Compartir vía

Protección contra DDoS en Azure Front Door

  • Artículo

Azure Front Door es una red de entrega de contenido (CDN) que ayuda a proteger sus orígenes de los ataques DDoS HTTP(S) distribuyendo el tráfico a través de sus 192 puntos de presencia (POP) de borde en todo el mundo. Estos POP usan la gran WAN privada de Azure para entregar sus aplicaciones y servicios web de forma más rápida y segura a sus usuarios finales. Azure Front Door incluye protección contra DDoS de capa 3, 4 y 7 y un firewall de aplicaciones web (WAF) para proteger sus aplicaciones de los ataques y vulnerabilidades más comunes.

Protección contra DDoS de infraestructura

Azure Front Door se beneficia de la protección DDoS predeterminada de la infraestructura Azure. Esta protección supervisa y mitiga los ataques a la capa de red en tiempo real utilizando la escala global y la capacidad de la red de Azure Front Door. Ha demostrado su eficacia a la hora de proteger los servicios empresariales y de consumo de Microsoft frente a ataques a gran escala.

Bloqueo de protocolo

Azure Front Door solo admite los protocolos HTTP y HTTPS y requiere un encabezado Host válido para cada solicitud. Este comportamiento ayuda a evitar tipos de ataque DDoS comunes, como ataques volumétricos que usan varios protocolos y puertos, ataques de amplificación de DNS y ataques de intoxicación de TCP.

Absorción de capacidad

Azure Front Door es un servicio distribuido global a gran escala que atiende a muchos clientes, incluidos los propios productos en la nube de Microsoft, que controlan cientos de miles de solicitudes por segundo. Situado en el borde de la red de Azure, Azure Front Door puede interceptar y aislar geográficamente ataques de gran volumen, lo que impide que el tráfico malintencionado llegue más allá del borde de la red de Azure.

Almacenamiento en memoria caché

Puede utilizar las capacidades de almacenamiento en caché de Azure Front Door para proteger sus backends de los grandes volúmenes de tráfico generados por un ataque. Los nodos de borde de Azure Front Door devuelven los recursos almacenados en caché, evitando reenviarlos a su back-end. Incluso tiempos de expiración de caché cortos (segundos o minutos) en respuestas dinámicas pueden reducir significativamente la carga de sus servicios backend. Para obtener más información sobre el almacenamiento en caché de conceptos y patrones, consulte Almacenamiento en memoria caché y Patrón Cache-Aside.

Firewall de aplicaciones web (WAF)

Puede usar Azure Web Application Firewall (WAF) para mitigar varios tipos de ataques:

  • El conjunto de reglas administrado protege la aplicación de muchos ataques comunes. Para obtener más información, consulte las reglas administradas.
  • Bloquee o redirija el tráfico procedente de regiones geográficas específicas a una página web estática. Para más información, consulte Filtro geográfico.
  • Bloquee las direcciones IP y los intervalos identificados como maliciosos. Para obtener más información, vea Restricciones de IP.
  • Aplique la limitación de volumen para evitar que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Limitación de velocidad.
  • Cree reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos.
  • El conjunto de reglas administradas de protección contra bots protege su aplicación de bots malintencionados conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

Consulte Protección contra DDoS para aplicaciones para obtener instrucciones sobre cómo usar Azure WAF para protegerse frente a ataques DDoS.

Protección de orígenes de red virtual

Habilite Azure DDoS Protection en la red virtual de origen para proteger las direcciones IP públicas frente a ataques DDoS. Este servicio ofrece más ventajas, como la protección de costos, una garantía del Acuerdo de Nivel de Servicio y el acceso al equipo de respuesta rápida de DDoS para obtener asistencia de expertos durante un ataque.

Mejore la seguridad de sus orígenes hospedados en Azure usando Azure Private Link para restringir el acceso al Azure Front Door. Esta característica establece una conexión de red privada entre Azure Front Door y los servidores de aplicaciones, lo que elimina la necesidad de exponer los orígenes a la red pública de Internet.

Pasos siguientes