Defender la instancia de Azure API Management contra ataques DDoS

SE APLICA A: Desarrollador | Premium

En este artículo se muestra cómo defender la instancia de Azure API Management frente a ataques de denegación de servicio distribuido (DDoS) habilitando Azure DDoS Protection. Azure DDoS Protection proporciona características de mitigación de DDoS mejoradas para la defensa contra los ataques DDoS volumétricos y de protocolo.

Nota

En el caso de las cargas de trabajo web, se recomienda encarecidamente usar la protección contra DDoS de Azure y un firewall de aplicaciones web para protegerse frente a posibles ataques DDoS. Otra opción es emplear Azure Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece protección de nivel de plataforma frente a ataques DDoS de nivel de red. Para más información, consulte línea base de seguridad para los servicios de Azure.

Configuraciones admitidas

La habilitación de Azure DDoS Protection para API Management es compatible únicamente para instancias implementadas (insertadas) en una red virtual en modo externo o modo interno.

• Modo externo: todos los puntos de conexión de API Management están protegidos.
• Modo interno: solo está protegido el punto de conexión de administración accesible en el puerto 3443.

Configuraciones no admitidas

• Instancias que no se insertan en la red virtual
• Instancias configuradas con un punto de conexión privado

Requisitos previos

• Una instancia de API Management
  • La instancia debe implementarse en una red virtual de Azure en modo externo o modo interno.
  • La instancia se tiene que configurar con un recurso de IP pública de Azure, que solo se admite en la stv2plataforma de proceso de API Management.

    Nota

    Si la instancia se hospeda en la plataforma stv1, debe migrar a la plataforma stv2.

• Un plan de Azure DDoS Protection

  • El plan que seleccione puede estar en la misma suscripción, o diferente, que la red virtual y la instancia de API Management. Si las suscripciones difieren, deben estar asociadas al mismo inquilino de Microsoft Entra.

  • Puede usar un plan creado mediante la SKU de protección contra DDoS de red o la SKU de protección contra DDoS IP. Consulte la Comparación de SKU de Azure DDoS Protection.

    Nota

    Los planes de Azure DDoS Protection incurren en cargos adicionales. Para obtener más información, consulte el apartado Precios.

Habilitar Protección contra DDoS

En función del plan DDoS Protection que use, habilite la protección contra DDoS en la red virtual usada para la instancia de API Management o el recurso de dirección IP configurado para la red virtual.

Habilitación de DDoS Protection en la red virtual usada para la instancia de API Management

1. En el Azure Portal, vaya a la red virtual donde se inserta el API Management.

2. En el menú de la izquierda, en Configuración, seleccione Protección contra DDoS.

3. Seleccione Habilitar y, a continuación, seleccione su plan de protección contra DDoS.

4. Seleccione Guardar.

   

Habilitación de la protección contra DDoS en la dirección IP pública de API Management

Si el plan usa la SKU de protección ip contra DDoS, consulte Habilitación de la protección ip contra DDoS para una dirección IP pública.

Pasos siguientes

• Obtenga información sobre cómo comprobar la protección contra DDoS de la instancia de API Management mediante pruebas con asociados de simulación
• Aprenda a ver y configurar la telemetría de Azure DDoS Protection