Vergelijking van Azure DDoS-beveiligingslaag
In de secties in dit artikel worden de resources en instellingen van Azure DDoS Protection besproken.
Lagen
Azure DDoS Protection ondersteunt twee laagtypen, DDoS IP Protection en DDoS-netwerkbeveiliging. De laag wordt tijdens de werkstroom geconfigureerd in Azure Portal wanneer u Azure DDoS Protection configureert.
In de volgende tabel ziet u functies en bijbehorende lagen.
| Functie | DDoS IP-beveiliging | DDoS-netwerkbeveiliging |
|---|---|---|
| Actieve verkeersbewaking en altijd ingeschakelde detectie | Ja | Ja |
| L3/L4 Automatische aanvalsbeperking | Ja | Ja |
| Automatische aanvalsbeperking | Ja | Ja |
| Beleid voor risicobeperking op basis van toepassingen | Ja | Ja |
| Metrische gegevens en waarschuwingen | Ja | Ja |
| Risicobeperkingsrapporten | Ja | Ja |
| Stroomlogboeken voor risicobeperking | Ja | Ja |
| Beperkingsbeleid dat is afgestemd op de toepassing van klanten | Ja | Ja |
| Integratie met Firewall Manager | Ja | Ja |
| Microsoft Sentinel-gegevensconnector en -werkmap | Ja | Ja |
| Beveiliging van resources tussen abonnementen in een tenant | Ja | Ja |
| Beveiliging van openbare IP Standard-laag | Ja | Ja |
| Beveiliging van openbare IP Basic-lagen | Nr. | Ja |
| Ondersteuning voor snelle respons van DDoS | Niet beschikbaar | Ja |
| Kostenbeveiliging | Niet beschikbaar | Ja |
| WAF-korting | Niet beschikbaar | Ja |
| Prijs | Per beveiligd IP-adres | Per 100 beveiligde IP-adressen |
Notitie
Zonder extra kosten beveiligt Azure DDoS-infrastructuurbeveiliging elke Azure-service die gebruikmaakt van openbare IPv4- en IPv6-adressen. Deze DDoS-beveiligingsservice helpt bij het beveiligen van alle Azure-services, waaronder PaaS-services (Platform as a Service), zoals Azure DNS. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde PaaS-services. Azure DDoS-infrastructuurbeveiliging vereist geen wijzigingen in de gebruikersconfiguratie of toepassing. Azure biedt continue beveiliging tegen DDoS-aanvallen. DDoS-beveiliging slaat geen klantgegevens op.
Beperkingen
DDoS-netwerkbeveiliging en DDoS IP-beveiliging hebben de volgende beperkingen:
- PaaS-services (meerdere tenants), waaronder Azure-app Service Environment for Power Apps, Azure API Management in andere implementatiemodi dan APIM met integratie van virtuele netwerken en Azure Virtual WAN worden momenteel niet ondersteund. Zie Azure DDoS Protection APIM in VNET-integratie voor meer informatie
- Het beveiligen van een openbare IP-resource die is gekoppeld aan een NAT-gateway, wordt niet ondersteund.
- Virtuele machines in klassieke/RDFE-implementaties worden niet ondersteund.
- VPN-gateway of virtuele netwerkgateway wordt beveiligd door een DDoS-beleid. Adaptief afstemmen wordt in deze fase niet ondersteund.
- Beveiliging van een openbaar IP-adresvoorvoegsel dat is gekoppeld aan een openbare front-end van de load balancer wordt ondersteund met de Azure DDoS Network Protection-SKU.
- DDoS-telemetrie voor afzonderlijke exemplaren van virtuele machines in virtuele-machineschaalsets is beschikbaar met de flexibele indelingsmodus.
DDoS IP Protection is vergelijkbaar met Netwerkbeveiliging, maar heeft de volgende aanvullende beperking:
- Beveiliging van openbare IP Basic-lagen wordt niet ondersteund.
Notitie
Scenario's waarin één VIRTUELE machine achter een openbaar IP-adres wordt uitgevoerd, wordt ondersteund, maar niet aanbevolen. Zie Basisprocedures voor meer informatie.
Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.