Defender la instancia de Azure API Management contra ataques DDoS
SE APLICA A: Desarrollador | Premium
En este artículo se muestra cómo defender la instancia de Azure API Management frente a ataques de denegación de servicio distribuido (DDoS) habilitando Azure DDoS Protection. Azure DDoS Protection proporciona características de mitigación de DDoS mejoradas para la defensa contra los ataques DDoS volumétricos y de protocolo.
Nota
En el caso de las cargas de trabajo web, se recomienda encarecidamente usar la protección contra DDoS de Azure y un firewall de aplicaciones web para protegerse frente a posibles ataques DDoS. Otra opción es emplear Azure Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece protección de nivel de plataforma frente a ataques DDoS de nivel de red. Para más información, consulte línea base de seguridad para los servicios de Azure.
Configuraciones admitidas
La habilitación de Azure DDoS Protection para API Management es compatible únicamente para instancias implementadas (insertadas) en una red virtual en modo externo o modo interno.
- Modo externo: todos los puntos de conexión de API Management están protegidos.
- Modo interno: solo está protegido el punto de conexión de administración accesible en el puerto 3443.
Configuraciones no admitidas
- Instancias que no se insertan en la red virtual
- Instancias configuradas con un punto de conexión privado
Requisitos previos
- Una instancia de API Management
- La instancia debe implementarse en una red virtual de Azure en modo externo o modo interno.
- La instancia debe configurarse con un recurso de dirección IP pública de Azure, que solo se admite en la
stv2
plataforma de proceso de API Management.Nota
Si la instancia se hospeda en la plataforma
stv1
, debe migrar a la plataformastv2
.
- Un plan de Azure DDoS Protection
El plan que seleccione puede estar en la misma suscripción, o diferente, que la red virtual y la instancia de API Management. Si las suscripciones difieren, deben estar asociadas al mismo inquilino de Microsoft Entra.
Puede usar un plan creado mediante la SKU de protección contra DDoS de red o la SKU de protección contra DDoS IP. Consulte la Comparación de SKU de Azure DDoS Protection.
Nota
Los planes de Azure DDoS Protection incurren en cargos adicionales. Para obtener más información, consulte el apartado Precios.
Habilitar Protección contra DDoS
En función del plan DDoS Protection que use, habilite la protección contra DDoS en la red virtual usada para la instancia de API Management o el recurso de dirección IP configurado para la red virtual.
Habilitación de DDoS Protection en la red virtual usada para la instancia de API Management
En el Azure Portal, vaya a la red virtual donde se inserta el API Management.
En el menú de la izquierda, en Configuración, seleccione Protección contra DDoS.
Seleccione Habilitar y, a continuación, seleccione su plan de protección contra DDoS.
Seleccione Guardar.
Habilitación de la protección contra DDoS en la dirección IP pública de API Management
Si el plan usa la SKU de protección ip contra DDoS, consulte Habilitación de la protección ip contra DDoS para una dirección IP pública.
Pasos siguientes
- Obtenga información sobre cómo comprobar la protección contra DDoS de la instancia de API Management mediante pruebas con asociados de simulación
- Aprenda a ver y configurar la telemetría de Azure DDoS Protection