Anwendungen auf Azure vor DDoS-Attacken schützen

Mit Azure DDoS Protection Service können Unternehmen Web-Apps, Webseiten und Cloud-Apps vor DDoS-Attacken schützen. Derzeit befindet sich der Dienst in der Preview-Phase.

Mit dem Azure DDoS Protection Service können Unternehmen diejenigen Ressourcen in Microsoft Azure schützen, die potentiell gefährdet sind, Opfer eines DDoS-Angriffes zu werden. Im Fokus von Azure DDoS Protection Service stehen die virtuellen Netzwerke. Diese lassen sich durch den Dienst schützen.

Damit sind auch alle Ressourcen geschützt, die zur Kommunikation mit dem Internet das konfigurierte und geschützte virtuelle Netzwerk nutzen.

Azure DDoS Protection Service überprüft den Datenverkehr bereits am Rande des Azure-Netzwerkes auf DDoS-Angreifer und kann die Ressourcen einzelner Abonnenten also zuverlässig schützen. Derzeit befindet sich der Dienst noch in der Preview-Phase.

Azure DDoS Protection Service aktivieren und steuern

In den Einstellungen von virtuellen Netzwerken ist der Schutz integriert und muss von Administratoren nur noch aktiviert und konfiguriert werden. Dazu steht der Menüpunkt DDoS Protection zur Verfügung, sobald der Dienst allgemein zugänglich ist. In den Einstellungen kann die Funktion dann aktiviert oder deaktiviert werden. Um den Dienst zu testen, können sich Administratoren über eine spezielle Webseite registrieren.

Es gibt für den Dienst also keine verschiedenen Optionen, sondern es kann lediglich festgelegt werden, ob der Dienst für ein virtuelles Netzwerk genutzt werden soll oder nicht. Der Dienst schützt alle Objekte, die das entsprechende virtuelle Netzwerk nutzen.

Das kann Azure DDoS Protection Service

Durch die ständige Überwachung der virtuellen Netzwerke auf DDoS-Angriffe werden Netzwerkangriffe minimiert. Dazu kommt, dass der Dienst von Microsoft gehostet wird, und ständig für Microsoft Azure optimiert wird. Der Dienst bremst also nicht die Besucher der Webseite oder der Cloud-App aus, sondern sperrt lediglich DDoS-Angreifer. Sobald der Dienst für ein virtuelles Netzwerk aktiviert wird, schützt er sofort alle Ressourcen in diesem Netzwerk.

Die Aktionen des Dienstes lassen sich natürlich in Microsoft Azure überwachen. Dazu hat Microsoft den Dienst in Azure Monitor integriert. Administratoren können daher nicht nur Analysen durchführen oder Diagnosen erstellen, sondern auch Warnungen konfigurieren, mit denen verschiedene Benutzer gewarnt werden, wenn ein Angriff erfolgt. Azure DDoS Protection Service arbeitet dazu mit der Azure Web Application Firewall und dem Azure Application Gateway zusammen.

Der Azure DDoS Protection Service kann über das Webportal für virtuelle Netzwerke aktiviert werden.
Abbildung 1: Der Azure DDoS Protection Service kann über das Webportal für virtuelle Netzwerke aktiviert werden.

Der Azure DDoS Protection Service ist intelligent und lernt den Datenverkehr kennen, der regelmäßig aus dem Internet zu den Cloud-Apps und Webseiten gesendet wird. Erkennt er gefährliche Muster oder Angriffe, soll er dadurch schnell reagieren und die Angreifer schon früh ausbremsen können.

Azure DDoS Protection Service schützt auf den Schichten 3 und 4. Auch die Schicht 7 wird über die Web Application Firewall geschützt. Dadurch lassen sich nicht nur DDoS-Angriffe erkennen, sondern auch Angriffe auf Azure-Ressourcen, wie SQL-Datenbanken.

Diese Angriffe kann Azure DDoS Protection Service abwehren

Im Fokus von Azure DDoS Protection Service stehen volumetrische Angriffe, Protokollangriffe und Angriffe auf Anwendungen. Dadurch lassen sich die bekanntesten und gefährlichsten DDoS-Angriffe abgewehrt werden. Schwachstellen der Protokollebenen 3 und 4 werden durch Azure DDoS Protection Service ebenfalls abgewehrt.

Das kostet der DDoS-Schutz in Azure

Solange der DDoS-Schutz noch in der Vorschauphase ist, kann er kostenlos genutzt werden. Erreicht er seinen finalen Stand, plant Microsoft eine monatliche Nutzungsgebühr. Zusätzlich werden die Gebühren auch davon abhängen, wie viele Ressourcen im geschützten virtuellen Netzwerk betrieben werden. Microsoft plant zudem Preispakete für die zusätzliche Lizenzierung von Azure Application Gateway/Azure Web Application Firewall.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die richtige Vorbereitung auf Cloud-DDoS-Attacken

Abwehrstrategie gegen DDoS-Angriffe

Azure: Die Security-Dienste im Überblick

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit