Défendre votre instance Gestion des API Azure contre les attaques DDoS
S'APPLIQUE À : Développeur | Premium
Cet article explique comment défendre votre instance Gestion des API Azure contre les attaques par déni de service distribué (DDoS) en activant Azure DDoS Protection. Azure DDoS Protection fournit des fonctionnalités améliorées d’atténuation pour la défense contre les attaques DDoS volumétriques et par protocole.
Notes
Pour les charges de travail Web, nous vous recommandons vivement d’utiliser la protection DDoS Azure et un pare-feu d’applications Web pour vous protéger contre les attaques DDoS émergentes. Une autre option consiste à utiliser Azure Front Door avec un pare-feu d’applications Web. Azure Front Door offre une protection au niveau de la plateforme contre les attaques DDoS au niveau du réseau. Pour plus d’informations, consultez Base de référence de la sécurité pour les services Azure.
Configurations prises en charge
L’activation d’Azure DDoS Protection pour la Gestion des API n’est prise en charge que pour les instances déployées (injectées) dans un réseau virtuel en mode externe ou en mode interne.
- Mode externe : tous les points de terminaison de Gestion des API sont protégés
- Mode interne : seul le point de terminaison de gestion accessible sur le port 3443 est protégé
Configurations non prises en charge
- Instances qui ne sont pas injectées dans un réseau virtuel
- Instances configurées avec un point de terminaison privé
Prérequis
- Une instance Gestion des API
- L’instance doit être déployée dans un réseau virtuel Azure en mode externe ou en mode interne.
- L’instance doit être configurée avec une ressource d’IP publique Azure, qui n’est prise en charge que sur la plateforme de calcul de Gestion des API
stv2
.Notes
Si l’instance est hébergée sur la plateforme
stv1
, vous devez migrer vers la plateformestv2
.
- Un plan Azure DDoS Protection
Le plan que vous sélectionnez peut se trouver ou non dans le même abonnement que celui du réseau virtuel et de l’instance Gestion des API. Si les abonnements diffèrent, ils doivent être associés au même locataire Microsoft Entra.
Vous pouvez utiliser un plan créé à l’aide de la référence SKU réseau DDoS Protection ou IP DDoS Protection. Consultez la comparaison des références SKU Azure DDoS Protection.
Notes
Les plans Azure DDoS Protection entraînent des frais supplémentaires. Pour plus d’informations, voir la tarification.
Activer le service Protection DDos
Selon le plan DDoS Protection que vous utilisez, activez la protection DDoS sur le réseau virtuel utilisé pour votre instance Gestion des API ou la ressource d’adresse IP configurée pour votre réseau virtuel.
Activer DDoS Protection sur le réseau virtuel utilisé pour votre instance Gestion des API
Dans le portail Azure, accédez au réseau virtuel dans lequel votre instance Gestion des API est injectée.
Dans le menu de gauche, sous Paramètres, sélectionnez Protection DDoS.
Sélectionnez Activer, puis sélectionnez votre Plan de protection DDoS.
Sélectionnez Enregistrer.
Activer la protection DDoS sur l’adresse IP publique Gestion des API
Si votre plan utilise la référence SKU Protection IP DDoS, consultez Activer Protection IP DDoS pour une adresse IP publique.
Étapes suivantes
- Découvrir comment vérifier la protection DDoS de votre instance Gestion des API en réalisant des tests avec des partenaires de simulation
- Découvrir comment consulter et configurer la télémétrie d’Azure DDoS Protection