Azure DDoS Protection 服務預覽

這篇文章由  JR Mayberry, Principal PM Manager & Anupam Vij, Senior Program Manager, Azure Networking. 共同編撰。

 

客戶將其應用程序遷移到雲時,分佈式拒絕服務(DDoS)攻擊是最大的可用性和安全問題之一。根據 Nexusguard 的數據,2016 年第一季度記錄的 DDoS 攻擊數量比 2016 年第一季度增長了 380%,這些擔憂是合理的。 2016 年 10月,一些受歡迎的網站受到由多次拒絕服務攻擊組成的大規模網絡攻擊的影響。據估計,所有互聯網宕機事件中有三分之一與 DDoS 攻擊有關。

隨著網絡攻擊的類型和複雜程度的提高,Azure 致力於為我們的客戶提持續保護Azure上的應用程序安全性和可用性的解決方案。雲中的安全性和可用性是共同的責任。 Azure為客戶提供平台級功能和設計最佳實踐,以便採用並應用到滿足其業務目標的應用程序設計中。

 

今天,我們很高興地宣布 Azure DDoS Protection Standard 預覽。該服務與虛擬網路集成,並為受DosS攻擊影響的 Azure 應用程式提供保護。它可以在 Azure 平台自動包含的基本 DDoS 保護以外,實現其他特定應用的調整、警報和遙測功能。

Azure DDoS Protection Service offerings

1

Azure DDoS Protection Basic service

Protection Basic(基本保護)已經被默認整合到Azure平台中,無需額外成本。 Azure 的全球部署網路有著大規模高流量,通過始終保持流量監控以及實時緩解,來抵禦常見的網絡層攻擊。 無需經過使用者配置或應用程式的更改即可啟用DDoS Protection Basic。

2

Azure DDoS Protection 標準服務 

Azure DDoS Protection Standard(保護標準)是一種新的產品,可提供額外的DDoS 緩解功能,並自動調整以保護您的特定 Azure 資源。 保護很容易在任何新的或現有的虛擬網絡上啟用,並且不需要應用程式或資源更改。標準利用專用監控和機器學習來配置調整到虛擬網絡的DDoS防護策略。 通過分析應用程式的正常流量模式,智能地檢測惡意流量,並在檢測到後立即減緩攻擊,即可實現此額外保護。 DDoS 保護標准通過 Azure Monitor 提供了攻擊遙測視圖,可在應用受到攻擊時啟動警報。 Application Gateway WAF可以提供集成的第7層應用程序保護。

23

Azure DDoS Protection Standard service features

平台整合

Azure DDoS Protection 本身就被整合到 Azure 中了,並且當您在虛擬網路(VNet)上啟用它時也包含了通過 Azure Portal 和 PowerShell 的配置。

Turn Key (交鑰匙) Protection

簡化配置能立即保護虛擬網路中的所有資源,而無需進行其他應用程式的更改。

4

 

始終在監控

啟用 DDoS 保護後,您的應用程式流量模式會持續受到攻擊指標的監控。

自適應調整

 DDoS 防護了解您的資源和資源配置,並將 DDoS 防護策略自定義為您的虛擬網路。 隨著時間的推移,機器學習算法會隨著流量模式的變化而設置和調整保護策略 保護策略定義了保護限制,並且在實際網絡流量超過策略閾值時執行緩解。

5

使用應用程式網關進行 L3 到 L7 保護

Azure DDoS Protection 服務與 Application Gateway Web 應用程式防火牆相結合,為常見 Web 漏洞和攻擊提供 DDoS 防護。

  • 請求速率限制
  • HTTP 協議違例
  • HTTP 協議異常
  • SQL 注入
  • 跨站腳本

6

 

DDoS保護遙測,監測和警吿

通過 Azure Monitor 提供豐富的遙測技術,包括在 DDoS 攻擊期間的詳細指標。 警報可以針對由 DDoS 保護公開的任何 Azure Monitor 度量標准進行配置。 日誌記錄可以進一步與 Splunk(Azure事件中心),OMS 日誌分析和 Azure 存儲集成,以便通過Azure監視器診斷界面進行高級分析。

  7

Cost Protection 成本保護

當 DDoS 保護服務轉入 GA 後,成本保護將提供資源信用,用於在記錄的攻擊期間向外擴展。

Azure DDoS 防護標準服務可用性

Azure DDoS Protection 現已在美國、歐洲和亞洲的特定地區預覽。 有關詳細信息,請參閱DDoS 保護

如何開始?

DDoS 保護處於預覽狀態,預覽期間服務不需要任何費用。 Azure 客戶可以在這裡註冊 Azure DDoS Protection 服務

想了解有關該服務的更多信息,請參閱 Azure DDoS Protection 服務文檔