Defender a instância de Gerenciamento de API do Azure contra ataques de DDoS

APLICA-SE A: Desenvolvedor | Premium

Este artigo mostra como defender a instância de Gerenciamento de API do Azure contra ataques de DDoS (negação de serviço distribuído), habilitando a Proteção contra DDoS do Azure. A Proteção contra DDoS do Azure fornece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS volumétricos e de protocolo.

Observação

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para proteger contra ataques de DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques de DDoS no nível da rede. Para obter mais informações, confira linha de base de segurança dos serviços do Azure.

Configurações com suporte

A habilitação da Proteção contra DDoS do Azure para o Gerenciamento de API tem suporte apenas para instâncias implantadas (injetadas) em uma VNet no modo externo ou no modo interno.

• Modo externo – todos os pontos de extremidade do Gerenciamento de API são protegidos
• Modo interno – somente o ponto de extremidade de gerenciamento acessível na porta 3443 é protegido

Configurações sem suporte

• Instâncias que não são injetadas na VNet
• Instâncias configuradas com um ponto de extremidade privado

Pré-requisitos

• Uma instância de Gerenciamento de API
  • A instância deve ser implantada em uma VNet do Azure no modo externo ou no modo interno.
  • A instância precisa ser configurada com um recurso de endereço IP público do Azure, que tem suporte apenas na stv2plataforma de computação do Gerenciamento de API.

    Observação

    Se a instância for hospedada na plataforma stv1, você deve migrar para a plataforma stv2.

• Uma plano de Proteção contra DDoS do Azure

  • O plano selecionado pode estar na mesma assinatura ou em uma assinatura diferente da rede virtual e da instância de Gerenciamento de API. Se as assinaturas forem diferentes, elas deverão ser associadas ao mesmo locatário do Microsoft Entra.

  • Você pode usar um plano criado usando o SKU de proteção contra DDoS de Rede ou o SKU de Proteção contra DDoS IP. Confira Comparação de SKUs da Proteção contra DDoS do Azure.

    Observação

    Os planos de Proteção contra DDoS do Azure incorrem em encargos adicionais. Para saber mais, consulte Preços.

Habilitar Proteção contra DDoS

Dependendo do plano de Proteção contra DDoS usado, habilite a proteção contra DDoS na rede virtual usada para a instância de Gerenciamento de API ou o recurso de endereço IP configurado para a rede virtual.

Habilitar a Proteção contra DDoS na rede virtual usada para a instância de Gerenciamento de API

1. Na portal do Azure, navegue até a VNet em que o Gerenciamento de API é injetado.

2. No menu esquerdo, em Configurações, selecione Domínios.

3. Selecione Habilitar e, em seguida, o plano de proteção contra DDoS.

4. Clique em Salvar.

   

Habilitar a proteção contra DDoS no endereço IP público de Gerenciamento de API

Se o plano usar o SKU de Proteção contra DDoS de IP, confira Habilitar Proteção de IP contra DDoS para um endereço IP público.

Próximas etapas

• Saiba como verificar a proteção contra DDoS da instância de Gerenciamento de API, testando com parceiros de simulação
• Saiba como exibir e configurar a telemetria da Proteção contra DDoS do Azure