Condividi tramite

Protezione DDoS in Frontdoor di Azure

  • Articolo

Frontdoor di Azure è un rete per la distribuzione di contenuti (RETE CDN) che consente di proteggere le origini dagli attacchi DDoS HTTP(S) distribuendo il traffico tra i 192 punti di presenza (POP) perimetrali in tutto il mondo. Questi POP usano la rete WAN privata di Azure di grandi dimensioni per distribuire le applicazioni Web e i servizi in modo più rapido e sicuro agli utenti finali. Frontdoor di Azure include la protezione di livello 3, 4 e 7 DDoS e un Web Application Firewall (WAF) per proteggere le applicazioni da exploit e vulnerabilità comuni.

Protezione DDoS dell'infrastruttura

Frontdoor di Azure trae vantaggio dalla protezione DDoS predefinita dell'infrastruttura di Azure. Questa protezione monitora e attenua gli attacchi a livello di rete in tempo reale usando la scalabilità globale e la capacità della rete di Frontdoor di Azure. Ha un record comprovato di sicurezza dei servizi aziendali e consumer di Microsoft da attacchi su larga scala.

Blocco del protocollo

Frontdoor di Azure supporta solo protocolli HTTP e HTTPS e richiede un'intestazione valida Host per ogni richiesta. Questo comportamento consente di evitare tipi di attacco DDoS comuni, ad esempio attacchi volumetrici che usano diversi protocolli e porte, attacchi di amplificazione DNS e attacchi di avvelenamento TCP.

Assorbimento della capacità

Frontdoor di Azure è un servizio distribuito a livello globale su larga scala che serve molti clienti, inclusi i prodotti cloud di Microsoft, che gestiscono centinaia di migliaia di richieste al secondo. Posizionata al perimetro della rete di Azure, Frontdoor di Azure può intercettare e isolare geograficamente attacchi di grandi volumi, impedendo al traffico dannoso di raggiungere oltre il bordo della rete di Azure.

Memorizzazione nella cache

È possibile usare le funzionalità di memorizzazione nella cache di Frontdoor di Azure per proteggere i back-end da volumi di traffico di grandi dimensioni generati da un attacco. I nodi perimetrali di Frontdoor di Azure restituiscono risorse memorizzate nella cache, evitando di inoltrarle al back-end. Anche brevi tempi di scadenza della cache (secondi o minuti) nelle risposte dinamiche possono ridurre significativamente il carico sui servizi back-end. Per altre informazioni sui concetti e i modelli di memorizzazione nella cache, vedere Considerazioni sulla memorizzazione nella cache e modello cache-aside.

Web Application Firewall (WAF)

È possibile usare Web application firewall (WAF) di Azure per attenuare vari tipi di attacchi:

  • Il set di regole gestite protegge l'applicazione da molti attacchi comuni. Per altre informazioni, vedere Regole gestite.
  • Bloccare o reindirizzare il traffico da aree geografiche specifiche a una pagina Web statica. Per altre informazioni, vedere Filtro geografico.
  • Bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere Restrizioni IP.
  • Applicare la limitazione della frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Limitazione della frequenza.
  • Creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note.
  • Il set di regole gestite di protezione del bot protegge l'applicazione da bot non valido noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

Per indicazioni sull'uso di WaF di Azure per la protezione da attacchi DDoS, vedere Protezione DDoS dell'applicazione.

Proteggere le origini di Rete virtuale

Abilitare Protezione DDoS di Azure nella rete virtuale di origine per proteggere gli indirizzi IP pubblici dagli attacchi DDoS. Questo servizio offre maggiori vantaggi, ad esempio la protezione dei costi, la garanzia del contratto di servizio e l'accesso al team di risposta rapida DDoS per assistenza esperta durante un attacco.

Migliorare la sicurezza delle origini ospitate in Azure usando collegamento privato di Azure per limitare l'accesso a Frontdoor di Azure. Questa funzionalità stabilisce una connessione di rete privata tra Frontdoor di Azure e i server applicazioni, eliminando la necessità di esporre le origini alla rete Internet pubblica.

Passaggi successivi