Cuándo usar Azure DDoS Protection

Completado

Aquí comparamos los servicios DDoS Infrastructure Protection y DDoS Protection para tener una idea más clara de las ventajas de la actualización. En esta unidad, obtendrá más información sobre las diferencias principales entre las SKU de DDoS Protection y sobre la creación de resistencia contra los ataques DDoS en sus aplicaciones. Usará esta información para decidir qué SKU es adecuada para Contoso.

Creación de servicios resistentes a DDoS en Azure

Azure DDoS Infrastructure Protection protege automáticamente todos los servicios implementados en Azure sin costo adicional, y tampoco requiere cambios en la configuración de aplicaciones o usuarios.

Al decidir actualizar de Azure DDoS Infrastructure Protection a Azure DDoS Protection, es importante realizar un análisis de riesgos de un ataque DDoS en los recursos clave de Azure. Incluso con los servicios integrados de DDoS que están disponibles, es preferible no confiar solo en la protección posterior a la implementación. Es importante crear una aplicación que sea resistente y se pruebe para resistir un ataque de denegación de servicio o recuperarse rápidamente del mismo.

El marco de Azure para la resistencia de la carga de trabajo

El equipo de Azure ha publicado un marco para diseñar la carga de trabajo a fin de obtener resistencia. Este marco de trabajo es una colección de principios rectores que puede seguir para mejorar la calidad de una carga de trabajo.

Al crear o implementar la carga de trabajo, es importante diseñar lo siguiente:

  • Seguridad. Identifique y documente los requisitos de seguridad al principio del ciclo de vida de desarrollo. Esta práctica le ayudará a asegurarse de que la seguridad es prioritaria en todo el ciclo de vida de una aplicación. Las aplicaciones mal diseñadas pueden tener rutinas ineficaces que usen demasiados recursos, lo que puede provocar una interrupción del servicio, incluso con una tasa de solicitudes baja.
  • Escalabilidad. Azure ofrece el escalado automático horizontal de una aplicación, pero debe diseñar su aplicación para satisfacer esta demanda en caso de que se produzca un ataque DDoS. Cuando la aplicación depende de una sola implementación de un servicio, da como resultado un solo punto de error. El aprovisionamiento de varias instancias hace que el sistema sea más resistente y más escalable.
  • Defensa en profundidad. La defensa en profundidad es una estrategia bien aceptada que usa varias medidas de seguridad para proteger los recursos de una organización. Puede reducir la posibilidad de que un ataque tenga éxito mediante la disposición en capas de defensas de seguridad para los servicios de Azure e incluso la duplicación de estas. También puede mejorar la seguridad y la solidez del diseño conociendo y entendiendo las funcionalidades de la plataforma integrada de Azure. Otra ventaja del uso de los servicios de Azure es una reducción en la superficie expuesta a ataques de su aplicación. La defensa en profundidad incorpora todas las medidas de seguridad de la organización para solucionar todos los problemas relacionados con la protección de una aplicación.

Estas medidas pueden ayudarle a mejorar la seguridad y a cumplir los requisitos normativos. Después de abordar las consideraciones para crear aplicaciones resistentes a DDoS, ahora debe determinar qué características de Azure DDoS Protection necesita. En la tabla siguiente se comparan las características clave de los niveles de DDoS Protection y de DDoS Infrastructure Protection.

Característica DDoS Infrastructure Protection DDoS Network Protection Protección de IP contra DDoS
Supervisión activa del tráfico y detección siempre activa
Mitigación automática de ataques
Garantía de disponibilidad No
Protección de costos No No
Directivas de mitigación que se ajustan a la aplicación cliente No
Métricas y alertas No
Informes de mitigación No
Registros de flujo de mitigación No
Compatibilidad con la respuesta rápida de DDoS No No

Características adicionales de DDoS Protection

Con DDoS Protection, el tráfico siempre permanece dentro de la región de Azure. Mantener el tráfico dentro de la región local ayuda también con el rendimiento, ya que DDoS Protection lleva a cabo la mitigación de ataques en una región de Azure. Azure DDoS Protection mitiga el tráfico de ataques más cercano a la aplicación. Sin embargo, si Microsoft identifica que el volumen de ataque es significativo, usará la escala global de sus redes de Azure para defender el ataque donde se origina.

Microsoft usa esta estrategia de defensa en profundidad para proteger los servicios de back-end y los servicios de Azure, como Azure Front Door y Azure Application Gateway.

DDoS Protection ofrece más características que DDoS Infrastructure Protection. Si determina que ciertas aplicaciones son críticas; por ejemplo, un sitio web de comercio electrónico de gran volumen que genera ingresos, DDoS Protection es la opción recomendada.

Ha decidido que la SKU de la Protección de IP contra DDoS es perfecta para su pequeña organización, ya que es un servicio de pago por IP. Sabe que puede cambiar a la SKU de Protección de red contra DDoS para la protección de red virtual, la compatibilidad con respuesta rápida a DDoS y la garantía de costos una vez que Contoso expanda sus servicios.