Azure DDoS koruması standardına genel bakışAzure DDoS Protection Standard overview

Dağıtılmış hizmet engelleme (DDoS) saldırıları, uygulamalarını buluta taşıyan müşterilerin karşılaştığı en büyük kullanılabilirlik ve güvenlik sorunlarından biridir.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. DDoS saldırıları, bir uygulamanın kaynaklarını tüketerek uygulamanın geçerli kullanıcılar için kullanılamaz duruma gelmesini amaçlar.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. DDoS saldırıları internet üzerinden genel olarak erişilebilen herhangi bir uç noktasını hedefleyebilir.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure DDoS koruması, uygulama tasarımı en iyi uygulamaları ile birlikte, DDoS saldırılarına karşı savunma sağlar.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. Azure DDoS koruması aşağıdaki hizmet katmanlarını sağlar:Azure DDoS protection provides the following service tiers:

  • Temel: Azure platformunun bir parçası olarak otomatik olarak etkinleştirilir.Basic: Automatically enabled as part of the Azure platform. Her zaman açık trafik izleme ve ortak ağ düzeyinde saldırıları gerçek zamanlı azaltma, Microsoft 'un çevrimiçi hizmetler tarafından kullanılan savunmaları sağlar.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Azure 'un genel ağının tüm ölçeklendirilmesi, bölgeler arasında saldırı trafiğini dağıtmak ve azaltmak için kullanılabilir. The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. IPv4 ve IPv6 Azure genel IP adresleriiçin koruma sağlanır. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standart: Azure sanal ağ kaynakları için özel olarak ayarlanan temel hizmet katmanı üzerinden ek risk azaltma özellikleri sağlar.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS koruma standardının etkinleştirilmesi kolaydır ve uygulama değişikliği gerektirmez.DDoS Protection Standard is simple to enable, and requires no application changes. Koruma ilkeleri adanmış trafik izleme ve makine öğrenimi algoritmalarıyla düzenlenir.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. İlkeler, Azure Load Balancer, Azure Application Gateway ve Azure Service Fabric örnekleri gibi sanal ağlarda dağıtılan kaynaklarla ilişkili genel IP adreslerine uygulanır, ancak bu koruma App Service ortamları için uygulanmaz.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments. Gerçek zamanlı telemetri, bir saldırı sırasında Azure Izleyici görünümleri ve geçmiş için kullanılabilir. Real-time telemetry is available through Azure Monitor views during an attack, and for history. Tanılama ayarları aracılığıyla zengin saldırı risk azaltma analizlerine ulaşılabilir.Rich attack mitigation analytics are available via diagnostic settings. Uygulama katmanı koruması, azure Application Gateway Web uygulaması güvenlik duvarı aracılığıyla veya Azure Marketi 'nden üçüncü taraf güvenlik duvarı yükleyerek eklenebilir.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. IPv4 ve IPv6 Azure genel IP adresleriiçin koruma sağlanır.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
ÖzellikFeature DDoS koruması temelDDoS Protection Basic DDoS koruma standardıDDoS Protection Standard
Etkin trafik izleme & her zaman algılamaActive traffic monitoring & always on detection EvetYes EvetYes
Otomatik saldırı azaltmalarıAutomatic attack mitigations EvetYes EvetYes
Kullanılabilirlik garantisiAvailability guarantee Azure BölgesiAzure Region UygulamaApplication
Risk azaltma ilkeleriMitigation policies Azure trafik bölgesi birimi için ayarlandıTuned for Azure traffic region volume Uygulama trafiği birimi için ayarlanmışTuned for application traffic volume
Ölçümler ve uyarılarMetrics & alerts HayırNo Azure izleyici ile gerçek zamanlı saldırı ölçümleri & tanılama günlükleriReal time attack metrics & diagnostic logs via Azure monitor
Risk azaltma raporlarıMitigation reports HayırNo Saldırı sonrası risk azaltma raporlarıPost attack mitigation reports
Risk azaltma akış günlükleriMitigation flow logs HayırNo SıEM tümleştirmesi için NRT günlük akışıNRT log stream for SIEM integration
Geçiş ilkesi özelleştirmeleriMigration policy customizations HayırNo DDoS uzmanlarına katılınEngage DDoS Experts
DestekSupport En iyi çabaBest effort Etkin bir saldırı sırasında DDoS uzmanlarına erişimAccess to DDoS Experts during an active attack
SLASLA Azure BölgesiAzure Region Uygulama garantisi & maliyet korumasıApplication guarantee & cost protection
FiyatlandırmaPricing ÜcretsizFree Aylık & kullanımı tabanlıMonthly & usage based

DDoS koruması standart azaltmalarına sahip DDoS saldırıları türleriTypes of DDoS attacks that DDoS Protection Standard mitigates

DDoS koruma standardı aşağıdaki tür saldırıları hafifletmenize yardımcı olabilir:DDoS Protection Standard can mitigate the following types of attacks:

  • Volumetric saldırıları: saldırının hedefi, ağ katmanını önemli miktarda meşru trafik ile taşmaktır.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Bu, UDP floods, yükseltme floods ve diğer sahte paket floods içerir.It includes UDP floods, amplification floods, and other spoofed-packet floods. DDoS koruma standardı, bu potansiyel çok gigabaytlık saldırıları, Azure 'un küresel ağ ölçeklendirilmesi ve bunları otomatik olarak yaparak, bu olası çok kiracılı saldırıları azaltır.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Protokol saldırıları: Bu saldırılar, katman 3 ve katman 4 protokol yığınındaki zayıf bir durumu kötüye vererek bir hedefi işlemez.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Bu, SYN taşma saldırıları, yansıma saldırıları ve diğer protokol saldırıları içerir.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. DDoS koruması standardı, bu saldırıları azaltır, istemciyle etkileşime girerek ve kötü amaçlı trafiği engelleyerek kötü amaçlı ve meşru trafik arasında ayrım gerçekleştirebilir.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Kaynak (uygulama) katmanı saldırıları: Bu saldırılar, ana bilgisayarlar arasında veri aktarımını kesintiye uğratan Web uygulaması paketlerini hedeflemelidir.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Saldırılara HTTP protokol ihlalleri, SQL ekleme, siteler arası komut dosyası oluşturma ve diğer katman 7 saldırıları dahildir.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Bu saldırılara karşı savunma sağlamak için DDoS koruma standardı ile Azure Application Gateway Web uygulaması güvenlik duvarı'nı kullanın.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. Ayrıca, Azure Marketi'nde bulunan üçüncü taraf Web uygulaması güvenlik duvarı teklifleri de mevcuttur.There are also third-party web application firewall offerings available in the Azure Marketplace.

DDoS koruma standardı sanal makineler, yük dengeleyiciler ve uygulama ağ geçitleri ile ilişkili genel IP adresleri dahil bir sanal ağdaki kaynakları korur.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. DDoS koruma standardı, Application Gateway Web uygulaması güvenlik duvarı ile birlikte kullanıldığında, katman 7 risk azaltma özelliğine tam katman 3 sağlayabilir.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

DDoS koruması standart özellikleriDDoS Protection Standard features

DDoS işlevselliği

DDoS koruması standart özellikleri şunlardır:DDoS Protection Standard features include:

  • Yerel platform tümleştirmesi: Azure ile yerel olarak tümleşiktir.Native platform integration: Natively integrated into Azure. Azure portal aracılığıyla yapılandırmayı içerir.Includes configuration through the Azure portal. DDoS koruma standardı, kaynaklarınızı ve kaynak yapılandırmanızı anlamıştır.DDoS Protection Standard understands your resources and resource configuration.
  • Anahtar korumasını aç: Basitleştirilmiş yapılandırma, DDoS koruma standardı etkin olduğu anda bir sanal ağ üzerindeki tüm kaynakları hemen korur.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Müdahale veya Kullanıcı tanımı gerekli değildir.No intervention or user definition is required. DDoS koruma standardı, algılandıktan sonra hızla ve otomatik olarak saldırıyı azaltır.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Her zaman açık trafik izleme: Uygulama trafik desenleriniz günde 24 saat, haftada 7 gün, DDoS saldırıları için göstergeler aranıyor.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. Koruma ilkeleri aşıldığında risk azaltma gerçekleştirilir.Mitigation is performed when protection policies are exceeded.
  • Uyarlamalı ayarlama: Akıllı trafik profili oluşturma, uygulamanızın zaman içindeki trafiğini öğrenir ve hizmetiniz için en uygun profili seçer ve güncelleştirir.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. Profil zaman içinde trafik değişikliği olarak ayarlanır.The profile adjusts as traffic changes over time.
  • Çok katmanlı koruma: Bir Web uygulaması güvenlik duvarıyla birlikte kullanıldığında, tam yığın koruması sağlar.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Kapsamlı risk azaltma ölçeği: 60 üzerinde farklı saldırı türleri, en büyük bilinen DDoS saldırılarına karşı koruma sağlamak için küresel kapasiteyle birlikte azaltılabilir.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Saldırı Analizi: Saldırı sırasında beş dakikalık artışlarla ayrıntılı raporlar alın ve saldırı bittikten sonra tam bir Özet yapın.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Bir saldırı sırasında neredeyse gerçek zamanlı izleme için, çevrimdışı bir güvenlik bilgileri ve olay yönetimi (SıEM) sistemine akış azaltma günlüğü.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Saldırı ölçümleri: Her bir saldırıya ait özetlenen ölçümler Azure Izleyici aracılığıyla erişilebilir.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Saldırı uyarısı: Uyarılar, yerleşik saldırı ölçümleri kullanılarak saldırı başlangıcında ve durdurulduğunda ve saldırının süresi boyunca yapılandırılabilir.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Uyarılar, Microsoft Azure Izleme günlükleri, splunk, Azure depolama, e-posta ve Azure portal gibi işletimsel yazılımınızla tümleştirilir.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Maliyet garantisi: Veri aktarımı ve belgelenmiş DDoS saldırıları için uygulama genişleme hizmeti kredileri.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

DDoS koruması standart risk azaltmaDDoS Protection Standard mitigation

DDoS koruması standart gerçek trafik kullanımını izler ve DDoS Ilkesinde tanımlanan eşiklere göre sürekli olarak karşılaştırır.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Trafik eşiği aşıldığında, DDoS risk azaltma otomatik olarak başlatılır.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Trafik eşiğin altına döndüğünde, risk azaltma kaldırılır.When traffic returns below the threshold, the mitigation is removed.

Risk azaltma

Risk azaltma sırasında, korunan kaynağa gönderilen trafik DDoS koruma hizmeti tarafından yeniden yönlendirilir ve aşağıdaki denetimler gibi çeşitli denetimler gerçekleştirilir:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Paketlerin internet belirtimlerine uyduğundan ve hatalı biçimlendirilmiş olmadığından emin olun.Ensure packets conform to internet specifications and are not malformed.
  • Trafiğin potansiyel olarak sahte bir paket olup olmadığını (ör: SYN auth veya SYN tanımlama bilgisi) ve yeniden aktarmak için kaynak için bir paket bırakarak istemciyle etkileşime geçin.Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Başka bir zorlama yöntemi gerçekleştirilmeyen hız limiti paketleri.Rate-limit packets, if no other enforcement method can be performed.

DDoS koruması saldırı trafiğini engeller ve kalan trafiği amaçlanan hedefe gönderir.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Saldırının algılanmasından itibaren birkaç dakika içinde Azure İzleyici ölçümleriyle bilgilendirme yapılır.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. DDoS koruması standart telemetrisinde günlüğe kaydetmeyi yapılandırarak, gelecekteki analizler için günlükleri kullanılabilir seçeneklere yazabilirsiniz.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. DDoS koruma standardı için Azure Izleyici 'de ölçüm verileri 30 gün boyunca tutulur.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft, simülasyon için DDoS koruması etkinleştirilmiş genel IP adreslerine karşı trafik oluşturabileceğiniz bir arabirim oluşturmak üzere BreakingPoint bulutu ile işbirliği yaptı.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. Kesme noktası bulutu benzetimi şunları yapmanıza olanak sağlar:The BreakPoint Cloud simulation allows you to:

  • DDoS koruması standardının Microsoft Azure DDoS saldırılarına karşı Azure kaynaklarınızı nasıl koruduğunu doğrulayınValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • DDoS saldırısı kapsamındaki olay yanıt sürecinizi iyileştirinOptimize your incident response process while under DDoS attack
  • DDoS uyumluluğunu belgeleDocument DDoS compliance
  • Ağ Güvenlik ekiplerinizi eğitmeTrain your network security teams

Sonraki adımlarNext steps