Beskriva Azure DDoS-skydd

  • 4 minuter

Alla företag, stora som små, kan vara mål för en allvarlig nätverksattack. Arten av dessa attacker kan vara att göra ett uttalande, eller att angriparen ville ha en utmaning.

Distribuerade Denial of Service-attacker

Syftet med en DDoS-attack (Distributed Denial of Service) är att överbelasta resurserna på dina program och servrar, vilket gör att de inte svarar eller är långsamma för äkta användare. En DDoS-attack riktar sig vanligtvis mot alla offentliga enheter som kan nås via Internet.

De tre vanligaste typerna av DDoS-attacker är:

  • Volymriska attacker: Det här är volymbaserade attacker som översvämmar nätverksskiktet med till synes legitim trafik, vilket överväldigar den tillgängliga bandbredden. Legitim trafik kan inte komma igenom.
  • Protokollattacker: Protokollattacker gör ett mål otillgängligt genom att uttömma serverresurser med falska protokollbegäranden som utnyttjar svagheter i protokoll på nivå 3 (nätverk) och nivå 4 (transport).
  • Resurs(program)-lagerattacker: Dessa attacker riktar sig mot webbprogrampaket för att störa överföringen av data mellan värdar.

Vad är Azure DDoS Protection?

Azure DDoS Protection-tjänsten är utformad för att skydda dina program och servrar genom att analysera nätverkstrafik och ta bort allt som ser ut som en DDoS-attack.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Azure DDoS Protection-tjänsten skyddar på nivå 3 (nätverksnivå) och lager 4 (transportlager). Viktiga fördelar som tillhandahålls är:

  • Alltid på trafikövervakning: Dina programtrafikmönster övervakas 24 timmar om dygnet, 7 dagar i veckan och letar efter indikatorer för DDoS-attacker. Azure DDoS Protection minimerar omedelbart och automatiskt attacken när den har identifierats. Som en del av åtgärden omdirigeras trafik som skickas till den skyddade resursen av DDoS-skyddstjänsten och flera kontroller utförs. Azure DDoS Protection släpper attacktrafiken och vidarebefordrar den återstående trafiken till det avsedda målet. Inom några minuter efter attackidentifieringen meddelas du med hjälp av Azure Monitor-mått.
  • Anpassningsbar realtidsjustering: Intelligent trafikprofilering lär sig programmets trafik över tid och väljer och uppdaterar den profil som passar bäst för din tjänst. Profilen justeras när trafiken ändras över tid.
  • DDoS Protection-telemetri, övervakning och aviseringar: Azure DDoS Protection exponerar omfattande telemetri via Azure Monitor. Du kan konfigurera aviseringar för något av de Azure Monitor-mått som DDoS Protection använder. Du kan integrera loggning med Azure Event Hubs, Azure Monitor-loggar och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.

Azure DDoS Protection stöder två typer av nivåer, DDoS IP Protection och DDoS Network Protection. Nivån konfigureras i Azure-portalen när du konfigurerar Azure DDoS Protection.

  • DDoS Network Protection: DDoS Network Protection-tjänsten (tillgänglig som en SKU), kombinerad med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk. Protection är enkelt att aktivera i alla nya eller befintliga virtuella nätverk och kräver inga program- eller resursändringar.
  • DDoS IP Protection: DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt eftersom det inte innehåller de mervärdestjänster som DDoS snabbsvarsstöd, kostnadsskydd och rabatter på brandväggen för webbprogram (WAF) som ingår i DDoS Network Protection. En fullständig lista över funktioner och motsvarande nivåer finns i Om jämförelse av Azure DDoS Protection-nivå

En vanlig fråga som ofta tas upp är varför du bör överväga att lägga till DDos Protection-tjänster om tjänster som körs i Azure skyddas av standardskyddet för DDoS på infrastrukturnivå? Orsaken är att skyddet som skyddar infrastrukturen har ett högre tröskelvärde än de flesta program har kapacitet att hantera och inte tillhandahåller telemetri eller aviseringar. Så även om trafikvolymen kan uppfattas som ofarlig av plattformen kan det vara förödande för programmet som tar emot den. Genom att registrera till Azure DDoS Protection Service får programmet dedikerad övervakning för att identifiera attacker och programspecifika tröskelvärden. En tjänst skyddas med en profil som är anpassad till den förväntade trafikvolymen, vilket ger ett hårdare skydd mot DDoS-attacker.

Som tidigare nämnts skyddar Azure DDos Protection på nivå 3 och nivå 4. För skydd av webbprogram på nivå 7 (programskiktet) måste du lägga till skydd på programskiktet med hjälp av ett WAF-erbjudande (Web Application Firewall), som beskrivs i en efterföljande enhet i den här modulen.