¿Qué es Azure DDoS Protection?

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos.

Azure DDoS Protection protege en capas de red de capa 3 y 4. Para la protección de aplicaciones web en el nivel 7, deberá agregar protección en el nivel de aplicación mediante una oferta de WAF. Para más información, consulte Protección contra DDoS para aplicaciones.

Niveles

Protección de red contra DDoS

Protección de red contra DDoS de Azure, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. Para más información sobre cómo habilitar DDoS Network Protection, consulte Inicio rápido: Creación y configuración de Azure DDoS Network Protection mediante Azure Portal.

Protección de IP contra DDoS

Protección de IP contra DDoS es un modelo de IP de pago por protección. Protección de IP contra DDoS contiene las mismas características de ingeniería principales que Protección de red contra DDoS, pero variará en los siguientes servicios de valor añadido: compatibilidad con respuesta rápida de DDoS, protección de costos y descuentos en WAF. Para más información sobre cómo habilitar Protección de IP contra DDoS, consulte Inicio rápido: Creación y configuración de Protección de IP contra DDoS mediante Azure PowerShell.

Para más información sobre los niveles, consulte Comparación de niveles de DDoS Protection.

Principales características

• Supervisión continua del tráfico: los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS. Azure DDoS Protection mitiga instantánea y automáticamente el ataque, una vez detectado.

• Optimización en tiempo real adaptable: la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio. El perfil se ajusta a medida que el tráfico cambia con el tiempo.

• Análisis, métricas y alertas de DDoS Protection: Azure DDoS Protection aplica tres políticas de mitigación autoajustadas (TCP SYN, TCP y UDP) para cada IP pública del recurso protegido en la red virtual que tiene habilitado el DDoS. Los umbrales de las directivas se configuran automáticamente con el sistema de generación de perfiles de tráfico de red basado en aprendizaje automático. La mitigación de DDoS se produce para una dirección IP que está siendo atacada solo cuando se supera el umbral de la directiva.

  • Análisis de ataques: ofrece informes detallados en incrementos de cinco minutos durante un ataque y un resumen completo después de que el ataque termine. Transmita los registros del flujo de mitigación a Microsoft Sentinel o a un sistema de administración de eventos e información de seguridad (SIEM) sin conexión para supervisar el sistema casi en tiempo real durante un ataque. Consulte Visualización y configuración del registro de diagnóstico de DDoS para obtener más información.

  • Métricas de ataques: con Azure Monitor se puede acceder a un resumen de métricas de cada ataque. Consulte Visualización y configuración de la telemetría de protección contra DDoS para más información.

  • Alertas de ataques: las alertas se pueden configurar en el inicio y la detención de un ataque y a lo largo de la duración del ataque mediante métricas de ataque integradas. Las alertas se integran en el software operativo, como los registros de Microsoft Azure Monitor, Splunk, Azure Storage, el correo electrónico y Azure Portal. Consulte Visualización y configuración de alertas de protección contra DDoS para obtener más información.

• Respuesta rápida de Azure DDoS: Durante un ataque activo, los clientes tienen acceso al equipo de Respuesta rápida de DDoS (DRR), que puede ayudar con la investigación de ataques durante un ataque y con el análisis posterior al ataque. Para más información, consulte Respuesta rápida de Azure DDoS.

• Integración de plataforma nativa: integrado de forma nativa en Azure. Incluye la configuración a través de Azure Portal. Azure DDoS Protection entiende sus recursos y la configuración de los mismos.

• Protección inmediata: La configuración simplificada protege de inmediato todos los recursos de una red virtual desde el momento en que se habilita la Protección de red de DDoS. No se requiere intervención ni definición del usuario. De forma similar, la configuración simplificada protege inmediatamente un recurso de DIRECCIÓN IP pública cuando DDoS IP Protection está habilitado para él.

• Protección de varias capas: Cuando se implementa con un firewall de aplicaciones web (WAF), Azure DDoS Protection protege tanto en la capa de red (Capas 3 y 4, que ofrece Azure DDoS Protection) como en la capa de la aplicación (Capa 7, que ofrece un WAF). Entre las ofertas de WAF se incluyen la SKU de WAF de Application Gateway de Azure, y ofertas de firewall de aplicaciones web de terceros disponibles en Azure Marketplace.

• Escala de mitigación amplia: Se pueden mitigar todos los vectores de ataque L3/L4 con capacidad global para protegerse contra los ataques DDoS más conocidos.

• Garantía de costo: reciba crédito de servicio de escalabilidad horizontal de aplicaciones y transferencia de datos para los costos de recursos en los que se incurre como resultado de ataques DDoS documentados.

Architecture

Azure DDoS Protection se ha diseñado para los servicios que se implementan en una red virtual. Para otros servicios, se aplica la protección contra DDoS de nivel de infraestructura predeterminada, que se defenderá frente a ataques comunes de nivel de red. Para obtener más información sobre las arquitecturas admitidas, consulte Arquitecturas de referencia de DDoS Protection.

Precios

En el caso de la protección de redes DDoS, bajo un inquilino, un único plan de protección DDoS puede utilizarse en varias suscripciones, por lo que no es necesario crear más de un plan de protección DDoS. Para DDoS IP Protection, no es necesario crear un plan de protección contra DDoS. Los clientes pueden habilitar Protección de IP contra DDoS en cualquier recurso de IP pública.

Para conocer los precios de Azure DDoS Protection, consulte los precios de Azure DDoS Protection.

Procedimientos recomendados

Maximice la eficacia de la estrategia de protección contra DDoS y mitigación siguiendo estos procedimientos recomendados:

• Diseñe las aplicaciones y la infraestructura teniendo en cuenta la redundancia y la resistencia.
• Implemente un enfoque de seguridad multicapa, incluida la red, la aplicación y la protección de datos.
• Prepare un plan de respuesta a incidentes para garantizar una respuesta coordinada a los ataques DDoS.

Para más información sobre los procedimientos recomendados, consulte Procedimientos recomendados fundamentales.

Preguntas más frecuentes

Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de DDoS Protection.

Pasos siguientes

• Inicio rápido: Creación de un plan de protección contra DDoS
• Módulo de Learn: Introducción a Azure DDoS Protection
• Más información sobre la seguridad de red de Azure