Quando usar a Proteção contra DDoS do Azure
Aqui comparamos o serviço de Proteção de Infraestrutura DDoS e o serviço de Proteção contra DDoS para ter uma ideia melhor dos benefícios da atualização. Nesta unidade, você aprenderá mais sobre as principais diferenças entre as SKUs de proteção contra DDoS e sobre como criar resiliência contra ataques DDoS em seus aplicativos. Você usará essas informações para decidir qual SKU é a certa para a Contoso.
Criar serviços resilientes a DDoS no Azure
A Proteção de Infraestrutura DDoS do Azure protege automaticamente todos os serviços implantados no Azure sem custo adicional e também não requer alterações na configuração de aplicativos ou usuários.
Ao decidir atualizar da Proteção de Infraestrutura DDoS do Azure para a Proteção contra DDoS do Azure, é importante fazer uma análise de risco para um ataque DDoS em seus principais recursos do Azure. Mesmo com os serviços DDoS integrados disponíveis, é preferível não confiar apenas na proteção pós-implantação. É importante criar um aplicativo resiliente e testado para resistir ou se recuperar rapidamente de um ataque de negação de serviço.
A estrutura do Azure para resiliência da carga de trabalho
A equipe do Azure publicou uma estrutura para projetar sua carga de trabalho para resiliência. Essa estrutura é uma coleção de princípios orientadores que você pode seguir para melhorar a qualidade de uma carga de trabalho.
Ao criar ou implantar sua carga de trabalho, é importante projetar para:
- Segurança. Identifique e documente os requisitos de segurança no início do ciclo de vida do desenvolvimento. Essa prática ajuda a garantir que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo. Aplicativos mal projetados podem ter rotinas ineficientes que usam recursos excessivos, o que pode causar uma interrupção do serviço, mesmo com uma baixa taxa de solicitações.
- Escalabilidade. O Azure oferece dimensionamento automático horizontal de um aplicativo, mas você deve projetar seu aplicativo para atender a essa demanda se houver um ataque DDoS. Quando o aplicativo depende de uma única implantação de um serviço, isso resulta em um único ponto de falha. O provisionamento de várias instâncias torna seu sistema mais resiliente e escalável.
- Defesa em profundidade. A defesa em profundidade é uma estratégia bem aceita que usa várias medidas de segurança para proteger os ativos de uma organização. Você pode reduzir a chance de um ataque bem-sucedido colocando em camadas e até mesmo duplicando defesas de segurança para serviços do Azure. Também pode melhorar a segurança e a robustez do seu design conhecendo e compreendendo as capacidades da plataforma Azure incorporada. Outro benefício de usar os serviços do Azure é uma redução na superfície de ataque do seu aplicativo. A defesa em profundidade incorpora todas as medidas de segurança da organização para resolver todos os problemas relacionados à proteção de um aplicativo.
Essas medidas podem ajudá-lo a melhorar a segurança e atender aos requisitos regulamentares. Depois de abordar as considerações para criar aplicativos resilientes contra DDoS, agora você precisa determinar quais recursos da Proteção contra DDoS do Azure são necessários. A tabela a seguir compara os principais recursos das camadas de Proteção contra DDoS e da Proteção de Infraestrutura contra DDoS.
| Funcionalidade | Proteção de infraestrutura DDoS | Proteção de rede DDoS | Proteção IP contra DDoS |
|---|---|---|---|
| Monitoramento de tráfego ativo e deteção sempre ativada | Sim | Sim | Sim |
| Mitigação automática de ataques | Sim | Sim | Sim |
| Garantia de disponibilidade | Não | Sim | Sim |
| Proteção de custos | Não | Sim | No |
| Políticas de mitigação ajustadas ao aplicativo do cliente | Não | Sim | Sim |
| Métricas e Alertas | Não | Sim | Sim |
| Relatórios de mitigação | Não | Sim | Sim |
| Logs de fluxo de mitigação | Não | Sim | Sim |
| Suporte de resposta rápida DDoS | Não | Sim | No |
Recursos adicionais de proteção contra DDoS
Com a Proteção contra DDoS, o tráfego sempre permanece dentro da região do Azure. Manter o tráfego dentro da região local também ajuda no desempenho, porque a Proteção contra DDoS está fazendo a mitigação de ataques em uma região do Azure. A Proteção contra DDoS do Azure atenua o tráfego de ataque mais próximo do aplicativo. No entanto, se a Microsoft identificar que o volume de ataque é significativo, usará a escala global da rede do Azure para defender o ataque de onde ele está se originando.
A Microsoft usa essa estratégia de defesa profunda para proteger seus serviços de back-end e seus serviços do Azure, como o Azure Front Door e o Azure Application Gateway.
A Proteção contra DDoS oferece mais recursos do que a Proteção contra Infraestrutura contra DDoS. Se você determinar que determinados aplicativos são críticos; por exemplo, um site de comércio eletrônico de alto volume e gerador de receita, então a Proteção contra DDoS é a escolha recomendada.
Você decidiu que o DDoS IP Protection SKU é perfeito para sua pequena organização, pois é um serviço pago por IP. Você sabe que pode alternar para a SKU de Proteção de Rede DDoS para proteção de rede virtual, suporte a Resposta Rápida DDoS e garantia de custo assim que a Contoso expandir seus serviços.