DDoS 攻撃から Azure API Management インスタンスを保護する
適用対象: Developer | Premium
この記事では、Azure DDoS Protection を有効にすることで、分散型サービス拒否 (DDoS) 攻撃から Azure API Management インスタンスを保護する方法について説明します。 Azure DDoS Protection には、帯域幅消費型およびプロトコル型の DDoS 攻撃を保護するための強化された DDoS 軽減機能があります
Note
Web ワークロードの場合は、新たな DDoS 攻撃から保護するために Azure DDoS 保護と Web アプリケーション ファイアウォールを利用することを強くお勧めします。 もう 1 つのオプションは、Web アプリケーション ファイアウォールと共に Azure Front Door を使用することです。 Azure Front Door は、ネットワーク レベルの DDoS 攻撃に対するプラットフォーム レベルの保護を提供します。 詳細については、Azure サービスのセキュリティ ベースラインに関するページを参照してください。
サポートされている構成
API Management 用 Azure DDoS Protection の有効化は、外部モードまたは内部モードで VNet にデプロイ (挿入) されたインスタンスに対してのみサポートされています。
- 外部モード - すべての API Management エンドポイントが保護されます
- 内部モード - ポート 3443 でアクセスできる管理エンドポイントのみが保護されます
サポートされていない構成
- VNet に挿入されていないインスタンス
- プライベート エンドポイントで構成されたインスタンス
前提条件
- API Management インスタンス
- インスタンスは、外部モードまたは内部モードで Azure VNet にデプロイされている必要があります。
- インスタンスは Azure パブリック IP アドレス リソースを使用して構成されている必要があります。これは API Management
stv2コンピューティング プラットフォームでのみサポートされます。Note
インスタンスが
stv1プラットフォームでホストされている場合、stv2プラットフォームに移行する必要があります。
- Azure DDoS Protection プラン
選択するプランは、仮想ネットワークおよび API Management インスタンスと同じか異なるサブスクリプションに含めることができます。 サブスクリプションが異なる場合、それらは同じ Microsoft Entra テナントに関連付けされている必要があります。
ネットワーク DDoS 保護 SKU または IP DDoS Protection SKU のいずれかを使って作成したプランを使用できます。 「Azure DDoS Protection SKU の比較」を参照してください。
注意
Azure DDoS Protection プランには、追加料金が発生します。 詳細については、価格に関するページをご覧ください。
DDoS Protection を有効にする
使う DDoS Protection プランに応じて、API Management インスタンスに使われる仮想ネットワーク上、または仮想ネットワーク用に構成された IP アドレス リソース上で DDoS 保護を有効にします。
API Management インスタンスに使われる仮想ネットワークで DDoS Protection を有効にする
Azure portal で、API Management が挿入された VNet に移動します。
左側のメニューの [設定] で、[DDoS 保護] を選びます。
[有効にする] を選び、[DDoS 保護プラン] を選びます。
[保存] を選択します。
API Management のパブリック IP アドレスで DDoS 保護を有効にする
プランが IP DDoS Protection SKU を使っている場合、「パブリック IP アドレスの DDoS IP 保護を有効にする」を参照してください。
次のステップ
- シミュレーション パートナーとのテストにより、API Management インスタンスの DDoS 保護を確認する方法を学習します
- Azure DDoS Protection テレメトリを表示および構成する方法を学習します