Recomendar quando usar a Proteção contra DDoS do Azure Standard
Ataques de DDoS (negação de serviço distribuído) são uma das maiores preocupações de disponibilidade e de segurança enfrentadas pelos clientes que estão migrando seus aplicativos para a nuvem. Um ataque de DDoS tenta esgotar os recursos de um aplicativo, fazendo com que o aplicativo fique indisponível para usuários legítimos. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos.
A Proteção contra DDoS do Azure protege as camadas de rede da camada 3 e camada 4. Para proteção dos aplicativos Web na camada 7, é necessário adicionar proteção na camada do aplicativo usando uma oferta do WAF.
Tiers
Proteção de Rede contra DDoS
A Proteção de Rede contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
Proteção de IP DDoS
A Proteção de IP contra DDoS é um modelo de pagamento por IP protegido. A Proteção de IP contra DDoS contém os mesmos recursos principais de engenharia da Proteção de Rede contra DDoS, mas se diferencia nos seguintes serviços de valor agregado: suporte a resposta rápida de DDoS, proteção de custos e descontos no WAF.
Principais recursos
Monitoramento de tráfego sempre ativo: os padrões de tráfego de seus aplicativos são monitorados 24 horas por dia, 7 dias por semana, em busca de indicadores de ataques DDoS. A Proteção contra DDoS do Azure reduz o ataque de maneira instantânea e automática assim que ele é detectado.
Ajuste adaptativo em tempo real: a criação inteligente de perfis de tráfego aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil se ajusta conforme o tráfego é alterado ao longo do tempo.
Análises, métricas e alertas da Proteção contra DDoS: a Proteção contra DDoS do Azure aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) em cada IP público do recurso protegido na rede virtual que possui a funcionalidade DDoS habilitada. Os limites da política são configurados automaticamente por meio da criação de perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política for excedido.
- Análise de ataque: obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, além de um resumo completo após o término dele. Transmita logs do fluxo de mitigação por streaming para o Microsoft Sentinel ou um sistema de SIEM (gerenciamento de informações e eventos de segurança) offline para monitoramento quase em tempo real durante um ataque.
- Métricas de ataque: métricas resumidas de cada ataque são acessíveis por meio do Azure Monitor.
- Alerta de ataque: alertas podem ser configurados no início, durante e após a interrupção de um ataque, usando métricas de ataque internas. Os alertas integram-se ao software operacional, como logs do Microsoft Azure Monitor, Splunk, Armazenamento do Microsoft Azure, Email e o Portal do Azure.
Azure DDoS Rapid Response: durante um ataque ativo, os clientes têm acesso à equipe DDoS Rapid Response (DRR), que pode ajudar na investigação durante um ataque e na análise após o ataque.
Integração de plataforma nativa: nativamente integrado ao Azure. Inclui a configuração por meio do Portal do Azure. A Proteção contra DDoS do Azure compreende seus recursos e a respectiva configuração.
Proteção pronta para uso: a configuração simplificada protege imediatamente todos os recursos em uma rede virtual assim que a Proteção de Rede contra DDoS é habilitada. Nenhuma definição ou intervenção do usuário é necessária. Da mesma forma, a configuração simplificada protege imediatamente um recurso de IP público quando a Proteção de IP contra DDoS está habilitada para ele.
Proteção multicamadas: quando implantada com um firewall do aplicativo Web (WAF), a Proteção contra DDoS do Azure protege nas camada de rede (Camada 3 e 4, fornecidas pela Proteção contra DDoS do Azure) e nas camada de aplicativo (Camada 7, fornecida por um WAF).
Escala de mitigação ampla: todos os vetores de ataque L3/L4 podem ser mitigados, com capacidade global, para proteger contra os maiores ataques de DDoS conhecidos.
Garantia de custo: receba crédito de serviço de transferência de dados e expansão de aplicativo para custos de recursos incorridos como resultado de ataques DDoS documentados.
Arquitetura
A Proteção contra DDoS do Azure destina-se a serviços implantados em uma rede virtual. Para outros serviços, a proteção contra DDoS de nível de infraestrutura padrão se aplica, que defende contra ataques comuns de camada de rede.
Preços
No caso da Proteção de Rede contra DDoS, em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas; portanto, não é necessário mais de um plano de proteção contra DDoS. No caso da Proteção de IP contra DDoS, não é necessário criar um plano de proteção contra DDoS. Os clientes podem habilitar a proteção de IP de DDoS em qualquer recurso de IP público.
Práticas Recomendadas
Maximize a eficácia de sua estratégia de proteção e mitigação contra DDoS seguindo estas melhores práticas:
- Crie seus aplicativos e infraestrutura com redundância e resiliência em mente.
- Implemente uma abordagem de segurança de várias camadas, incluindo rede, aplicativo e proteção de dados.
- Prepare um plano de resposta a incidentes para garantir uma resposta coordenada aos ataques de DDoS.