Partager via

Protection DDoS sur Azure Front Door

  • Article

Azure Front Door est un réseau de distribution de contenu (CDN) qui peut vous aider à protéger vos origines contre les attaques DDoS HTTP(S) en distribuant le trafic sur ses 192 Points de Présence (POP) dans le monde entier. Ces POP utilisent le vaste WAN privé d’Azure pour distribuer vos services et applications web plus rapidement et de manière plus sécurisée à vos utilisateurs finaux. Azure Front Door inclut une protection DDoS de couche 3, 4 et 7, et un pare-feu d’applications web (WAF) pour protéger vos applications contre les attaques et vulnérabilités courantes.

Protection DDoS d’infrastructure

Azure Front Door tire parti de la protection DDoS d’infrastructure Azure par défaut. Cette protection surveille et atténue les attaques de couche réseau en temps réel à l’aide de l’échelle mondiale et de la capacité du réseau de Azure Front Door. Elle a fait ses preuves dans la protection des services professionnels et grand public de Microsoft contre les attaques de grande envergure.

Blocage de protocole

Azure Front Door prend uniquement en charge des protocoles HTTP et HTTPS, et nécessite un en-tête Host valide pour chaque requête. Ce comportement permet d’empêcher les types d’attaques DDoS courantes, y compris les attaques volumétriques qui utilisent une série de protocoles et de ports, les attaques d’amplification DNS et les attaques par empoisonnement TCP.

Absorption de la capacité

Azure Front Door est un service à grande échelle distribué au niveau mondial qui sert de nombreux clients, y compris les produits cloud de Microsoft, qui traitent des centaines de milliers de demandes par seconde. Positionné au seuil du réseau Azure, Azure Front Door peut intercepter et isoler géographiquement de des attaques de grands volumes, ce qui empêche le trafic malveillant d’aller au-delà du bord du réseau Azure.

Mise en cache

Vous pouvez utiliser les fonctionnalités de mise en cache d’Azure Front Door pour protéger les back-ends des volumes de trafic importants générés par une attaque. Les nœuds de périphérie Azure Front Door retournent des ressources mises en cache, ce qui évite de les transférer vers votre back-end. Même les temps d’expiration de cache courts (secondes ou minutes) sur des réponses dynamiques peuvent réduire de façon considérable la charge sur vos services back-end. Pour plus d’informations sur les concepts et les modèles de mise en cache, consultez Considérations relatives à la mise en cache et modèle de réserve de caches.

Pare-feu d’applications web (WAF)

Vous pouvez utiliser le pare-feu d’applications web Azure (WAF) pour atténuer différents types d’attaques :

  • L’ensemble de règles managées protège votre application contre de nombreuses attaques courantes. Pour plus d’informations, consultez Règles managées.
  • Bloquer ou rediriger le trafic à partir de régions géographiques spécifiques vers une page web statique. Pour plus d’informations, consultez Géo-filtrage.
  • Bloquer les adresses IP et plages identifiées comme malveillantes. Pour plus d'informations, consultez Restrictions sur les IP.
  • Appliquer la limitation du débit pour empêcher les adresses IP d’appeler votre service trop fréquemment. Pour plus d’informations, consultez Limitation des tarifs.
  • Créer des règles WAF personnalisées pour bloquer et limiter automatiquement le débit des attaques HTTP ou HTTPS avec des signatures connues.
  • L’ensemble de règles managées de protection bot protège votre application contre les bots malveillants connus. Pour plus d’informations, consultez Configurer la protection des bots.

Consultez Protection DDoS de l’application pour obtenir des conseils sur l’utilisation du pare-feu d’applications web Azure pour vous protéger contre les attaques DDoS.

Protéger les origines du réseau virtuel

Activez Azure DDoS Protection sur votre réseau virtuel d’origine pour protéger vos adresses IP publiques contre les attaques DDoS. Ce service offre plus d’avantages tels que la protection des coûts, une garantie SLA et l’accès à l’équipe d’intervention rapide DDoS pour obtenir l’aide d’experts lors d’une attaque.

Améliorez la sécurité de vos origines hébergées par Azure avec Azure Private Link pour restreindre l’accès à Azure Front Door. Cette fonctionnalité établit une connexion de réseau privé entre Azure Front Door et vos serveurs d’applications, évitant d’exposer vos origines sur l’Internet public.

Étapes suivantes