¿Qué es Azure DDoS Protection?

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos.

Diagrama de la arquitectura de referencia para una aplicación web PaaS protegida contra DDoS.

Ventajas principales

Supervisión continua del tráfico

los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS. Azure DDoS Protection mitiga instantánea y automáticamente el ataque, una vez detectado.

Ajuste adaptable en tiempo real

la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio. El perfil se ajusta a medida que el tráfico cambia con el tiempo.

Telemetría, alertas y supervisión de DDoS Protection

Azure DDoS Protection aplica tres políticas de mitigación autoajustadas (TCP SYN, TCP y UDP) para cada IP pública del recurso protegido, en la red virtual que tiene habilitado el DDoS. Los umbrales de las directivas se configuran automáticamente con el sistema de generación de perfiles de tráfico de red basado en aprendizaje automático. La mitigación de DDoS se produce para una dirección IP que está siendo atacada solo cuando se supera el umbral de la directiva.

Respuesta rápida de Azure DDoS

Durante un ataque activo, los clientes de Azure DDoS Protection tienen acceso al equipo de Respuesta rápida de DDoS (DRR), que puede ayudar con la investigación de ataques durante un ataque y con el análisis posterior al ataque. Para más información, consulte Respuesta rápida de Azure DDoS.

SKU

Azure DDoS Protection se ofrece en dos SKU disponibles, la versión preliminar de Protección de IP de DDoS y DDoS Network Protection. Para más información sobre las SKU, consulte la comparación de SKU.

Integración de plataforma nativa:

integrado de forma nativa en Azure. Incluye la configuración a través de Azure Portal. Azure DDoS Protection entiende sus recursos y la configuración de los mismos.

Protección llave en mano:

La configuración simplificada protege inmediatamente todos los recursos de una red virtual en cuanto se activa la protección de red DDoS. No se requiere intervención ni definición del usuario. De forma similar, la configuración simplificada protege inmediatamente un recurso de DIRECCIÓN IP pública cuando DDoS IP Protection está habilitado para él.

Protección multicapa

Cuando se implementa con un firewall de aplicaciones web (WAF), Azure DDoS Protection protege tanto en la capa de red (Capa 3 y 4, que ofrece Azure DDoS Protection) como en la capa de aplicación (Capa 7, que ofrece un WAF). Entre las ofertas de WAF se incluyen la SKU de WAF de Application Gateway de Azure, y ofertas de firewall de aplicaciones web de terceros disponibles en Azure Marketplace.

Escala de mitigación amplia

Se pueden mitigar todos los vectores de ataque L3/L4 con capacidad global para protegerse contra los ataques DDoS más conocidos.

Análisis de ataques

ofrece informes detallados en incrementos de cinco minutos durante un ataque y un resumen completo después de que el ataque termine. Transmita los registros del flujo de mitigación a Microsoft Sentinel o a un sistema de administración de eventos e información de seguridad (SIEM) sin conexión para supervisar el sistema casi en tiempo real durante un ataque. Consulte Visualización y configuración del registro de diagnóstico de DDoS para obtener más información.

Métricas de ataques

con Azure Monitor se puede acceder a un resumen de métricas de cada ataque. Consulte Visualización y configuración de la telemetría de protección contra DDoS para más información.

Alertas de ataque

las alertas se pueden configurar en el inicio y la detención de un ataque y a lo largo de la duración del ataque mediante métricas de ataque integradas. Las alertas se integran en el software operativo, como los registros de Microsoft Azure Monitor, Splunk, Azure Storage, el correo electrónico y Azure Portal. Consulte Visualización y configuración de alertas de protección contra DDoS para obtener más información.

Garantía de costo

reciba crédito de servicio de escalabilidad horizontal de aplicaciones y transferencia de datos para los costos de recursos en los que se incurre como resultado de ataques DDoS documentados.

Architecture

Azure DDoS Protection se ha diseñado para los servicios que se implementan en una red virtual. Para otros servicios, se aplica la protección contra DDoS de nivel de infraestructura predeterminada, que se defenderá frente a ataques comunes de nivel de red. Para obtener más información sobre las arquitecturas admitidas, consulte Arquitecturas de referencia de DDoS Protection.

Precios

En el caso de la protección de redes DDoS, bajo un inquilino, un único plan de protección DDoS puede utilizarse en varias suscripciones, por lo que no es necesario crear más de un plan de protección DDoS. Para DDoS IP Protection, no es necesario crear un plan de protección contra DDoS. Los clientes pueden habilitar DDoS en cualquier recurso de IP pública.

Para conocer los precios de Azure DDoS Protection, consulte los precios de Azure DDoS Protection.

Preguntas más frecuentes sobre DDoS Protection

Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de DDoS Protection.

Pasos siguientes