Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При проектировании архитектуры балансируйте требования к безопасности с финансовыми ограничениями при сохранении защиты от распределенных атак типа "отказ в обслуживании" (DDoS). Общие сведения о возможностях защиты от атак DDoS см. в разделе "Функции защиты от атак DDoS". Обязательно учесть следующее.
- Позволяют ли выделенные бюджеты соответствовать целям безопасности и доступности?
- Каковы шаблоны расходов для защиты от атак DDoS в рабочих нагрузках?
- Как вы будете максимизировать инвестиции в защиту благодаря лучшему выбору ресурсов и использованию?
Стратегия защиты от атак DDoS, оптимизированная для затрат, не всегда является самым низким вариантом затрат. Необходимо сбалансировать эффективность безопасности с финансовой эффективностью. Тактическое сокращение затрат может создавать уязвимости безопасности. Чтобы добиться долгосрочной защиты и финансовой ответственности, создайте стратегию с учетом рисков, непрерывного мониторинга и повторяемых процессов.
Начните с рекомендуемых подходов и обоснуйте преимущества для требований вашей безопасности. После настройки стратегии используйте эти принципы с помощью регулярных циклов оценки и оптимизации. Подробные рекомендации по управлению затратами см. в документации по управлению затратами Azure и калькуляторе цен Azure.
Разработка дисциплины защиты
Оптимизация затрат для защиты от атак DDoS требует понимания профиля риска и выравнивания инвестиций защиты с бизнес-приоритетами. Настройте четкое управление и подотчетность для принятия решений по защите. Дополнительные сведения о платформах управления см. в документации по управлению Azure.
| Recommendation | Benefit |
|---|---|
| Разработка комплексной инвентаризации активов , которая каталогирует все общедоступные IP-адреса и их уровни критически важности для бизнеса. | Полный инвентаризация позволяет принимать решения по защите на основе рисков и предотвращать чрезмерное обеспечение дорогостоящей защиты и оставлять критически важные ресурсы незащищенными. Вы можете определить приоритеты инвестиций в защиту на основе фактического влияния на бизнес. |
| Обеспечение четкой ответственности за принятие решений по защите с определенными ролями для групп безопасности, операций и финансов. | Четкое обеспечение подотчетности гарантирует, что решения по защите учитывают как требования к безопасности, так и ограничения бюджета. Совместное принятие решений предотвращает изолированные решения, которые могут скомпрометировать безопасность или превысить бюджеты. |
| Создайте реалистичные бюджеты , которые учитывают как непосредственные потребности в защите, так и запланированный рост общедоступных ресурсов. | Надлежащее бюджетирование позволяет прогнозировать затраты на защиту и предотвращать реактивные решения во время инцидентов безопасности. Вы можете запланировать расширение защиты по мере роста инфраструктуры. |
| Реализуйте платформы оценки рисков, определяющие минимальные уровни защиты и стандартизированные политики для различных типов активов. | Платформы на основе рисков предоставляют структурированные подходы к оценке рисков атак DDoS, обеспечивая согласованные решения по защите. Они помогают выявлять критически важные ресурсы, оценивать уязвимости и определять соответствующие меры защиты на основе влияния на бизнес и терпимость к рискам, предотвращая как недостаточное обеспечение защиты критически важных активов, так и чрезмерной защиты ресурсов с низким риском. |
Выбор правильной модели защиты
Защита от атак DDoS Azure предлагает две модели ценообразования с разными структурами затрат и областями защиты. Выберите модель, которая соответствует требованиям к распределению ресурсов и защите. Дополнительные сведения о номерах SKU защиты от атак DDoS и ценах см. в разделе "Сравнение номеров SKU защиты от атак DDoS " и цен на защиту от атак DDoS Azure.
| Recommendation | Benefit |
|---|---|
| Выберите защиту IP-адресов , если необходимо защитить определенные критически важные ресурсы, а не все виртуальные сети. | Вы оплачиваете только защищенные общедоступные IP-адреса, избегая затрат на некритические ресурсы. Этот целевой подход обеспечивает детализированный контроль затрат и обеспечивает защиту между несколькими виртуальными сетями без расходов на сеть. Сведения о настройке защиты IP-адресов см. в разделе конфигурации защиты IP-адресов DDoS. |
| Выберите защиту сети, если в одной виртуальной сети находится много общедоступных IP-адресов (обычно 10 или более), и все они требуют защиты. | Защита сети обеспечивает более эффективное значение для комплексных сценариев защиты. Вы получаете упрощенное управление с автоматической защитой новых ресурсов и прогнозируемыми ежемесячными затратами на виртуальную сеть. Сведения о настройке защиты сети см. в разделе конфигурации защиты IP-адресов DDoS. |
| Разработка поэтапного плана развертывания защиты , которые определяют приоритет критически важных для бизнеса ресурсов при рассмотрении ограничений бюджета и распределения ресурсов виртуальной сети. | Этот систематический подход обеспечивает немедленную защиту важных конечных точек при управлении затратами. Вы можете расширить защиту на основе оценки рисков, доступных бюджетов и оптимизировать модели защиты для каждой виртуальной сети, чтобы предотвратить чрезмерные расходы на сети с низкой плотностью. |
Проектирование для повышения эффективности архитектуры
Оптимизируйте архитектуру, чтобы уменьшить количество общедоступных IP-адресов, требующих защиты, при сохранении безопасности и функциональности. Ваши архитектурные решения напрямую влияют на затраты на защиту. Рекомендации по архитектуре см. в статье Azure Well-Architected Framework и Центр архитектуры Azure.
| Recommendation | Benefit |
|---|---|
| Используйте сегментацию сети, например приватный канал Azure и пиринг между виртуальными сетями , для разделения общедоступных и внутренних ресурсов. | Вы можете сосредоточить расходы на защиту на действительно общедоступных ресурсах при использовании частного подключения для внутренних коммуникаций. Это устраняет потребности защиты от атак DDoS на внутренних путях, уменьшая затраты при повышении безопасности. |
| Разработка архитектуры приложения для минимизации прямого доступа к общедоступным IP-адресам путем правильного использования балансировки нагрузки и сетей доставки содержимого. | Эффективность архитектуры снижает область защиты и связанные затраты. Вы можете часто обеспечить защиту всего приложения через одну или несколько публичных точек входа, вместо того чтобы напрямую открывать доступ к нескольким сервисам. Меньше общедоступных IP-адресов требуют защиты, напрямую сокращая расходы. Консолидация также повышает безопасность, уменьшая область атак и упрощая управление защитой. |
Оптимизация использования ресурсов
Получите большую ценность от инвестиций в защиту с помощью включенных функций и выравнивания защиты с фактическими шаблонами использования.
| Recommendation | Benefit |
|---|---|
| Воспользуйтесь преимуществами интеграции Azure Monitor и встроенной телеметрии без дополнительных расходов на мониторинг и анализ защиты. | Вы получаете максимальное значение от инвестиций в защиту с помощью включенных возможностей мониторинга. Это обеспечивает видимость атак и анализ трафика, необходимый для непрерывной оптимизации без дополнительных затрат. |
| Реализуйте автоматизированное масштабирование для защищенных ресурсов для сопоставления покрытия защиты с фактическими шаблонами спроса. | Динамическое масштабирование обеспечивает защиту во время пиков трафика, избегая чрезмерной подготовки во время периодов с низким спросом. Вы приводите расходы на защиту в соответствие с фактической бизнес-ценностью, создаваемой. |
Мониторинг и оптимизация с течением времени
Защита нуждается в изменении по мере развития инфраструктуры. Настройте непрерывный мониторинг и регулярные циклы оптимизации для обеспечения экономичности.
| Recommendation | Benefit |
|---|---|
| Настройте оповещения о затратах , когда расходы на защиту от атак DDoS подходили к предопределенным пороговым значениям бюджета. | Упреждающие уведомления предотвращают переполнение бюджета и обеспечивают своевременную корректировку стратегии защиты. Вы можете реагировать на увеличение затрат, прежде чем они влияют на другие инициативы. Сведения о создании оповещений о затратах см. в разделе "Мониторинг использования и расходов с помощью оповещений о затратах" в разделе "Управление затратами". |
| Проводите ежеквартальные проверки защищенных ресурсов и их критически важное значение для выявления возможностей оптимизации. | Регулярные проверки гарантируют, что инвестиции в защиту остаются согласованными с бизнес-приоритетами. Вы можете определить ресурсы, которые больше не нуждаются в защите или требуют обновленной защиты на основе изменения важности. |
| Отслеживайте шаблоны атак и эффективность защиты для оптимизации решений о охвате. Просмотр оповещений в Microsoft Defender для облака и использование журналов защиты от атак DDoS в рабочей области Log Analytics. | Понимание фактических шаблонов угроз позволяет принимать решения по защите на основе данных. Вы можете настроить уровни защиты на основе реальных данных атак, а не теоретических рисков. |
| Отслеживайте отдачу от инвестиций (ROI) и реализуйте управление жизненным циклом с помощью рекомендаций по управлению затратами для измерения стоимости и вывода из эксплуатации ненужной защиты. | Измерение ROI демонстрирует стоимость защиты и направляет будущие инвестиционные решения. Регулярное очистка неактивных или некритических ресурсов предотвращает рост расходов, который не соответствует бизнес-стоимости при освобождении бюджета для ресурсов с более высоким приоритетом. |