Informationen zum Vergleich der Azure DDoS Protection-Tarife
In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen für Azure DDoS Protection erläutert.
Ebenen
Azure DDoS Protection unterstützt zwei Tariftypen, DDoS-IP-Schutz und DDoS-Netzwerkschutz. Der Tarif wird während des Workflows im Azure-Portal konfiguriert, wenn Sie Azure DDoS Protection konfigurieren.
Die folgende Tabelle enthält die Features der entsprechenden Tarife.
| Funktion | DDoS-IP-Schutz | DDoS-Netzwerkschutz |
|---|---|---|
| Aktive Überwachung des Datenverkehrs und Always On-Erkennung | Ja | Ja |
| L3/L4 Automatische Angriffsentschärfung | Ja | Ja |
| Automatische Angriffsentschärfung | Ja | Ja |
| Anwendungsbasierte Entschärfungsrichtlinien | Ja | Ja |
| Metriken und Warnungen | Ja | Ja |
| Risikominderungsberichte | Ja | Ja |
| Protokolle des Risikominderungsflusses | Ja | Ja |
| Auf die Kundenanwendung abgestimmte Entschärfungsrichtlinien | Ja | Ja |
| Integration mit Firewall Manager | Ja | Ja |
| Microsoft Sentinel-Datenconnector und Arbeitsmappe | Ja | Ja |
| Schutz von Ressourcen über Abonnements in einem Mandanten hinweg | Ja | Ja |
| Schutz für öffentliche IP-Adressen – Tarif „Standard“ | Ja | Ja |
| Schutz für öffentliche IP-Adressen – Tarif „Basic“ | Nein | Ja |
| Unterstützung von DDoS Rapid Response | Nicht verfügbar | Ja |
| Kostenschutz | Nicht verfügbar | Ja |
| WAF-Rabatt | Nicht verfügbar | Ja |
| Preis | Pro geschützte IP | Pro 100 geschützte IP-Adressen |
Hinweis
Ohne zusätzliche Kosten schützt Azure DDoS-Infrastrukturschutz jeden Azure-Dienst, der öffentliche IPv4- und IPv6-Adressen verwendet. Dieser DDoS Protection-Dienst schützt alle Azure-Dienste, einschließlich PaaS-Dienste (Platform-as-a-Service) wie Azure DNS. Weitere Informationen zu unterstützten PaaS-Diensten finden Sie unter DDoS Protection-Referenzarchitekturen. Der Azure DDoS-Infrastrukturschutz erfordert keine Konfiguration oder Anwendungsänderungen durch den Benutzer. Azure bietet dauerhaften Schutz gegen DDoS-Angriffe. DDoS Protection speichert keine Kundendaten.
Einschränkungen
DDoS-Netzwerkschutz und DDoS-IP-Schutz haben die folgenden Einschränkungen:
- PaaS-Dienste (mandantenfähig), zu denen Azure App Service-Umgebung für Power Apps, Azure API Management in anderen Bereitstellungsmodi als APIM mit virtueller Netzwerkintegration (weitere Informationen unter https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) und Azure Virtual WAN gehören, werden derzeit nicht unterstützt.
- Der Schutz einer öffentlichen IP-Ressource, die an ein NAT Gateway angefügt ist, wird nicht unterstützt.
- Virtuelle Maschinen in klassischen/RDFE-Bereitstellungen werden nicht unterstützt.
- VPN-Gateway oder Gateway für virtuelle Netzwerke wird durch eine DDoS-Richtlinie geschützt. Die adaptive Optimierung wird in dieser Phase nicht unterstützt.
- Teilweise unterstützt: Der Azure DDoS Protection-Dienst kann einen öffentlichen Lastenausgleich mit einem mit dem Front-End verknüpften öffentlichen IP-Adresspräfix schützen. Er erkennt und entschärft DDoS-Angriffe effektiv. Telemetriedaten und Protokollierung für die geschützten öffentlichen IP-Adressen innerhalb des Präfixbereichs sind jedoch derzeit nicht verfügbar.
DDoS IP-Schutz ähnelt dem Netzwerkschutz, weist jedoch die folgende zusätzliche Einschränkung auf:
- Basic-Tarif-Schutz für öffentliche IP-Adressen wird nicht unterstützt.
Hinweis
Szenarien, in denen eine einzelne VM mit einer öffentlichen IP-Adresse ausgeführt wird, werden unterstützt, aber nicht empfohlen. Weitere Informationen finden Sie unter Grundlegende bewährte Methoden.
Weitere Informationen finden Sie unter Azure DDoS Protection – Referenzarchitekturen.