在设计体系结构时,请将安全要求与财务约束保持平衡,同时维护针对分布式拒绝服务 (DDoS) 攻击的保护。 有关 DDoS 防护功能的概述,请参阅 DDoS 防护功能。 主要注意事项包括:
- 分配的预算是否使你能够达到安全性和可用性目标?
- 跨工作负荷进行 DDoS 保护的支出模式是什么?
- 如何通过更好的资源选择和利用率来最大化保护投资?
成本优化的 DDoS 保护策略并不总是成本最低的选项。 你需要将安全性有效性与财务效率相平衡。 战术成本削减可能会造成安全漏洞。 为了实现长期保护和财务责任,请创建一个策略,其优先级基于风险、持续监视和可重复的过程。
从建议的方法开始,并证明安全要求的好处是正当的。 设置策略后,通过定期评估和优化周期使用这些原则。
制定保护规则
DDoS 保护的成本优化需要了解您的风险状况,并将保护投资与业务优先级对齐。 为保护决策设置明确的治理和责任。
| 建议 | 益处 |
|---|---|
| 开发一个全面的资产清单 ,用于编录所有公共 IP 地址及其业务关键级别。 | 完整的清单可实现基于风险的保护决策,并防止过度预配昂贵的保护,并使关键资产不受保护。 可以根据实际业务影响确定保护投资的优先级。 |
| 为保护决策建立明确的责任,为安全、运营和财务团队定义具体的角色。 | 明确责任可确保保护决策同时考虑安全要求和预算约束。 协作决策可防止孤立的选择可能危及安全性或超出预算。 |
| 创建现实预算 ,考虑到直接保护需求和面向公众的资源的计划增长。 | 适当的预算支持可预测的保护成本,并防止在安全事件期间做出反应性决策。 随着基础结构的增长,可以规划保护扩展。 |
| 实现 风险评估框架 ,这些框架定义不同资产类型的最低保护级别和标准化策略。 | 基于风险的框架提供结构化方法来评估 DDoS 攻击风险,同时确保一致的保护决策。 它们有助于识别关键资产、评估漏洞,并根据业务影响和风险容忍度确定适当的保护措施,防止对关键资产的保护不足和低风险资源的过度保护。 |
选择正确的保护模型
Azure DDoS 防护提供两种定价模型,其成本结构和保护范围不同。 选择与资源分发和保护要求相符的模型。
| 建议 | 益处 |
|---|---|
| 如果需要保护特定关键资源而不是整个虚拟网络,请选择 IP 保护。 | 只需为受保护的公共 IP 地址付费,以避免非关键资源的成本。 此目标方法提供精细的成本控制,并支持跨多个虚拟网络提供保护,无需按网络收费。 若要配置 IP 保护,请参阅 DDoS IP 保护配置。 |
| 如果单个虚拟网络中有许多公共 IP 地址(通常为 10 个或更多)需要保护,请选择网络保护。 | 网络保护为全面的保护方案提供更好的价值。 通过自动化保护新资源以及每个虚拟网络的可预测月度成本,您可实现简化的管理。 若要配置网络保护,请参阅 DDoS IP 保护配置。 |
| 制定分阶段保护推出 计划,在考虑预算约束和虚拟网络资源分配时优先考虑业务关键资产。 | 这种系统的方法可确保在管理成本的同时立即保护基本终结点。 可以根据风险评估、可用预算和优化每个虚拟网络的保护模型来扩展保护,以防止在低密度网络上过度支出。 |
体系结构效率设计
优化体系结构,以减少需要保护的公共 IP 地址数,同时保持安全性和功能。 你的体系结构决策直接影响保护成本。
| 建议 | 益处 |
|---|---|
| 使用网络分段(例如Azure Private Link和虚拟网络对等互连来分隔面向公众和内部资源。 | 在将专用连接用于内部通信时,可以将保护支出集中在真正面向公众的资源上。 这消除了内部路径上的 DDoS 保护需求,降低了成本,同时提高了安全性。 |
| 设计应用程序体系结构 ,通过正确使用 负载均衡 和 内容分发网络来最大程度地减少直接公共 IP 公开。 | 体系结构效率可降低保护范围和相关成本。 通常可以通过单个或几个公共终结点保护整个应用程序,而不是直接公开多个服务。 较少的公共 IP 地址需要保护,这直接减少了开支。 合并还可以通过减少攻击面并简化保护管理来提高安全性。 |
优化资源利用率
使用包含的功能,使保护与实际使用模式保持一致,从而从保护投资中获得最大价值。
| 建议 | 益处 |
|---|---|
| 利用Azure Monitor集成和内置遥测的优势,无需额外的保护监视和分析费用。 | 使用包含的监视功能最大化保护投资的价值。 这可提供持续优化所需的攻击可见性和流量分析,无需额外成本。 |
| 为受保护的资源实现自动缩放,以将保护覆盖范围与实际需求模式匹配。 | 动态缩放可确保在流量高峰期间保持保护,同时避免在低需求期间过度预配。 将保护费用与生成的实际业务价值保持一致。 |
随着时间的推移进行监视和优化
随着基础结构的发展,保护需要发生变化。 设置持续监视和定期优化周期,以保持成本效益。
| 建议 | 益处 |
|---|---|
| 当 DDoS 保护支出接近预定义预算阈值时配置成本警报。 | 主动通知可防止预算溢出,并及时调整保护策略。 可以在成本增加影响其他计划之前做出响应。 若要创建成本警报,请参阅 使用成本管理中的成本警报监视使用情况和支出。 |
| 对受保护资源及其业务关键性进行季度评审,以确定优化机会。 | 定期评审可确保保护投资与业务优先级保持一致。 可以根据不断变化的重要性识别不再需要保护的资源或需要升级的保护。 |
| 监视攻击模式 和保护有效性,以优化覆盖范围决策。 在 Microsoft Defender for Cloud 中查看警报,并在 Log Analytics 工作区中使用 DDoS 防护日志。 | 了解实际的威胁模式可实现数据驱动的保护决策。 可以根据实际攻击数据而不是理论风险来调整保护级别。 |
| 跟踪保护投资回报(ROI), 并使用 成本管理最佳做法 实施生命周期管理,以衡量价值和解除不必要的保护。 | ROI 度量演示了保护价值,并指导未来的投资决策。 定期清理非关键或非关键资源可防止支出增长与业务价值不一致,同时为高优先级资源释放预算。 |