Часто задаваемые вопросы о Защите от атак DDoS Azure (цен. категория "Стандартный")

В этой статье содержатся ответы на часто задаваемые вопросы о Защите от атак DDoS Azure (цен. категория "Стандартный").

Что такое распределенные атаки типа "отказ в обслуживании" (DDoS)?

Распределенные атаки типа "отказ в обслуживании", или DDoS, — это тип атаки, при которой злоумышленник отправляет приложению больше запросов, чем оно может обработать. В результате ресурсы заканчиваются, что влияет на доступность приложения и возможность обслуживания клиентов. В последние несколько лет в отрасли наблюдается резкое увеличение числа атак. Более того, эти атаки стали более сложными и масштабными. DDoS-атаку можно направить на любую конечную точку, публично доступную через Интернет.

Что такое Защита от атак DDoS Azure (цен. категория "Стандартный")?

Защита от атак DDoS Azure уровня "Стандартный", в сочетании с рекомендациями по проектированию приложений, предоставляет улучшенные функции предотвращения атак DDoS для защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов. Подробные сведения см. в обзоре Защиты от атак DDoS Azure (цен. категория "Стандартный")

Как действуют цены?

Планы защиты от атак DDoS имеют фиксированную ежемесячную стоимость, и защитить можно до 100 общедоступных IP-адресов. Доступна защита для дополнительных ресурсов.

Один арендатор может использовать один план защиты от атак DDoS в нескольких подписках, поэтому создавать более одного плана защиты от атак DDoS нет необходимости.

Если Шлюз приложений с WAF развертывается в защищенной от атак DDoS виртуальной сети, дополнительная плата за WAF не взимается — вы платите за Шлюз приложений по более низкому тарифу без учета WAF. Эта политика относится к Шлюзам приложений версии 1 и 2.

Дополнительные сведения см. на странице цен на Защиту от атак DDoS Azure (цен. категория "Стандартный").

Эта служба является устойчивой в пределах зоны?

Да. Защита от атак DDoS Azure по умолчанию является устойчивой в пределах зоны.

Как настроить службу, чтобы она была устойчивой в пределах зоны?

Чтобы включить устойчивость зоны, настройка со стороны клиента не требуется. Устойчивость в пределах зоны для ресурсов Защиты от атак DDoS Azure доступна по умолчанию и управляется самой службой.

Какая защита предоставляется на уровне служб (уровень 7)?

Клиенты могут использовать Защиту от атак DDoS Azure в сочетании с брандмауэром веб-приложений (WAF) для защиты как на уровне сети (уровень 3 и 4, предлагаемый в рамках Защиты от атак DDoS Azure (цен. категории "Стандартный")), так и на уровне приложений (уровень 7, предлагаемый WAF). Предложения WAF включают ценовую категорию WAF шлюза приложений Azure и предложения брандмауэра веб-приложений сторонних производителей, доступные в Azure Marketplace.

Без этого решения службы в Azure не защищены?

Службы, работающие в Azure, по умолчанию защищены от атак DDoS на уровне инфраструктуры. Тем не менее эта защита имеет более высокий порог по объему трафика, чем способно обработать большинство приложений, и не предоставляет телеметрию или предупреждения, поэтому несмотря на то, что определенный объем трафика может считаться безвредным, он способен нарушить работу приложения.

При подключении к Защите от атак DDoS Azure (цен. категория "Стандартный") приложение получает выделенный мониторинг для обнаружения атак и пороги, настроенные конкретно для этого приложения. Служба будет защищена с помощью профиля, настроенного на ожидаемый объем трафика, что обеспечивает более эффективную защиту от атак DDoS.

Какие типы защищенных ресурсов поддерживаются?

В настоящее время поддерживают только общедоступные IP-адреса в виртуальных сетях на базе ARM. К числу защищенных ресурсов относятся общедоступные IP-адреса, присоединенные к виртуальной машине IaaS, подсистеме балансировки нагрузки (классической или стандартной), кластеру шлюза приложений (включающего WAF), брандмауэру, бастиону, VPN-шлюзу, платформе Service Fabric или сетевому виртуальному модулю на основе IaaS. Защита также охватывает диапазоны общедоступных IP-адресов, перенесенные в Azure с помощью префиксов пользовательских IP-адресов (BYOIP).

Службы PaaS (несколько арендаторов) сейчас не поддерживаются. Дополнительные сведения см. в статье Эталонные архитектуры Защиты от атак DDoS Azure (цен. категория "Стандартный").

Поддерживаются ли классические/RDFE защищенные ресурсы?

В предварительной версии поддерживаются только защищенные ресурсы на основе ARM. Виртуальные машины в классических/RDFE-развертываниях не поддерживаются. В настоящее время поддержка классических/RDFE-ресурсов не планируется. Дополнительные сведения см. в статье Эталонные архитектуры Защиты от атак DDoS Azure (цен. категория "Стандартный").

Можно ли защитить ресурсы PaaS с помощью Защиты от атак DDoS?

Общедоступные IP-адреса, подключенные к мультитенатным службам PaaS, сейчас не поддерживаются. Примеры неподдерживаемых ресурсов включают виртуальные IP-адреса службы хранилища, виртуальные IP-адреса Центров событий и приложения Служб приложения/Облачных служб. Дополнительные сведения см. в статье Эталонные архитектуры Защиты от атак DDoS Azure (цен. категория "Стандартный").

Можно ли защитить локальные ресурсы с помощью Защиты от атак DDoS?

Чтобы включить Защиту от атак DDoS, вам нужны общедоступные конечные точки службы, связанные с виртуальной сетью в Azure. Примеры проектов

  • Веб-сайты (IaaS) в Azure и серверные базы данных в локальном центре обработки данных.
  • Шлюз приложений в Azure (Защита от атак DDoS, включенная в Шлюзе приложений или WAF) и веб-сайты в локальных центрах обработки данных.

Дополнительные сведения см. в статье Эталонные архитектуры Защиты от атак DDoS Azure (цен. категория "Стандартный").

Можно ли зарегистрировать домен за пределами Azure и связать его с защищенным ресурсом, например с виртуальной машиной или ELB?

При использовании общедоступных IP-адресов Защита от атак DDoS будет поддерживать любое приложение независимо от того, где зарегистрирован или размещен связанный домен, если соответствующий общедоступный IP-адрес размещен в Azure.

Можно ли вручную настроить политику атак DDoS, применяемую к виртуальным сетям или общедоступным IP-адресам?

Нет. К сожалению, в данный момент настройка политики невозможна.

Можно ли использовать список разрешений или список блокировок для конкретных IP-адресов?

Нет, к сожалению, в данный момент ручная настройка невозможно.

Как протестировать Защиту от атак DDoS?

Сколько времени занимает загрузка метрик на портал?

Метрики должны отображаться на портале в течение 5 минут. Если ресурс находится под угрозой, другие метрики начнут отображаться на портале в течение 5–7 минут.

Хранит ли служба данные клиентов?

Нет. Защита от атак DDoS Azure не хранит данные клиента.

Поддерживается ли развертывание одной виртуальной машины за общедоступным IP-адресом?

Сценарии, в которых одиночная виртуальная машина работает за общедоступным IP-адресом, не поддерживаются. Устранение рисков DDoS может не инициироваться мгновенно при обнаружении атаки DDoS. В результате развертывание одной виртуальной машины, которое не может масштабироваться, в таких случаях завершится.