Azure DDoS Koruma Standardına Genel Bakış
Distributed denial of service (DDoS) saldırıları, müşterilerin uygulamalarını buluta taşıyan en büyük kullanılabilirlik ve güvenlik kaygılarından biridir. DDoS saldırısı, bir uygulamanın kaynaklarını tüketmeye çalışır; bu da, uygulamanın meşru kullanıcılar tarafından kullanılamamasına neden olur. DDoS saldırıları, Internet üzerinden herkese açık olarak erişilebilen herhangi bir son noktayı hedef alabilir.
Azure DDoS Protection, uygulama tasarımı en iyi uygulamaları ile birlikte DDoS saldırılarına karşı savunma sağlar. Azure DDos Protection, aşağıdaki servis katmanlarını sağlamaktadır:
- Azure DDoS Protection Basic: Azure platformunun bir parçası olarak otomatik olarak ek ücret ödemeden etkinleştirilir. Sürekli trafik denetimi ve yaygın ağ düzeyinde saldırıların gerçek zamanlı azaltımı, Microsoft’un çevrimiçi hizmetleri tarafından kullanılan aynı savunmaları sağlar. Azure’nin global ağının tüm ölçeği, bölgedeki saldırı trafiğini dağıtmak ve azaltmak için kullanılabilir. Koruma, IPv4 ve IPv6 Azure genel IP adresleri için sağlanmaktadır.
- Azure DDoS Protection Standard: Azure Sanal Ağ kaynaklarına özel olarak ayarlanmış ek azaltma yetenekleri sağlar. Etkinleştirmek kolaydır ve uygulama değişiklikleri gerektirmez. Koruma politikaları, özel trafik izleme ve makine öğrenme algoritmaları yoluyla ayarlanır ve Azure Yük Dengeleyicisi, Azure Uygulama Ağ Geçidi ve Azure Hizmet Fabrikası örnekleri gibi sanal ağlarda konuşlandırılan kaynaklara ilişkin ortak IP adreslerine uygulanır. Gerçek zamanlı telemetri, bir saldırı sırasında ve geçmiş boyunca Azure Monitor görünümleri aracılığıyla kullanılabilir. Uygulama katmanı korumaları Application Gateway Web Application Firewall ile eklenebilir. IPv4 Azure genel IP adresleri için koruma sağlanır.
DDoS Koruma Standardının hafiflettiği DDoS saldırı türleri
DDoS Koruma Standardı, aşağıdaki saldırı türlerini hafifletebilir:
- Volumetric attacks: Saldırının amacı, ağ katmanını, görünüşte meşru görünen miktarda trafik akın etmektir. UDP selleri, kuvvetlendirme selleri ve diğer sahte paket selleri içerir. DDoS Koruma Standardı, Azure’nin küresel ağ ölçeğini otomatik olarak kullanan bu çoklu-gigabayt saldırıları kendiliğinden hafifletir.
- Protocol attacks: Bu saldırılar, katman 3 ve katman 4 protokol yığında bir zayıflıktan istifade ederek bir hedefi erişilemez hale getirir. SYN sel saldırıları, yansıma saldırıları ve diğer protokol saldırılarını içerir. DDoS Koruma Standardı, istemci ile etkileşim kurarak ve kötü niyetli trafiği engelleyerek, bu saldırıları zararlı ve meşru trafiği ayıran bir şekilde hafifletir.
- Application layer attacks: Bu saldırılar, ana bilgisayarlar arasındaki verilerin iletilmesini engellemek için web uygulama paketlerini hedeflemektedir. HTTP protokol ihlali, SQL enjeksiyonu, siteler arası komut dosyası oluşturma ve diğer katman 7 saldırılarını içerir. Bu saldırılara karşı savunma sağlamak için Azure Application Gateway web uygulaması güvenlik duvarını DDoS Protection Standard ile kullanın.
DDoS Koruma Standardı, sanal makineler, yük dengeleyiciler ve uygulama ağ geçitleri ile ilişkili ortak IP adresleri de dahil olmak üzere sanal bir ağdaki kaynakları korur. Application Gateway web uygulaması güvenlik duvarıyla birleştiğinde, DDoS Protection Standard tam katman 3 ila katman 7 azaltma yeteneği sağlar.