Quando usar a Proteção contra DDoS do Azure
Aqui, comparamos o serviço de Proteção contra DDoS e o serviço de Proteção da Infraestrutura contra DDoS para ter uma ideia melhor dos benefícios da atualização. Nesta unidade, você aprenderá mais sobre as principais diferenças entre o SKU da Proteção contra DDoS e sobre como criar resiliência contra ataques de DDoS em seus aplicativos. Você usará essas informações para decidir qual SKU é ideal para a Contoso.
Criar serviços resilientes a DDoS no Azure
A Proteção da Infraestrutura contra DDoS do Azure protege automaticamente todos os serviços implantados no Azure sem custo adicional e não exige alterações na configuração de aplicativos ou de usuários.
Quando você optar por atualizar a Proteção da Infraestrutura contra DDoS do Azure para a Proteção contra DDoS do Azure, é importante analisar os riscos de um DDoS nos seus principais recursos do Azure. Mesmo com os serviços internos de DDoS disponíveis, é preferível não confiar apenas na proteção após a implantação. É importante criar um aplicativo resiliente e testado para resistir ou recuperar-se rapidamente de um ataque de negação de serviço.
A estrutura do Azure para resiliência de carga de trabalho
A equipe do Azure publicou uma estrutura para projetar sua carga de trabalho para resiliência. Essa estrutura é uma coleção de princípios de orientação que você pode seguir para aprimorar a qualidade de uma carga de trabalho.
Ao criar ou implantar sua carga de trabalho, é importante projetar para:
- Segurança. Identificar e documentar os requisitos de segurança no início do ciclo de vida de desenvolvimento. Esta prática ajuda você a garantir que a segurança seja uma prioridade em todo o ciclo de vida de um aplicativo. Aplicativos mal projetados podem ter rotinas ineficientes que usam recursos excessivos, o que pode causar uma interrupção de serviço mesmo com uma baixa taxa de solicitação.
- Escalabilidade. O Azure oferece dimensionamento horizontal automático de um aplicativo, mas você precisa projetar seu aplicativo para atender a essa demanda em caso de um DDoS. Quando o aplicativo depende de uma só implantação de um serviço, isso resulta em um ponto único de falha. O provisionamento de várias instâncias torna o sistema mais resiliente e mais escalonável.
- Defesa em profundidade. A defesa em profundidade é uma estratégia bem aceita que usa várias medidas de segurança para proteger os ativos de uma organização. Você pode reduzir a chance de um ataque bem-sucedido colocando em camadas e até mesmo duplicando as defesas de segurança para os serviços do Azure. Você também pode aprimorar a segurança e a robustez do seu design conhecendo e compreendendo as funcionalidades da plataforma interna do Azure. Outro benefício do uso dos serviços do Azure é uma redução da superfície de ataque do aplicativo. A defesa em profundidade incorpora todas as medidas de segurança da organização para resolver todos os problemas relacionados à proteção de um aplicativo.
Essas medidas podem ajudá-lo a aprimorar a segurança e atender aos requisitos regulatórios. Depois de abordar as considerações para a criação de aplicativos resilientes a DDoS, agora você precisa determinar de quais recursos da Proteção contra DDoS do Azure você precisa. A tabela a seguir compara os principais recursos da Proteção em níveis contra DDoS e a Proteção da Infraestrutura contra DDoS.
| Recurso | Proteção da Infraestrutura contra DDoS | Proteção de Rede contra DDoS | Proteção de IP contra DDoS |
|---|---|---|---|
| Monitoramento de tráfego ativo e detecção sempre ativada | Sim | Sim | Sim |
| Mitigação automática de ataque | Sim | Sim | Sim |
| Garantia de disponibilidade | Não | Sim | Sim |
| Proteção de custo | Não | Sim | Não |
| Políticas de mitigação ajustadas para o aplicativo do cliente | Não | Sim | Yes |
| Métricas e alertas | Não | Sim | Sim |
| Relatórios de mitigação | Não | Sim | Sim |
| Logs de fluxo de mitigação | Não | Sim | Sim |
| Suporte para resposta rápida a DDoS | Não | Sim | Não |
Recursos adicionais da Proteção contra DDoS
Com a Proteção contra DDoS, o tráfego sempre permanece na região do Azure. Manter o tráfego dentro da região local também ajuda no desempenho, pois a Proteção contra DDoS realiza a mitigação de ataque em uma região do Azure. A Proteção contra DDoS do Azure atenua o tráfego do ataque mais perto do aplicativo. No entanto, se a Microsoft identificar que o volume de ataque é significativo, ela usará a escala global da rede do Azure para a defesa contra o ataque no lugar de origem.
A Microsoft usa essa estratégia de defesa em profundidade para proteger seus serviços de back-end e seus serviços do Azure, como o Azure Front Door e o Gateway de Aplicativo do Azure.
A Proteção contra DDoS oferece mais recursos do que a Proteção da Infraestrutura contra DDoS. Se você determinar que alguns aplicativos são críticos, por exemplo, um site de comércio eletrônico de alto volume que gera receita, a Proteção contra DDoS será a opção recomendada.
Você decidiu que o SKU da Proteção de IP contra DDoS é perfeito para sua pequena organização, pois é um serviço pago por IP. Você sabe que pode alternar para o SKU de Proteção de Rede contra DDoS para proteção de Rede virtual, suporte a resposta rápida de DDoS e garantia de custo depois que a Contoso expandir seus serviços.