Защита от атак DDoS в Azure Front Door

Azure Front Door — это сеть доставки содержимого (CDN), которая помогает защитить источники от атак DDoS HTTP(S) путем распространения трафика в 192 пограничных точках присутствия (POPs) по всему миру. Эти поставщики услуг используют большую частную глобальную сеть Azure для доставки веб-приложений и служб быстрее и безопаснее для конечных пользователей. Azure Front Door включает уровень 3, 4 и 7 защиты от атак DDoS и Брандмауэр веб-приложений (WAF) для защиты приложений от распространенных эксплойтов и уязвимостей.

Защита от атак DDoS инфраструктуры

Azure Front Door использует стандартную защиту от атак DDoS инфраструктуры Azure. Эта защита отслеживает и устраняет атаки сетевого слоя в режиме реального времени с помощью глобального масштаба и емкости сети Azure Front Door. Она имеет проверенный послужной список защиты корпоративных и потребительских служб Майкрософт от крупномасштабных атак.

Блокировка протокола

Azure Front Door поддерживает только протоколы HTTP и HTTPS и требует допустимого Host заголовка для каждого запроса. Это поведение помогает предотвратить распространенные типы атак DDoS, такие как объемные атаки, использующие различные протоколы и порты, атаки с расширением DNS и атаки на отравление TCP.

Поглощение емкости

Azure Front Door — это масштабируемая глобально распределенная служба, которая обслуживает многих клиентов, включая собственные облачные продукты Майкрософт, которые обрабатывают сотни тысяч запросов в секунду. Расположенный на границе сети Azure, Azure Front Door может перехватывать и географически изолировать атаки с большими объемами, предотвращая проникновение вредоносного трафика за пределы сети Azure.

Кэширование

Используйте возможности кэширования Azure Front Door для защиты серверов от больших объемов трафика, созданных атакой. Azure Front Door граничные узлы возвращают кэшированные ресурсы, поэтому не перенаправляют их в вашу серверную часть. Даже короткое время истечения срока действия кэша (секунды или минуты) в динамических ответах может значительно снизить нагрузку на внутренние службы. Дополнительные сведения о принципах кэширования и паттернах см. в разделе Рекомендации по кэшированию и в описании Шаблона Cache-aside.

Межсетевой экран для веб-приложений (WAF)

Используйте Брандмауэр веб-приложений Azure (WAF) для защиты от различных типов атак:

  • Управляемый набор правил защищает приложение от многих распространенных атак. Дополнительные сведения см. в разделе "Управляемые правила".
  • Блокировать или перенаправлять трафик из определенных географических регионов на статическую веб-страницу. Дополнительные сведения см. в статье Геофильтрация.
  • Блокировать IP-адреса и диапазоны, идентифицированные как вредоносные. Дополнительные сведения см. в разделе об ограничениях IP-адресов.
  • Примените ограничение скорости, чтобы предотвратить слишком частый вызов IP-адресов вашей службы. Дополнительные сведения см. в разделе "Ограничение скорости".
  • Создайте настраиваемые правила WAF для автоматического блокировки и ограничения скорости атак HTTP или HTTPS с известными сигнатурами.
  • Набор управляемых правил для защиты от ботов защищает приложение от известных вредоносных ботов. Дополнительные сведения см. в разделе "Настройка защиты бота".

Рекомендации по использованию Azure WAF для защиты от атак DDoS см. в разделе Защита от атак DDoS.

Защита источников виртуальной сети

Включите защиту от атак DDoS Azure в исходной виртуальной сети, чтобы защитить общедоступные IP-адреса от атак DDoS. Эта служба предлагает дополнительные преимущества, такие как защита затрат, гарантия обслуживания и доступ к группе быстрого реагирования DDoS для помощи экспертов во время атаки.

Повышайте безопасность ваших ресурсов, размещенных в Azure, используя Приватный канал Azure для ограничения доступа к Azure Front Door. Эта функция устанавливает частное сетевое подключение между Azure Front Door и серверами приложений, устраняя необходимость предоставления источников общедоступному Интернету.