Partilhar via


Proteção contra DDoS na porta frontal

O Azure Front Door é uma Rede de Entrega de Conteúdo (CDN) que pode ajudá-lo a proteger suas origens contra ataques DDoS HTTP(S) distribuindo o tráfego em seus 192 POPs de borda em todo o mundo. Esses POPs usam nossa grande WAN privada para fornecer seus aplicativos e serviços da Web de forma mais rápida e segura para seus usuários finais. O Azure Front Door também inclui proteção contra DDoS de camada 3, 4 e 7 e um firewall de aplicativo Web (WAF) para ajudar a proteger seus aplicativos contra exploits e vulnerabilidades comuns.

Proteção contra DDoS de infraestrutura

O Azure Front Door se beneficia da proteção DDoS padrão da infraestrutura do Azure. Essa proteção monitora e mitiga ataques à camada de rede em tempo real usando a escala global e a capacidade da rede da Front Door. Essa proteção tem um histórico comprovado na proteção dos serviços corporativos e de consumo da Microsoft contra ataques em larga escala.

Bloqueio de protocolo

O Azure Front Door suporta apenas os protocolos HTTP e HTTPS e requer um cabeçalho 'Host' válido para cada solicitação. Esse comportamento ajuda a evitar alguns tipos comuns de ataque DDoS, como ataques volumétricos que usam vários protocolos e portas, ataques de amplificação de DNS e ataques de envenenamento de TCP.

Absorção de capacidade

O Azure Front Door é um serviço distribuído globalmente em grande escala. Ele atende muitos clientes, incluindo os próprios produtos de nuvem da Microsoft que lidam com centenas de milhares de solicitações por segundo. O Front Door está situado na borda da rede do Azure, onde pode intercetar e isolar geograficamente ataques de grande volume. Portanto, o Front Door pode impedir que o tráfego mal-intencionado alcance além da borda da rede do Azure.

Colocação em cache

Você pode usar os recursos de cache do Front Door para proteger seus back-ends de grandes volumes de tráfego gerados por um ataque. Os nós de borda da porta frontal retornam recursos armazenados em cache e evitam encaminhá-los para o back-end. Mesmo tempos de expiração de cache curtos (segundos ou minutos) em respostas dinâmicas podem reduzir significativamente a carga em seus serviços de back-end. Para obter mais informações sobre conceitos e padrões de cache, consulte Considerações sobre cache e Padrão de cache-side.

Firewall de Aplicações Web (WAF)

Você pode usar o Web Application Firewall (WAF) do Front Door para mitigar muitos tipos diferentes de ataques:

  • O conjunto de regras gerenciadas protege seu aplicativo contra muitos ataques comuns. Para obter mais informações, consulte Regras gerenciadas.
  • Você pode bloquear ou redirecionar o tráfego de fora ou dentro de uma região geográfica específica para uma página da Web estática. Para obter mais informações, consulte Filtragem geográfica.
  • Pode bloquear endereços IP e intervalos que identifique como maliciosos. Para obter mais informações, consulte Restrições de IP.
  • Você pode aplicar limite de taxa para evitar que os endereços IP chamem seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.
  • Você pode criar regras WAF personalizadas para bloquear e limitar automaticamente os ataques HTTP ou HTTPS que tenham assinaturas conhecidas.
  • O conjunto de regras gerenciadas de proteção de bot protege seu aplicativo contra bots mal-intencionados conhecidos. Para obter mais informações, consulte Configurando a proteção de bot.

Consulte Proteção contra DDoS de aplicativos para obter orientação sobre como usar o WAF do Azure para se proteger contra ataques DDoS.

Proteja as origens da rede virtual

Para proteger seus IPs públicos contra ataques DDoS, habilite a Proteção contra DDoS do Azure na rede virtual de origem. Os clientes de Proteção contra DDoS recebem benefícios extras, como proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para assistência imediata durante um ataque.

Melhore a segurança de suas origens hospedadas no Azure restringindo seu acesso à Porta da Frente do Azure por meio do Azure Private Link. Esse recurso permite uma conexão de rede privada entre o Azure Front Door e seus servidores de aplicativos, eliminando a necessidade de expor suas origens à Internet pública.

Próximos passos