Azure DDoS 保護是什麼?

  • 發行項

分散式阻斷服務 (DDoS) 攻擊是將應用程式移至雲端的客戶所面臨的一些最大可用性和安全性顧慮問題。 DDoS 攻擊會嘗試耗盡應用程式的資源,讓合法使用者無法使用該應用程式。 DDoS 攻擊可以鎖定可透過網際網路公開觸達的任何端點。

「Azure DDoS 保護」(結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 只需在任何新的或現有的虛擬網路上啟用保護,而不需進行任何應用程式或資源變更。

Diagram of the reference architecture for an Azure DDoS protected PaaS web application.

Azure DDoS 保護可針對第 3 層和第 4 層網路層提供保護。 針對第 7 層的 Web 應用程式保護,您必須使用 WAF 供應項目在應用程式層新增保護。 如需詳細資訊,請參閱應用程式 DDoS 保護

階層

DDoS 網路保護

「Azure DDoS 網路保護」(結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能來防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。 如需啟用 DDoS 網路保護的詳細資訊,請參閱快速入門:使用 Azure 入口網站來建立及設定 Azure DDoS 網路保護

DDoS IP 保護

DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。 如需啟用「DDoS 網路保護」的詳細資訊,請參閱快速入門:使用 Azure PowerShell 來建立及設定 Azure DDoS IP 保護

如需階層的詳細資訊,請參閱 DDoS 保護層比較

主要功能

  • Always On 流量監視: 一週 7 天每天 24 小時監視應用程式流量模式,以尋找 DDoS 攻擊的指標。 一旦偵測到攻擊,Azure DDoS 保護會立即且自動地減緩攻擊。

  • 自適性即時調整: 智慧型流量分析功能可了解不同時間的應用程式流量,並選取及更新最適合您服務的設定檔。 設定檔會隨著流量因時間的改變而調整。

  • DDoS 保護分析、計量和警示:Azure DDoS 保護會在啟用 DDoS 的虛擬網路中,對受保護資源的每個公用 IP 套用三個自動調整的風險降低原則 (TCP SYN、TCP、UDP)。 原則閾值是透過機器學習型的網路流量分析來進行自動設定。 只有在超過原則閾值時,才會針對遭到攻擊的 IP 位址進行 DDoS 風險降低。

    • 攻擊分析:在攻擊期間取得詳細報告 (五分鐘遞增),並在攻擊結束後取得完整摘要。 將風險降低流量記錄串流至 Microsoft Sentinel 或離線安全性資訊與事件管理 (SIEM) 系統,以便在攻擊期間進行近乎即時的監視。 若要深入了解,請參閱檢視和設定 DDoS 診斷記錄

    • 攻擊計量:透過 Azure 監視器可以存取每個攻擊的摘要計量。 若要深入了解,請參與檢視和設定 DDoS 保護遙測

    • 攻擊警示:可使用內建攻擊計量,在攻擊的開始和停止,及攻擊的持續時間內設定警示。 警示會整合到您的作業軟體中 (例如 Microsoft Azure 監視器記錄、Splunk、Azure 儲存體、電子郵件和 Azure 入口網站)。 若要深入了解,請參與檢視和設定 DDoS 保護警示

  • Azure DDoS Rapid Response:在主動式攻擊期間,客戶可以存取 DDoS Rapid Response (DRR) 小組,讓他們可以在攻擊期間協助調查攻擊並進行攻擊後分析。 如需詳細資訊,請參閱 Azure DDoS Rapid Response

  • 原生平台整合:原生整合到 Azure。 包含透過 Azure 入口網站進行的的設定。 「Azure DDoS 保護」了解您的資源和資源設定。

  • 現成的保護:啟用 DDoS 網路保護後,經過簡化的設定便能立即保護虛擬網路上的所有資源。 無需介入或使用者定義。 同樣地,簡化的設定也會在對公用 IP 資源啟用「DDoS IP 保護」時立即保護它。

  • 多層式保護:當與 Web 應用程式防火牆 (WAF) 一起部署時,Azure DDoS 保護可同時在網路層 (Azure DDoS 保護所提供的第 3 層和第 4 層) 和應用程式層 (WAF 所提供的第 7 層) 提供保護。 WAF 供應項目包括 Azure 應用程式閘道 WAF SKU,以及 Azure Marketplace 中提供的第三方 Web 應用程式防火牆供應項目。

  • 全面的風險降低規模:降低全域所有 L3/L4 攻擊媒介風險,抵禦最大型的已知 DDoS 攻擊。

  • 成本保證:因為記載的 DDoS 攻擊而產生的資源成本,可獲得資料傳輸和應用程式擴增服務的點數。

架構

Azure DDoS 保護是針對部署於虛擬網路的服務所設計。 對於其他服務,會套用預設的基礎結構層級 DDoS 保護,以防禦常見的網路層攻擊。 若要深入了解支援的架構,請參閱 DDoS 保護參考架構

定價

對於「DDoS 網路保護」,在一個租用戶下,可以在多個訂用帳戶中使用單一的 DDoS 保護計劃,因此無需建立多個 DDoS 保護計劃。 對於「DDoS IP 保護」,無需建立 DDoS 保護計劃。 客戶可以對任何公用 IP 資源啟用 DDoS IP 保護。

若要了解 Azure DDoS 保護定價,請參閱 Azure DDoS 保護標準定價

最佳做法

遵循下列最佳做法,將 DDoS 保護和風險降低策略的有效性最大化:

  • 在設計您的應用程式和基礎結構時要考慮到備援和復原能力。
  • 實作多層的安全性方法 (包括網路、應用程式和資料保護)。
  • 準備事件回應計劃以確保對 DDoS 攻擊進行協調回應。

若要深入了解最佳做法,請參閱基本最佳做法

常見問題集

針對常見問題,請參閱 DDoS 保護常見問題集

下一步