次の方法で共有


DDoS 攻撃から Azure API Management インスタンスを保護する

適用対象: Developer | Premium

この記事では、Azure DDoS Protection を有効にすることで、分散型サービス拒否 (DDoS) 攻撃から Azure API Management インスタンスを保護する方法について説明します。 Azure DDoS Protection には、帯域幅消費型およびプロトコル型の DDoS 攻撃を保護するための強化された DDoS 軽減機能があります

Note

Web ワークロードの場合は、新たな DDoS 攻撃から保護するために Azure DDoS 保護Web アプリケーション ファイアウォールを利用することを強くお勧めします。 もう 1 つのオプションは、Web アプリケーション ファイアウォールと共に Azure Front Door を使用することです。 Azure Front Door は、ネットワーク レベルの DDoS 攻撃に対するプラットフォーム レベルの保護を提供します。 詳細については、Azure サービスのセキュリティ ベースラインに関するページを参照してください。

サポートされている構成

API Management 用 Azure DDoS Protection の有効化は、外部モードまたは内部モードVNet にデプロイ (挿入) されたインスタンスに対してのみサポートされています。

  • 外部モード - すべての API Management エンドポイントが保護されます
  • 内部モード - ポート 3443 でアクセスできる管理エンドポイントのみが保護されます

サポートされていない構成

前提条件

  • API Management インスタンス
    • インスタンスは、外部モードまたは内部モードで Azure VNet にデプロイされている必要があります。
    • インスタンスは Azure パブリック IP アドレス リソースを使用して構成されている必要があります。これは API Management stv2 コンピューティング プラットフォームでのみサポートされます。

      Note

      インスタンスが stv1 プラットフォームでホストされている場合、stv2 プラットフォームに移行する必要があります。

  • Azure DDoS Protection プラン
    • 選択するプランは、仮想ネットワークおよび API Management インスタンスと同じか異なるサブスクリプションに含めることができます。 サブスクリプションが異なる場合、それらは同じ Microsoft Entra テナントに関連付けされている必要があります。

    • ネットワーク DDoS 保護 SKU または IP DDoS Protection SKU のいずれかを使って作成したプランを使用できます。 「Azure DDoS Protection SKU の比較」を参照してください。

      注意

      Azure DDoS Protection プランには、追加料金が発生します。 詳細については、価格に関するページをご覧ください。

DDoS Protection を有効にする

使う DDoS Protection プランに応じて、API Management インスタンスに使われる仮想ネットワーク上、または仮想ネットワーク用に構成された IP アドレス リソース上で DDoS 保護を有効にします。

API Management インスタンスに使われる仮想ネットワークで DDoS Protection を有効にする

  1. Azure portal で、API Management が挿入された VNet に移動します。

  2. 左側のメニューの [設定] で、[DDoS 保護] を選びます。

  3. [有効にする] を選び、[DDoS 保護プラン] を選びます。

  4. [保存] を選択します。

    Azure portal の VNet で DDoS Protection プランを有効にするスクリーンショット。

API Management のパブリック IP アドレスで DDoS 保護を有効にする

プランが IP DDoS Protection SKU を使っている場合、「パブリック IP アドレスの DDoS IP 保護を有効にする」を参照してください。

次のステップ