Azure DDoS-Schutz: IP Protection vs. Network Protection für kleine Unternehmen
Azures Netzwerkinfrastruktur absorbiert volumetrische DDoS-Angriffe automatisch auf Plattformebene — das ist der Azure DDoS Infrastructure Protection, der standardmäßig für jedes Azure-Abonnement ohne Kosten aktiviert ist. Er behandelt jedoch nur die offensichtlichsten, großvolumigen Floods. Sobald ein Angreifer zu protokollspezifischen oder applikationsoptimierten Angriffen übergeht oder spezifische öffentliche IP-Adressen in Ihrem Mandanten ins Visier nimmt, löst Infrastructure Protection keine Minderungsrichtlinien aus. Das ist die Grenze, an der Azure DDoS Protection Network (früher Standard) beginnt — und genau zu verstehen, wo diese Grenze liegt, ist das Thema dieses Artikels.
Drei Schutzstufen im Vergleich
| Funktion | Infrastructure Protection (kostenlos) | DDoS Network Protection | DDoS IP Protection |
|---|---|---|---|
| Geltungsbereich | Alle öffentlichen Azure-IPs | Alle öffentlichen IPs in geschützten VNets | Pro-IP-Abonnement |
| Traffic-Profiling | Nein | Ja — adaptiv, pro IP-Baseline | Ja |
| Minderungsrichtlinien | Nur Plattformstandards | Mandantenspezifisch, automatisch abgestimmt | Mandantenspezifisch, automatisch abgestimmt |
| Angriffstelemetrie + Metriken | Nein | Ja — Azure Monitor-Metriken | Ja |
| DDoS Rapid Response (DRR) | Nein | Ja (inklusive) | Nein |
| SLA-Garantie | Nein | Ja | Ja |
| Kostenerstattungsberechtigung | Nein | Ja | Ja |
| Preisgestaltung | Kostenlos | ca. 2.944 €/Monat pro Plan + Datenüberschüsse | ca. 199 €/Monat pro geschützter IP |
Der Preisunterschied ist erheblich. Für kleine Unternehmen mit wenigen öffentlich zugänglichen Workloads ist DDoS IP Protection fast immer die richtige Wahl: Sie zahlen pro IP-Adresse statt einer pauschalen Plan-Gebühr, was bedeutet, dass zwei oder drei geschützte IPs ca. 400–600 €/Monat statt 3.000 €+ kosten. Network Protection ist nur dann wirtschaftlich sinnvoll, wenn Sie viele öffentliche IP-Adressen innerhalb desselben virtuellen Netzwerks betreiben.
Wie adaptives Tuning funktioniert
Azures DDoS-Minderungspipeline überwacht den Traffic zu jeder geschützten öffentlichen IP kontinuierlich. In den ersten 30 Tagen nach der Aktivierung erstellt sie ein Profil normaler Verkehrsmuster — Paketraten, Verbindungsraten, Bandbreitenvolumen, Protokollverteilung (TCP SYN, UDP, ICMP-Verhältnisse). Aus dieser Baseline leitet sie drei pro-IP-Minderungsrichtlinien ab:
- TCP SYN-Richtlinie — Pakete-pro-Sekunde-Schwellenwert, ab dem SYN-Cookies eingesetzt werden
- TCP-Richtlinie — Gesamte TCP-Paketrate-Schwelle
- UDP-Richtlinie — UDP-Paketrate-Schwelle
Diese Schwellenwerte sind in Azure Monitor als Metriken Under DDoS attack, Inbound packets dropped DDoS, Inbound bytes dropped DDoS und die drei DDoS trigger *-Richtlinienmetriken sichtbar. Sie sollten Azure Monitor-Warnungen für Under DDoS attack (Schwelle: > 0) einrichten und sie mit einer Aktionsgruppe verbinden, die Ihre Bereitschaft kontaktiert — dies ist Ihre Echtzeit-Angriffsbenachrichtigung, da Azure keine ungefragten Alerts sendet.
DDoS IP Protection aktivieren
Schritt 1 — Zur öffentlichen IP-Ressource navigieren
Navigieren Sie zu Azure-Portal → Öffentliche IP-Adressen. Wählen Sie die zu schützende IP (z.B. die öffentliche IP Ihres Application Gateway, VPN-Gateways oder Load Balancer-Frontends). Wählen Sie im linken Bereich DDoS-Schutz.
Schritt 2 — IP-Schutz aktivieren
Wählen Sie IP-Schutz: Aktivieren. Für IP Protection ist kein Plan erforderlich — der Schutz wird direkt auf die IP-Ressource angewendet. Klicken Sie auf Speichern. Die Änderung tritt innerhalb von Sekunden in Kraft; das Traffic-Profiling beginnt sofort, aber die ersten adaptiven Minderungsrichtlinien benötigen bis zu 30 Tage zur vollständigen Abstimmung.
Schritt 3 — Diagnoseprotokollierung konfigurieren
Navigieren Sie zu Monitor → Diagnoseeinstellungen → Diagnoseeinstellung hinzufügen für die geschützte IP. Aktivieren Sie folgende Protokolle: DDoSProtectionNotifications, DDoSMitigationFlowLogs, DDoSMitigationReports. Senden Sie diese an einen Log Analytics-Arbeitsbereich. Dies liefert Ihnen Angriffsbeginn/-endeereignisse, Details zu verworfenen Paketen und Minderungsberichte in abfragbarem Format — unentbehrlich für Post-Incident-Analysen und Versicherungsdokumentation.
Schritt 4 — Angriffsbenachrichtigungen einrichten
In Azure Monitor → Benachrichtigungen → Warnungsregel erstellen: Bereich auf Ihre geschützte öffentliche IP setzen, Bedingung auf Metrik Under DDoS attack, Operator “Größer als”, Schwelle 0, Aggregation 1 Minute. Weisen Sie eine Aktionsgruppe mit E-Mail und SMS zu. Diese Warnung löst aus, sobald Azure einen Angriff erkennt und beginnt, ihn zu mindern — typischerweise innerhalb von 30–60 Sekunden nach Angriffsbeginn.
Was DDoS Protection nicht abdeckt
Azure DDoS Protection operiert auf L3 und L4 — es behandelt volumetrische und Protokollangriffe. Es schützt nicht vor L7-Anwendungsschicht-Angriffen (HTTP-Floods, Slow-Read-Angriffe, API-Missbrauch). Für L7-Schutz benötigen Sie die Azure Web Application Firewall (WAF) vor Application Gateway oder Azure Front Door. DDoS + WAF ist die korrekte Architektur für jede internet-facing Webanwendung: DDoS behandelt Bandbreitenerschöpfung und Protokoll-Floods; WAF behandelt HTTP-Angriffe. Sie ergänzen sich, sind keine Alternativen.
DDoS Protection schützt auch keine Nicht-Azure-Endpunkte. Wenn Ihre On-Premises-Server über außerhalb von Azure liegende öffentliche IPs erreichbar sind, sind diese IPs nicht abgedeckt. Für hybride Architekturen stellen Sie sicher, dass alle öffentlich zugänglichen Eingangspunkte über Azure (Application Gateway, Azure Firewall, Front Door) geleitet werden, damit DDoS-Schutz greift.
Kostenschutz und SLA
Sowohl IP Protection als auch Network Protection beinhalten eine Kostengutschriftgarantie: Wenn ein DDoS-Angriff Ihre Azure-Rechnung erhöht (durch Angriffs-Traffic ausgelöste Skalierungsereignisse), schreibt Microsoft die Überschreitung nach Einreichung eines Antrags Ihrer Rechnung gut. Dies ist besonders wertvoll für automatisch skalierende Workloads — ohne DDoS-Schutz kann ein anhaltender volumetrischer Angriff Skalierungsereignisse auslösen und Ihre Rechenkosten erhöhen, bevor die Minderung greift.
DDoS Network Protection beinhaltet auch Zugang zum DDoS Rapid Response (DRR)-Team — Microsoft-Ingenieure, die während eines aktiven Angriffs bei Triage und Minderungsoptimierung helfen können. Für IP Protection ist DRR nicht enthalten, aber Sie behalten vollen Telemetriezugang und die automatische Minderungspipeline führt weiterhin aus.
Praktische Empfehlungen für kleine Unternehmen in Berlin
Wenn Sie öffentlich zugängliche Azure-Workloads betreiben — ein Kundenportal, ein VPN-Gateway, eine extern erreichbare API — aktivieren Sie DDoS IP Protection für jede öffentliche IP. Bei ca. 180–200 €/Monat pro IP sind die Kosten marginal im Vergleich zum Risiko eines ungeminderten Angriffs, der Ihre kundenzugewandten Dienste stundenlang offline setzt, während Azure Ihre Infrastruktur als Reaktion auf Angriffs-Traffic skaliert. Prüfen Sie den Secure Score: DDoS Protection Standard/IP Protection trägt zu Ihrem Azure Security Benchmark-Score bei und verbessert Ihren Secure Score-Stand direkt in Microsoft Defender for Cloud.
Weiterfuehrende Artikel