Azure DDoS Protection und was dahinter steckt.

Sicherheitsbedenken hemmen noch immer die Cloud-Nutzung in Deutschland. Diese Bedenken sind berechtigt. Die Anzahl der dokumentierten DDoS-Angriffe sind laut Nexusguard im ersten Quartal 2017 gegenüber dem ersten Quartal 2016 um 380% gestiegen.

Microsoft hat darauf reagiert und DDoS Protection entwickelt. DDoS Protection gibt es in den Ausprägungen Basic und Standard. In der kostenlosen Basic-Variante, die im virtuellen Netz immer aktiv ist, schützt ein Layer 3 und Layer 4 Monitoring auf globaler Ebene. Optional kann über ein Web Application Gateway die Layer 7 Überwachung aktiviert werden.

 

  • DDoS Protection
  • Always on monitoring
  • Automatic mitigation for L3/L4 attacks
  • L7 Protection with Application Gateway Web application firewall
  • Globally deployed
  • Automatic protection for Azure DNS Zones
  • Protection policies tuned to your VNet
  • Loggin, alerting, and telemetry
  • Resource cost scale protection
  • Basic
  •  
  •  
  •  
  • Standard

 

Aktiviert man die Standard-Ausführung, kommen weitere Features hinzu. Unter anderem wird mittels 24/7 Überwachung ein Verhaltensmuster der Anwendung erlernt und einem passenden Sicherheitsprofil zugeordnet. Werden dann ermittelte Schwellwerte übertroffen, wird ein Abwehrmechanismus gestartet und der gültige Datenverkehr umgeleitet. Das geschieht von Layer 3 bis Layer 7 durchgängig. Bis zu 60 verschiedene Angriffstypen werden weltweit erkannt und abgewehrt. Ein wichtiger Aspekt ist das Protokollieren und Alarmieren. Angriffsmetriken sind in Azure Monitor ersichtlich. Angriffswarnungen werden in Azure Log Analytics, Splunk, per E-Mail oder direkt im Azure-Portal angezeigt.

Diagram: Azure DDoS Protection - source MicrosoftDiagram: Azure DDoS Protection - source Microsoft

Für den erweiterten Schutz in der Standard Edition kommt ein interessantes Kostenmodell zum Einsatz. Pauschal bezahlt man 2.483,00 € pro Monat (Stand 6/18), darin sind bis zu 100 Ressourcen inklusive. Ressourcen sind beispielsweise Public IPs, Load Balancer, Application Gateways oder Service Fabric. Die Liste der Ressourcen wird in Zukunft erweitert. Wenn man mehr als 100 Ressourcen nutzt, kostet jede weitere Ressource 25 €. Zusätzlich wird der ausgehende Datenverkehr gestaffelt in verschieden TB-Bereiche ab 0,178 € pro GB berechnet.

Auch hier gilt, dass ein Kostenmanagement für Cloud-Dienst wichtig ist. Schnell kann es durch Azure DDoS Protection zu hohen Rechnungen kommen. Nach unserer Meinung, ist die Pauschale für die Standard-Ausführung etwas zu hoch gegriffen. Nicht jedes Unternehmen benötigt 100 Ressourcen. Wir hoffen, dass Microsoft hier nachbessert, um die Akzeptanz des Produktes und die Verbreitung zu steigern.

Quellen:
https://www.nexusguard.com/threat-report-q4-2017
https://docs.microsoft.com/de-de/azure/virtual-network/ddos-protection-overview

Scalable
# Keywords