Azure DDoS Koruması hakkında sık sorulan sorular

Dağıtılmış hizmet reddi veya DDoS, bir saldırganın uygulamaya işleme yeteneğinden daha fazla istek gönderdiği bir saldırı türüdür. Sonuçta elde edilen etki, uygulamanın kullanılabilirliğini ve müşterilerine hizmet verme becerisini etkileyen kaynakların tükenmiş olmasıdır. Son birkaç yılda, sektör saldırılarda keskin bir artış gözlemlemiştir ve saldırılar daha karmaşık ve daha büyük hale gelmiştir. DDoS saldırıları, İnternet üzerinden genel olarak erişilebilen herhangi bir uç noktaya hedeflenebilir.

Azure DDoS Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır. Tüm yeni veya mevcut sanal ağlarda korumayı etkinleştirmek basit bir işlemdir ve uygulama veya kaynak değişikliği gerektirmez. Daha fazla bilgi için bkz . Azure DDoS Koruması'ne genel bakış. 

DDoS koruma planlarında en fazla 100 genel IP adresini kapsayan sabit bir aylık ücret vardır. Ek kaynaklar için koruma sağlanır.

Bir kiracı altında tek bir DDoS koruma planı birden çok abonelikte kullanılabilir, bu nedenle birden fazla DDoS koruma planı oluşturmanız gerekmez.

WAF ile Application Gateway DDoS korumalı bir sanal ağa dağıtıldığında WAF için ek ücret alınmaz; Application Gateway için WAF olmayan daha düşük bir ücret ödersiniz. Bu ilke hem Application Gateway v1 hem de v2 SKU'ları için geçerlidir.

Fiyatlandırma ve diğer ayrıntılar için bkz . Azure DDoS Koruması fiyatlandırması .

15'ten az genel IP kaynağını korumanız gerekiyorsa, IP Koruması katmanı daha uygun maliyetli bir seçenektir. Korumanız gereken 15'ten fazla genel IP kaynağınız varsa Ağ Koruması katmanı daha uygun maliyetlidir. Ağ Koruması ayrıca DDoS Koruması Hızlı Yanıt (DRR), maliyet koruma garantileri ve Web Uygulaması Güvenlik Duvarı (WAF) indirimleri gibi ek özellikler de sunar.

Evet. Azure DDoS Koruması varsayılan olarak bölgeye dayanıklıdır.

Bölge dayanıklılığını etkinleştirmek için müşteri yapılandırması gerekmez. Azure DDoS Koruması kaynakları için bölge dayanıklılığı varsayılan olarak kullanılabilir ve hizmetin kendisi tarafından yönetilir.

Müşteriler Azure DDoS Koruma hizmetini hem ağ katmanında (Azure DDoS Koruması tarafından sunulan Katman 3 ve 4) hem de uygulama katmanında (WAF tarafından sunulan Katman 7) koruma amacıyla Web Uygulaması Güvenlik Duvarı (WAF) ile birlikte kullanabilir. WAF teklifleri, Azure Application Gateway WAF SKU'su ve Azure Market kullanılabilir üçüncü taraf web uygulaması güvenlik duvarı tekliflerini içerir.

Azure'da çalışan hizmetler, varsayılan altyapı düzeyinde DDoS koruması tarafından doğal olarak korunur. Ancak, altyapıyı koruyan koruma, çoğu uygulamanın işleme kapasitesine sahip olduğundan çok daha yüksek bir eşiğe sahiptir ve telemetri veya uyarı sağlamaz, bu nedenle bir trafik hacmi platform tarafından zararsız olarak algılanabilir, ancak bunu alan uygulama için yıkıcı olabilir.

Uygulama, Azure DDoS Koruma Hizmeti'ne eklenerek saldırıları ve uygulamaya özgü eşikleri algılamak için ayrılmış izleme alır. Bir hizmet, beklenen trafik hacmine göre ayarlanmış bir profille korunarak DDoS saldırılarına karşı çok daha sıkı bir savunma sağlar.

ARM tabanlı VNET'lerdeki genel IP'ler şu anda tek korumalı kaynak türüdür. Korumalı kaynaklar arasında IaaS VM'sine bağlı genel IP'ler, Yük Dengeleyici (Klasik ve Standart Load Balancer), Application Gateway (WAF dahil), Güvenlik Duvarı, Bastion, VPN Gateway, Service Fabric veya IaaS tabanlı Ağ Sanal Gereci (NVA) bulunur. Koruma ayrıca Özel IP Ön Ekleri (BYOIPs) aracılığıyla Azure'a getirilen genel IP aralıklarını da kapsar.

Sınırlamalar hakkında bilgi edinmek için bkz . Azure DDoS Koruması başvuru mimarileri.

Önizlemede yalnızca ARM tabanlı korumalı kaynaklar desteklenir. Klasik/RDFE dağıtımlarındaki VM'ler desteklenmez. Şu anda Klasik/RDFE kaynakları için destek planlanmıyor. Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.

Çok kiracılı, tek VIP PaaS hizmetlerine bağlı genel IP'ler şu anda desteklenmemektedir. Desteklenmeyen kaynaklara örnek olarak Depolama VIP'ler, Event Hubs VIP'leri ve App/Cloud Services uygulamaları verilebilir. Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.

DDoS korumasının etkinleştirilmesi için hizmetinizin Azure'daki bir sanal ağ ile ilişkilendirilmiş genel uç noktalarına sahip olmanız gerekir. Örnek tasarımlar şunlardır:

• Azure'daki web siteleri (IaaS) ve şirket içi veri merkezinde arka uç veritabanları.
• Azure'da Application Gateway (App Gateway/WAF'de etkinleştirilen DDoS koruması) ve şirket içi veri merkezlerindeki web siteleri.

Daha fazla bilgi için bkz . Azure DDoS Koruması başvuru mimarileri.

Genel IP senaryolarında DDoS Koruması hizmeti, ilişkili Genel IP'nin Azure'da barındırıldığı sürece ilişkili etki alanının nerede kaydedildiğine veya barındırıldığına bakılmaksızın tüm uygulamaları destekler.

Hayır, ne yazık ki ilke özelleştirmesi şu anda kullanılamıyor.

Hayır, ne yazık ki el ile yapılandırma şu anda kullanılamıyor.

Simülasyonlar aracılığıyla test etme bölümüne bakın.

Ölçümler portalda 5 dakika içinde görünür olmalıdır. Kaynağınız saldırı altındaysa, diğer ölçümler 5-7 dakika içinde portalda gösterilmeye başlar.

Hayır, Azure DDoS koruması müşteri verilerini depolamaz.

Tek bir VM'nin genel IP'nin arkasında çalıştığı senaryolar desteklenir ancak önerilmez. DDoS saldırısı algılandığında DDoS azaltması anında başlatılamayabilir. Sonuç olarak, ölçeği genişletememe özelliğine sahip tek bir VM dağıtımı bu gibi durumlarda azaltılır. Daha fazla bilgi için bkz . Temel en iyi yöntemler.