Schützen Ihrer Azure API Management-Instanz vor DDoS-Angriffen

GILT FÜR: Entwickler | Premium

In diesem Artikel erfahren Sie, wie Sie Ihre Azure API Management-Instanz vor DDoS-Angriffen (Distributed Denial of Service) schützen, indem Sie Azure DDoS Protection aktivieren. Azure DDoS Protection bietet erweiterte DDoS-Entschärfungsfeatures zum Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen.

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall zu verwenden. Azure Front Door bietet auf Plattformebene Schutz vor DDoS-Angriffen auf Netzwerkebene. Weitere Informationen finden Sie unter Sicherheitsbaseline für Azure-Dienste.

Unterstützte Konfigurationen

Die Aktivierung von Azure DDoS Protection für API Management wird derzeit nur für Instanzen unterstützt, die in einem VNet im externen Modus oder im internen Modus bereitgestellt (eingefügt) wurden.

• Externer Modus: Alle API Management-Endpunkte sind geschützt.
• Interner Modus: Nur der Verwaltungsendpunkt, auf den über Port 3443 zugegriffen werden kann, ist geschützt.

Nicht unterstützte Konfigurationen

• Instanzen ohne VNet-Einfügung
• Mit einem privaten Endpunkt konfigurierte Instanzen

Voraussetzungen

• Eine API Management-Instanz
  • Die Instanz muss in einem virtuellen Azure-Netzwerk im externen Modus oder im internen Modus bereitgestellt werden.
  • Die Instanz muss mit einer öffentlichen Azure-IP-Adressressource konfiguriert werden, was nur auf der Computeplattformstv2 von API Management unterstützt wird.

    Hinweis

    Wird die Instanz auf der Plattform stv1 gehostet, muss sie zur Plattform stv2migriert werden.

• Ein Azure DDoS Protection-Plan

  • Der von Ihnen gewählte Plan kann sich im gleichen oder in einem anderen Abonnement befinden wie das virtuelle Netzwerk und die API Management-Instanz. Wenn sich die Abonnements unterscheiden, müssen sie demselben Microsoft Entra-Mandanten zugeordnet sein.

  • Sie können einen Plan verwenden, der entweder unter Verwendung der SKU „DDoS-Netzwerkschutz“ oder unter Verwendung der SKU „DDoS-IP-Schutz“ erstellt wurde. Weitere Informationen finden Sie unter Informationen zum Vergleich der Azure DDoS Protection-SKUs.

    Hinweis

    Durch Azure DDoS Protection-Pläne fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Preise.

Aktivieren von DDoS Protection

Aktivieren Sie den DDoS-Schutz je nach verwendetem DDoS Protection-Plan entweder für das virtuelle Netzwerk, das für Ihre API Management-Instanz verwendet wird, oder für die IP-Adressressource, die für Ihr virtuelles Netzwerk konfiguriert ist.

Aktivieren von DDoS Protection für das virtuelle Netzwerk, das für Ihre API Management-Instanz verwendet wird

1. Navigieren Sie im Azure-Portal zu dem VNet, in das Ihre API Management-Instanz eingefügt wird.

2. Wählen Sie im linken Menü unter Einstellungen die Option DDoS-Schutz aus.

3. Wählen Sie Aktivieren und anschließend unter DDoS-Schutzplan Ihren DDoS-Schutzplan aus.

4. Wählen Sie Speichern aus.

   

Aktivieren von DDoS Protection für die öffentliche IP-Adresse von API Management

Wenn Ihr Plan die SKU „DDoS-IP-Schutz“ verwendet, finden Sie weitere Informationen unter Deaktivieren von DDoS-IP-Schutz für eine vorhandene öffentliche IP-Adresse.

Nächste Schritte

• Erfahren Sie, wie Sie den DDoS-Schutz Ihrer API Management-Instanz durch Testen mit Simulationspartnern überprüfen.
• Erfahren Sie, wie Sie Telemetriedaten von Azure DDoS Protection anzeigen und konfigurieren.