Edita

Comparteix a través de


Preguntas más frecuentes sobre Azure DDoS Protection

En este artículo se responden las preguntas más frecuentes sobre Azure DDoS Protection.

¿Qué es un ataque de denegación de servicio distribuido (DDoS)?

La denegación de servicio distribuido, o DDoS, es un tipo de ataque en el que un atacante envía más solicitudes a una aplicación de los que la aplicación es capaz de gestionar. El efecto resultante es el agotamiento de los recursos, lo que afecta a la disponibilidad de la aplicación y a la capacidad de atender a sus clientes. En los últimos años, el sector ha experimentado un fuerte aumento de los ataques, que cada vez son más sofisticados y de mayor magnitud. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que esté públicamente accesible a través de Internet.

¿Qué es el servicio Azure DDoS Protection?

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos. Para más información, consulte Introducción a Azure DDoS Protection

¿Cómo funcionan los precios?

Los planes de protección contra DDoS tienen un cargo mensual fijo que incluye hasta 100 direcciones IP públicas. La protección de recursos adicionales está disponible.

En un inquilino, se puede usar un único plan de protección contra DDoS en varias suscripciones, por lo que no es necesario crear más de uno.

Cuando se implementa Application Gateway con WAF en una red virtual protegida frente a DDoS, no hay cargos adicionales por WAF: se paga por la instancia de Application Gateway con la tarifa inferior que no sea WAF. Esta directiva se aplica a las SKU de Application Gateway v1 y v2.

Para obtener información sobre precios y otros aspectos, consulte Precios de Azure DDoS Protection.

¿Qué nivel de Azure DDoS Protection debo elegir?

Si necesita proteger menos de 15 recursos de IP pública, el nivel Protección de IP es la opción más rentable. Si tiene más de 15 recursos de IP pública para proteger, el nivel Protección de red es más rentable. Protección de red también ofrece características adicionales, como DDoS Protection Rapid Response (DRR), garantías de protección de costos y descuentos de Web Application Firewall (WAF).

¿Es el servicio resistente a zonas?

Sí. De manera predeterminada, Azure DDoS Protection es resistente a zonas.

¿Cómo se configura el servicio para que sea resistente a zonas?

No es necesaria ninguna configuración de parte del cliente para habilitar la resistencia de zonas. La resistencia de zonas para los recursos de Azure DDoS Protection está disponible de manera predeterminada y se administra desde el propio servicio.

¿Qué ocurre con la protección en el nivel de servicio (nivel 7)?

Los clientes pueden usar el servicio Azure DDoS Protection en combinación con un firewall de aplicaciones web (WAF) para la protección tanto en el nivel de red (niveles 3 y 4, que Azure DDoS Protection ofrece) como en el nivel de aplicación (nivel 7, que un WAF ofrece). Entre las ofertas de WAF se incluyen la SKU de WAF de Application Gateway de Azure, y ofertas de firewall de aplicaciones web de terceros disponibles en Azure Marketplace.

¿Los servicios no son seguros en Azure sin el servicio?

Los servicios que se ejecutan en Azure están intrínsecamente protegidos mediante la protección contra DDoS predeterminada en el nivel de infraestructura. Sin embargo, la protección que se aplica a la infraestructura tiene un umbral mucho más alto del que la mayoría de las aplicaciones puede controlar y no proporciona telemetría ni alertas, por lo que, aunque la plataforma pueda percibir un volumen de tráfico como inofensivo, puede ser devastador para la aplicación que lo recibe.

Al incorporar el servicio Azure DDoS Protection, la aplicación obtiene una supervisión dedicada para detectar ataques y umbrales específicos de la aplicación. Un servicio se protegerá con un perfil optimizado para el volumen de tráfico previsto, lo que proporciona una defensa mucho más intensa contra los ataques DDoS.

¿Cuáles son los tipos de recursos protegidos admitidos?

Las direcciones IP públicas en redes virtuales basadas en ARM son actualmente el único tipo de recurso protegido. Entre los recursos protegidos se incluyen las IP públicas conectadas a una máquina virtual IaaS, a Load Balancer (Classic y Standard Load Balancer), a un clúster de Application Gateway (incluido WAF), al firewall, a Bastion, a VPN Gateway, a Service Fabric o a una aplicación virtual de red (NVA) basada en IaaS. La protección también cubre los intervalos de IP públicas que se han traído a Azure a través de prefijos de IP personalizados (BYOIP).

Para más información sobre las limitaciones, consulte Arquitecturas de referencia de Azure DDoS Protection.

¿Se admiten los recursos clásicos/RDFE protegidos?

En la versión preliminar solo se admiten los recursos protegidos basados en ARM. No se admiten las VM de implementaciones clásicas/RDFE. La compatibilidad no está planeada actualmente para los recursos clásicos/RDFE. Para más información, consulte Arquitecturas de referencia de Azure DDoS Protection.

¿Puedo proteger mis recursos de PaaS mediante DDoS Protection?

Actualmente no se admiten las direcciones IP públicas conectadas a servicios de PaaS de una sola VIP y de varios inquilinos. Entre los ejemplos de recursos no admitidos se incluyen las VIP de almacenamiento, las VIP de Event Hubs y las aplicaciones de App Services y Cloud Services. Para más información, consulte Arquitecturas de referencia de Azure DDoS Protection.

¿Puedo proteger mis recursos locales mediante DDoS Protection?

Debe tener los puntos de conexión públicos de su servicio asociados a una red virtual en Azure para que se habiliten para DDoS Protection. Los diseños de ejemplo incluyen:

  • Sitios web (IaaS) en Azure y bases de datos de back-end en el centro de datos local.
  • Application Gateway en Azure (DDoS Protection habilitado en App Gateway/WAF) y sitios web en centros de datos locales.

Para más información, consulte Arquitecturas de referencia de Azure DDoS Protection.

¿Puedo registrar un dominio fuera de Azure y asociarlo a un recurso protegido como VM o ELB?

En el caso de los escenarios de IP pública, el servicio DDoS Protection admitirá cualquier aplicación independientemente de dónde se registre u hospede el dominio asociado, siempre y cuando la dirección IP pública asociada se hospede en Azure.

¿Puedo configurar manualmente la directiva de DDoS aplicada a las redes virtuales o las direcciones IP públicas?

No, lamentablemente, la personalización de la directiva no está disponible en este momento.

¿Puedo autorizar o bloquear direcciones IP específicas?

No, lamentablemente, la configuración manual no está disponible en este momento.

¿Cómo puedo probar DDoS Protection?

¿Cuánto tiempo se tarda en cargar las métricas en el portal?

Las métricas deberían ser visibles en el portal en un plazo de 5 minutos. Si el recurso está sufriendo un ataque, se empezarán a mostrar otras métricas en el portal en un plazo de 5 a 7 minutos.

¿Almacena el servicio datos de los clientes?

No, Azure DDoS Protection no almacena datos de los clientes.

¿Se admite una implementación de máquina virtual única detrás de la dirección IP pública?

Se admiten los escenarios en los que una única máquina virtual se ejecuta detrás de una IP pública, pero no se recomiendan. Es posible que la mitigación de DDoS no se inicie de forma instantánea cuando se detecta un ataque DDoS. Como resultado, una sola implementación de máquina virtual que no se puede escalar horizontalmente quedará inactiva en tales casos. Para obtener más información, consulte Procedimientos recomendados fundamentales.