com uma quantidade substancial de tráfego aparentemente legítimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Ele inclui inundações UDP, inundações de amplificação e outras inundações de pacote falsificado.It includes UDP floods, amplification floods, and other spoofed-packet floods. Padrão de proteção de DDoS atenua esses potenciais ataques de gigabytes multi, absorver e limpeza, com o dimensionamento de rede global do Azure, automaticamente.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Ataques de protocolo: Esses ataques compor um destino inacessível, através da exploração de um ponto fraco na camada 3 e a pilha de protocolo 4 de camada.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Ele inclui, ataques de inundação SYN, ataques de reflexão e outros ataques de protocolo.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. Padrão de proteção contra DDoS mitiga esses ataques, diferenciar entre o tráfego mal-intencionado e legítimo, ao interagir com o cliente e a bloquear tráfego malicioso.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Ataques de camada de recursos (aplicação) : Esses ataques pacotes de aplicação web, para interromper a transmissão de dados entre anfitriões de destino.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Os ataques incluem HTTP violações de protocolo, SQL injeção, scripts entre sites e outros ataques de camada 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Utilizar o Azure firewall de aplicações do Gateway de aplicação web, com DDoS Protection padrão, para fornecer defesa contra esses ataques.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Também existem ofertas de firewall de aplicação web de terceiros disponíveis na do Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

Padrão de proteção contra DDoS protege os recursos numa rede virtual, incluindo endereços IP públicos associados a máquinas virtuais, balanceadores de carga e gateways de aplicação.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Quando em conjunto com a firewall de aplicações web do Gateway de aplicação, DDoS Protection padrão pode fornecer completa camada 3 a 7 capacidade de mitigação de camada.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Recursos padrão de proteção DDoSDDoS Protection Standard features

Funcionalidade de DDoS

Funcionalidades padrão do DDoS Protection incluem:DDoS Protection Standard features include:

  • Integração de plataforma nativa: Integrado de forma nativa no Azure.Native platform integration: Natively integrated into Azure. Inclui a configuração através do portal do Azure.Includes configuration through the Azure portal. Padrão de proteção contra DDoS compreende os recursos e a configuração do recurso.DDoS Protection Standard understands your resources and resource configuration.
  • Proteção de chave na mão: Configuração simplificada protege imediatamente todos os recursos numa rede virtual assim que o padrão de proteção contra DDoS está ativada.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Nenhuma definição de utilizador ou intervenção é necessária.No intervention or user definition is required. Padrão de proteção de DDoS instantaneamente mitiga e automática o ataque, assim que este é detetado.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitorização de tráfego sempre ativa: Os padrões de tráfego de aplicativo são monitorizados 24 horas por dia, 7 dias por semana, à procura de indicadores de ataques de DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Atenuação é executada quando as políticas de proteção são excedidas.Mitigation is performed when protection policies are exceeded.
  • Otimização adaptável: A criação de perfis de tráfego inteligente aprende o tráfego da aplicação ao longo do tempo e seleciona e atualiza o perfil que é mais adequado para o seu serviço.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. O perfil ajusta à medida tráfego muda ao longo do tempo.The profile adjusts as traffic changes over time.
  • Proteção em várias camadas: Fornece proteção contra DDoS de pilha completa, quando utilizado com uma firewall de aplicações web.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Escala de atenuação extenso: Mais de 60 tipos de ataques diferentes podem ser atenuados com capacidade global, para proteger contra os ataques de DDoS conhecidos maior.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Análise de ataque: Obtenha relatórios detalhados, em incrementos de cinco minutos durante um ataque, bem como um resumo completo após o ataque.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Stream atenuação registos de fluxo para uma gestão de eventos e informação de segurança offline sistema (SIEM) para a monitorização em tempo real durante um ataque em tempo quase.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Métricas de ataque: Métricas resumidas de cada ameaça são acessíveis através do Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alertas de ataque: Alertas podem ser configurados no início e paragem de um ataque e ao longo da duração do ataque, uso de métricas de ataque incorporada.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Alertas de integrar o seu software operacional, como o Microsoft Azure Monitor registos, Splunk, armazenamento do Azure, E-Mail e o portal do Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Garantia de custo: Transferência de dados e aplicações créditos de serviço de escalamento horizontal para ataques de DDoS documentados.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigação de DDoS Protection padrãoDDoS Protection Standard mitigation

Padrão de proteção de DDoS monitoriza a utilização de tráfego real e compara-constantemente contra os limiares definidos na política de DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Quando for excedido o limiar de tráfego, mitigação de DDoS é iniciada automaticamente.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Quando o tráfego retorna abaixo do limiar, a atenuação é removida.When traffic returns below the threshold, the mitigation is removed.

Mitigação

Durante a redução de tráfego enviado para o recurso protegido é redirecionado pelo serviço de proteção de DDoS e diversas verificações são realizadas, tais como as seguintes verificações:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Certifique-se de que pacotes estão em conformidade com as especificações de internet e não tem um formato incorreto.Ensure packets conform to internet specifications and are not malformed.
  • Interagir com o cliente para determinar se o tráfego é, potencialmente, um pacote falsificado (por exemplo: Autenticação de SYN ou o Cookie de SYN ou soltando um pacote para a origem retransmiti-lo).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Pacotes de limite de taxa, se nenhum outro método de imposição podem ser executadas.Rate-limit packets, if no other enforcement method can be performed.

Proteção contra DDoS bloqueia o tráfego de ataque e reencaminha o tráfego restante para o destino pretendido.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Em poucos minutos de detecção de ataque, será notificado com métricas do Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Ao configurar o início de sessão telemetria DDoS Protection padrão, pode escrever os registos para as opções disponíveis para análise futura.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Dados de métrica no Azure Monitor para o DDoS Protection Standard são retidos durante 30 dias.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft associou BreakingPoint Cloud para criar uma interface onde pode gerar tráfego em relação a ativar a proteção de DDoS os endereços IP públicos para simulações.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. A simulação de ponto de interrupção Cloud permite-lhe:The BreakPoint Cloud simulation allows you to:

  • Validar a como o Microsoft Azure DDoS Protection Standard protege os recursos do Azure contra ataques DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Otimizar seu processo de resposta a incidentes mesmo sob ataque de DDoSOptimize your incident response process while under DDoS attack
  • Conformidade de DDoS de documentoDocument DDoS compliance
  • Preparar as suas equipes de segurança de redeTrain your network security teams

Passos SeguintesNext steps