何时使用 Azure DDoS 防护
在这里,我们将 DDoS 基础结构保护服务和 DDoS 防护服务进行比较,以便更好地了解升级的好处。 在本单元中,你将详细了解 DDoS 防护 SKU 与在应用程序中构建针对 DDoS 攻击的复原能力之间的主要差异。 你将使用此信息来决定哪个 SKU 适合 Contoso。
在 Azure 上构建 DDoS 复原服务
Azure DDoS 基础结构保护会自动保护 Azure 中每个部署的服务,无需额外付费,也不需要更改应用程序或用户的配置。
决定从 Azure DDoS 基础结构保护升级到 Azure DDoS 防护时,请务必对关键 Azure 资源执行 DDoS 攻击的风险分析。 尽管内置的 DDoS 服务是可用的,但最好不要仅依赖于部署后的保护。 构建可复原和测试的应用程序,以抵御或快速从拒绝服务攻击中恢复至关重要。
用于工作负荷复原的 Azure 框架
Azure 团队发布了一个框架,用于设计工作负载的复原能力。 此框架是一系列指导原则,可以遵循这些原则来提高工作负荷的质量。
生成或部署工作负荷时,必须针对以下项进行设计:
- 安全性。 在开发生命周期的早期确定并记录安全要求。 这种做法有助于确保安全性是整个应用程序生命周期的优先级。 设计不佳的应用程序可能会有低效的例程,这些例程使用过多的资源,这可能会导致服务中断,即使请求速率较低。
- 可伸缩性。 Azure 提供应用程序的水平自动缩放功能,但如果发生 DDoS 攻击,则必须设计应用程序以满足此需求。 当应用程序依赖于服务的单个部署时,会导致单一故障点。 预配多个实例能够提高复原能力和可伸缩性。
- 深层防御。 深度防御是一种接受良好的策略,它使用多种安全措施来保护组织的资产。 可以通过分层甚至复制 Azure 服务的安全防御来降低成功攻击的可能性。 还可以通过了解和了解内置 Azure 平台的功能来增强设计的安全性和稳定性。 使用 Azure 服务的另一个好处是减少应用程序的攻击面。 深度防御包括组织的所有安全措施,以解决与保护应用程序相关的所有问题。
这些措施可帮助你增强安全性并满足法规要求。 解决构建 DDoS 可复原应用程序的注意事项后,现在需要确定所需的 Azure DDoS 防护功能。 下表比较了 DDoS 防护层和 DDoS 基础结构保护的主要功能。
| 功能 / 特点 | DDoS 基础结构防护 | DDoS 网络保护 | DDoS IP 保护 |
|---|---|---|---|
| 主动的流量监视和始终启用的检测 | 是的 | 是的 | 是的 |
| 自动缓解攻击 | 是的 | 是的 | 是的 |
| 可用性保证 | 否 | 是的 | 是的 |
| 成本保护 | 否 | 是的 | 否 |
| 针对客户应用程序优化的缓解策略 | 否 | 是的 | 是的 |
| 指标和警报 | 否 | 是的 | 是的 |
| 缓解报告 | 否 | 是的 | 是的 |
| 缓解流日志 | 否 | 是的 | 是的 |
| DDoS 快速响应支持 | 否 | 是的 | 否 |
其他 DDoS 防护功能
使用 DDoS 防护,流量始终保留在 Azure 区域中。 在本地区域中保留流量也有助于提高性能,因为 DDoS 防护正在 Azure 区域中执行攻击缓解。 Azure DDoS 防护可缓解最接近应用程序的攻击流量。 但是,如果Microsoft确定攻击量非常重要,则它将使用 Azure 网络的全球规模来防御其发起的攻击。
Microsoft使用此深层防御策略来保护后端服务和 Azure 服务,例如 Azure Front Door 和 Azure 应用程序网关。
DDoS 防护提供的功能比 DDoS 基础结构保护更多。 如果确定某些应用程序至关重要;例如,大量产生收入的电子商务网站,则建议选择 DDoS 保护。
你决定,DDoS IP 保护 SKU 非常适合小型组织,因为它是按 IP 付费的服务。 你知道,在 Contoso 扩展其服务后,可以切换到 DDoS 网络保护 SKU 进行虚拟网络保护、DDoS 快速响应支持和成本保证。