Рекомендации по использованию службы "Защита от атак DDoS" уровня "Стандартный"

  • 7 мин

Распределенные атаки типа "отказ в обслуживании" (DDoS) — это одна из наиболее крупных угроз доступности и безопасности, с которой сталкиваются клиенты, перемещающие свои приложения в облако. Целью DDoS-атаки является исчерпание ресурсов приложения, чтобы оно стало недоступным для обычных пользователей. Атаку DDoS можно направить на любую конечную точку, публично доступную через Интернет.

Защита от атак DDoS Azure в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов.

Схема, на которой показан пример архитектуры распределенной защиты от отказов в обслуживании Azure.

Защита от атак DDoS Azure защищает от уровней 3 и 4 сетевых слоев. Для защиты веб-приложений на уровне 7 необходимо добавить защиту на уровне приложений с помощью предложения WAF.

Уровни

Защита сети от атак DDoS

Защита сети DDoS Azure, в сочетании с рекомендациями по проектированию приложений, предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети.

Защита IP-адресов от атак DDoS

Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но будет отличаться в следующих службах: поддержка быстрого реагирования DDoS, защита затрат и скидки на WAF.

Основные возможности

  • Постоянный мониторинг трафика: трафик вашего приложения круглосуточно и ежедневно проверяется на наличие признаков DDoS-атак. Защита от атак DDoS Azure мгновенно отражает атаку сразу после ее обнаружения. Это происходит автоматически.

  • Адаптивная настройка в режиме реального времени: интеллектуальное профилирование трафика изучает трафик приложения с течением времени и выбирает и обновляет профиль, наиболее подходящий для вашей службы. Этот профиль корректируется с изменением трафика с течением времени.

  • Аналитика защиты от атак DDoS, метрики и оповещения. Защита от атак DDoS Azure применяет три автоматически настроенных политики устранения рисков (TCP SYN, TCP и UDP) для каждого общедоступного IP-адреса защищенного ресурса в виртуальной сети с включенным DDoS. Пороговые значения политики настраиваются автоматически через профилирование сетевого трафика на основе машинного обучения. Устранение атак DDoS выполняется для атакованного IP-адреса, только если превышены пороговые значения политики.

    • Аналитика атак: во время атаки вам будут отправляться подробные отчеты с пятиминутными интервалами, а по ее завершении вы получите полную сводку. Выполняйте потоковую передачу журналов потоков устранения рисков в Microsoft Sentinel или в автономную систему управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить во время атаки мониторинг почти в реальном времени.
    • Метрики атак. В Azure Monitor доступны обобщенные метрики для каждой атаки.
    • Оповещения об атаках. Вы можете настроить оповещения в начале, конце и на протяжении атаки, используя встроенные метрики атаки. Оповещения интегрируются в операционное программное обеспечение, такое как Microsoft Azure Monitor, Splunk, служба хранилища Azure, программы для работы с электронной почтой и портал Azure.

  • Быстрый ответ Azure DDoS: во время активной атаки клиенты имеют доступ к группе быстрого реагирования DDoS (DRR), которые могут помочь в расследовании атак во время атаки и анализа после атаки.

  • Интеграция с собственной платформой: изначальная интеграция в Azure. Включает в себя настройку на портале Azure. Защита от атак DDoS Azure понимает ресурсы и конфигурацию ресурсов.

  • Защита от ключа. Упрощенная конфигурация немедленно защищает все ресурсы виртуальной сети сразу после включения защиты сети от атак DDoS. От пользователя не требуется никаких действий или настроек. Аналогичным образом упрощенная конфигурация немедленно защищает ресурс общедоступного IP-адреса при включении защиты IP-адресов DDoS.

  • Многоуровневая защита: при развертывании с брандмауэром веб-приложения (WAF), защита от атак DDoS Azure защищает как на сетевом уровне (уровень 3 и 4, предлагаемый Службой защиты от атак DDoS Azure), так и на уровне приложений (уровень 7, предлагаемый WAF).

  • Широкий масштаб устранения рисков: все векторы атак L3/L4 могут быть устранены с глобальной емкостью для защиты от крупнейших известных атак DDoS.

  • Гарантия стоимости: Получите кредит на передачу данных и горизонтальное масштабирование приложений по кредиту для покрытия затрат на ресурсы в результате документированных атак DDoS.

Архитектура

Защита от атак DDoS Azure предназначена для служб, развернутых в виртуальной сети. Для других служб применяется защита от атак DDoS на уровне инфраструктуры по умолчанию, которая обеспечивает защиту от распространенных атак сетевого уровня.

Цены

Для защиты сети DDoS в клиенте один план защиты от атак DDoS можно использовать в нескольких подписках, поэтому не требуется создавать более одного плана защиты от атак DDoS. Для защиты IP-адресов DDoS не требуется создавать план защиты от атак DDoS. Клиенты могут включить защиту IP-адресов DDoS на любом ресурсе общедоступного IP-адреса.

Рекомендации

Чтобы повысить эффективность стратегии защиты от атак DDoS и устранения рисков, выполните следующие рекомендации.

  • Проектирование приложений и инфраструктуры с учетом избыточности и устойчивости.
  • Реализуйте многоуровневый подход к безопасности, включая сетевую, приложение и защиту данных.
  • Подготовьте план реагирования на инциденты, чтобы обеспечить скоординированный ответ на атаки DDoS.