Общие сведения о защите от атак DDoS Azure уровня "Стандартный"Azure DDoS Protection Standard overview

Распределенные атаки типа "отказ в обслуживании" (DDoS) — это одна из наиболее крупных угроз доступности и безопасности, с которой сталкиваются клиенты, перемещающие свои приложения в облако.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы приложение стало недоступным для обычных пользователей.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Атаку DDoS можно направить на любую конечную точку, публично доступную через Интернет.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Служба "Защита от атак DDoS Azure" обеспечит защиту от атак DDoS, если соблюдаются рекомендации по проектированию приложений.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Служба "Защита от атак DDoS Azure" предоставляет следующие уровни служб.Azure DDoS protection provides the following service tiers:

  • Базовый. Автоматически включается как часть платформы Azure.Basic: Automatically enabled as part of the Azure platform. Постоянный мониторинг трафика и защита от основных сетевых атак в режиме реального времени обеспечивают тот же уровень защиты, как и для веб-служб корпорации Майкрософт.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Для снижения трафика атаки в регионах можно использовать всю глобальную сеть Azure. The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Защита обеспечивается для общедоступных IP-адресов Azure IPv4 и IPv6. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Стандартный. Предоставляет дополнительные возможности через уровень обслуживания Basic, которые разработаны специально для ресурсов виртуальной сети Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Службу "Защита от атак DDoS" уровня "Стандартный" легко включить, и для ее использования не требуется изменять приложение.DDoS Protection Standard is simple to enable, and requires no application changes. Политики защиты корректируются на основе мониторинга выделенного трафика и алгоритмов машинного обучения.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Они применяются к общедоступным IP-адресам, связанным с ресурсами, развернутыми в виртуальных сетях, такими как Azure Load Balancer, Шлюз приложений Azure и экземпляры Azure Service Fabric, но эта защита не применяется к Средам службы приложений.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments. Данные телеметрии доступны в представлениях Azure Monitor в режиме реального времени во время атаки и после ее окончания. Real-time telemetry is available through Azure Monitor views during an attack, and for history. Широкие возможности для анализа устранения рисков атак доступны с помощью параметров диагностики.Rich attack mitigation analytics are available via diagnostic settings. Можно также включить защиту на прикладном уровне с помощью брандмауэра веб-приложения в шлюзе приложений Azure или установки брандмауэра стороннего производителя из Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. Защита обеспечивается для общедоступных IP-адресов Azure IPv4 и IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

Сравнение службы "Защита от атак DDoS Azure" ценовых категорий "Базовый" и Стандартная

Типы атак DDoS, которые можно устранить с помощью защиты от атак DDoS уровня "Стандартный"Types of DDoS attacks that DDoS Protection Standard mitigates

С помощью службы "Защита от атак DDoS" уровня "Стандартный" можно устранить следующие типы атак.DDoS Protection Standard can mitigate the following types of attacks:

  • Объемные атаки: Нацелены на то, чтобы заполнить сетевой уровень значительным объемом сетевого трафика.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Такие атаки включают UDP-флуд, заполнение с усилением и другие типы заполнения с использованием поддельных пакетов.It includes UDP floods, amplification floods, and other spoofed-packet floods. Служба "Защита от атак DDoS" уровня "Стандартный" устраняет влияние таких атак, объем которых может достигать многих гигабайтов, автоматически поглощая и нейтрализуя их на уровне глобальной сети Azure.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Атаки протокола: Эти атаки ухудшить доступность целевого объекта, используя уязвимости в слое 3 и 4 протоколов уровня.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Такие атаки включают SYN-флуд, атаки отражения и другие атаки протокола.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. Служба "Защита от атак DDoS" уровня "Стандартный" позволяет устранить эти атаки, разделяя допустимый и вредоносный трафик путем взаимодействия с клиентом и блокировки вредоносного трафика.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Атаки уровня ресурсов (приложения) : Эти атаки направлены пакеты веб-приложения и стремятся нарушить передачу данных между узлами.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Такие атаки включают в себя нарушение протокола HTTP, атаки путем внедрения кода SQL, межсайтовые сценарии и другие атаки уровня 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Использование шлюза приложений WAF совместно с защитой от атак DDoS уровня "Стандартный" позволяет обеспечить защиту от таких атак.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. На сайте Azure Marketplace доступны брандмауэры веб-приложения от сторонних производителей.There are also third-party web application firewall offerings available in the Azure Marketplace.

Защита от атак DDoS уровня "Стандартный" распространяется на ресурсы в виртуальной сети, включая общедоступные IP-адреса, связанные с виртуальными машинами, подсистемами балансировки нагрузки и шлюзами приложений.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. При объединении с брандмауэром шлюза приложений защита от атак DDoS уровня "Стандартный" может полностью устранить атаки для уровней с 3 по 7.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Возможности защиты от атак DDoS уровня "Стандартный"DDoS Protection Standard features

Возможности защиты от атак DDoS

Возможности защиты от атак DDoS ценовой категории "Стандартный" включают в себя:DDoS Protection Standard features include:

  • Интеграция с собственной платформой. Изначальная интеграция в Azure.Native platform integration: Natively integrated into Azure. Включает в себя настройку на портале Azure.Includes configuration through the Azure portal. Защита от атак DDoS ценовой категории "Стандартный" распознает ваши ресурсы и их конфигурацию.DDoS Protection Standard understands your resources and resource configuration.
  • Моментальная активация защиты. Сразу же после активации защиты от атак DDoS ценовой категории "Стандартный" применяется упрощенная конфигурация, которая позволяет мгновенно защитить все ресурсы виртуальной сети.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. От пользователя не требуется никаких действий или настроек.No intervention or user definition is required. Механизм защиты от атак DDoS ценовой категории "Стандартный" автоматически и мгновенно отразит атаку сразу же после ее обнаружения.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Постоянный мониторинг трафика. Трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. В случае превышения показателей в политиках защиты выполняется устранение рисков.Mitigation is performed when protection policies are exceeded.
  • Адаптивная настройка. Интеллектуального профилирования трафика изучает трафик вашего приложения со временем и выбирает и обновляет профиль, который лучше всего подходит для вашей службы.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Этот профиль корректируется с изменением трафика с течением времени.The profile adjusts as traffic changes over time.
  • Многоуровневая защита: При использовании брандмауэром веб-приложения предоставляется полная комплексная защита от атак DDoS.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Широкий диапазон устраняемых атак. Защита от более чем 60 различных типов известных DDoS-атак, для борьбы с крупнейшими из которых используются все возможности глобальной сети Azure.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Аналитика атаки. Во время атаки вам будут отправляться подробные отчеты с пятиминутными интервалами, а по ее завершении вы получите полную сводку.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Выполняйте потоковую передачу журналов потоков устранения рисков в автономную систему управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить во время атаки мониторинг почти в реальном времени.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Метрики атак. В Azure Monitor доступны обобщенные метрики для каждой атаки.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Оповещения об атаках. Предупреждения могут быть настроены в начале и окончании атаки и во время атаки с использованием встроенных метрик атаки.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Оповещения интегрируются в операционное программное обеспечение, как журналы Microsoft Azure Monitor, Splunk, служба хранилища Azure, электронная почта и портала Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Все затраты включены. Затраты на передачу данных и горизонтальное масштабирование приложения для устранения известных DDoS-атак включены в расценки использования службы.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Устранение атак с помощью защиты от атак DDoS уровня "Стандартный"DDoS Protection Standard mitigation

Служба "Защита от атак DDoS" отслеживает фактическое использование трафика и постоянно сравнивает его с пороговыми значениями, определенными в политике DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. При превышении порогового значения трафика атака DDoS автоматически устраняется.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Когда трафик опускается ниже порогового значения, устранение DDoS-атаки отключается.When traffic returns below the threshold, the mitigation is removed.

Устранение

В процессе устранения атаки служба "Защита от атак DDoS" перенаправляет весь трафик, нацеленный на защищаемый ресурс, и выполняет несколько проверок, включая следующие.During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Проверка соответствия пакетов спецификациям Интернета и проверка правильности пакетов.Ensure packets conform to internet specifications and are not malformed.
  • Взаимодействие с клиентом для определения Если трафик, является ли пакет поддельным (например: SYN Auth или SYN Cookie или путем отбрасывания пакета источник направил его повторно).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Ограничение частоты пакетов, если другой метод применить не удается.Rate-limit packets, if no other enforcement method can be performed.

Служба "Защита от атак DDoS" блокирует трафик атаки и направляет оставшийся трафик в место назначения.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. В течение нескольких минут после обнаружения атаки вы получите оповещение с помощью метрик Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Настроив ведение журналов телеметрии для службы защиты от атак DDoS уровня "Стандартный", вы можете сохранить журналы для последующего анализа.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. В Azure Monitor хранятся данные метрик для службы "Защита от атак DDoS" уровня "Стандартный" за 30 дней.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Корпорация Майкрософт совместно с BreakingPoint Cloud разработала интерфейс, в котором клиенты Azure могут создавать трафик для общедоступных IP-адресов, защищенных от атак DDoS, в целях имитации.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. Имитация BreakPoint Cloud позволит вам:The BreakPoint Cloud simulation allows you to:

  • Проверить, как служба "Защита от атак DDoS Microsoft Azure" уровня "Стандартный" защищает ваши ресурсы Azure.Validate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Оптимизировать процесс реагирования на инциденты во время атаки DDoS.Optimize your incident response process while under DDoS attack
  • Обеспечить соответствие документации по защите от атак DDoS.Document DDoS compliance
  • Обучить команды безопасности сети.Train your network security teams

Дальнейшие действияNext steps