Arquitecturas de referencia de Azure DDoS Protection

Azure DDoS Protection se ha diseñado para los servicios que se implementan en una red virtual. Las siguientes arquitecturas de referencia se organizan por escenarios, y los patrones de la arquitectura se agrupan juntos.

Recursos protegidos

Los recursos admitidos son los siguientes:

• Direcciones IP públicas conectadas a:
  • Una máquina virtual IaaS.
  • Clúster de Application Gateway (incluido WAF).
  • Azure API Management (solo nivel Premium).
  • Bastion.
  • Conectado a una red virtual (VNet) en el modo externo.
  • Firewall.
  • Aplicación virtual de red (NVA) basada en IaaS.
  • Load Balancer (Classic y Standard Load Balancer).
  • Service Fabric.
  • VPN Gateway.
• La protección también cubre los intervalos de IP públicas que se han traído a Azure a través de prefijos de IP personalizados (BYOIP).

Los recursos no admitidos incluyen:

• Azure Virtual WAN.
• Azure API Management en modos de implementación distintos de los modos admitidos.
• Servicios de PaaS (multiinquilino), incluidos Azure App Service Environment for Power Apps.
• Recursos protegidos que incluyen direcciones IP públicas creadas a partir del prefijo de dirección IP pública.
• NAT Gateway.

Nota:

En el caso de las cargas de trabajo web, se recomienda encarecidamente usar la protección contra DDoS de Azure y un firewall de aplicaciones web para protegerse frente a posibles ataques DDoS. Otra opción es emplear Azure Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece protección de nivel de plataforma frente a ataques DDoS de nivel de red. Para más información, consulte línea base de seguridad para los servicios de Azure.

Cargas de trabajo de máquina virtual (Windows o Linux)

Aplicación que se ejecuta en máquinas virtuales con equilibrio de carga

En esta arquitectura de referencia se muestra un conjunto de prácticas demostradas para ejecutar varias máquinas virtuales con Windows en un conjunto de escalado detrás de un equilibrador de carga, para mejorar la disponibilidad y escalabilidad. Esta arquitectura puede usarse para cargas de trabajo sin estado, como un servidor web.

En esta arquitectura, una carga de trabajo se distribuye entre varias instancias de máquina virtual. Hay una única dirección IP pública y el tráfico de Internet se distribuye a la máquina virtual a través de un equilibrador de carga.

El equilibrador de carga distribuye las solicitudes entrantes de Internet a las instancias de máquina virtual. Los conjuntos de escalado de máquinas virtuales permiten reducir o escalar horizontalmente el número de máquinas virtuales de forma manual, o bien automáticamente en función de reglas predefinidas. Esto es importante si el recurso está sufriendo un ataque de DDoS. Para más información sobre esta arquitectura de referencia, vea Aplicación Windows de n niveles en Azure.

Arquitectura de máquina virtual para Protección de red de DDoS

Protección de red de DDoS está habilitado en la red virtual del equilibrador de carga de Azure (Internet) que tiene asociada la dirección IP pública.

Arquitectura de máquina virtual para Protección de IP de DDoS

Protección de IP de DDoS está habilitado en la dirección IP pública de front-end de un equilibrador de carga público.

Aplicación que se ejecuta en una arquitectura de n niveles de Windows

Hay muchas maneras de implementar una arquitectura de n niveles. El siguiente diagrama muestra una aplicación web típica de tres niveles. Esta arquitectura se basa en el artículo Ejecución de máquinas virtuales de carga equilibrada para escalabilidad y disponibilidad. Los niveles Web y Business usan máquinas virtuales de carga equilibrada.

Arquitectura de N niveles de Windows para Protección de red de DDoS

En este diagrama de arquitectura, Protección de red de DDoS está habilitado en la red virtual. Todas las direcciones IP públicas de la red virtual obtendrán protección contra DDoS en los niveles 3 y 4. Para la protección del nivel 7, implemente Application Gateway en la SKU de WAF. Para más información sobre esta arquitectura de referencia, vea Aplicación Windows de n niveles en Azure.

Arquitectura de N niveles de Windows para Protección de IP de DDoS

En este diagrama de arquitectura, Protección de IP de DDoS está habilitado en la dirección IP pública.

Nota

No se recomiendan los escenarios en los que una única máquina virtual se ejecuta detrás de una IP pública. Es posible que la mitigación de DDoS no se inicie de forma instantánea cuando se detecta un ataque DDoS. Como resultado, una sola implementación de máquina virtual que no se puede escalar horizontalmente quedará inactiva en tales casos.

Aplicación web PaaS

Esta arquitectura de referencia muestra la ejecución de una aplicación de Azure App Service en una única región. Esta arquitectura muestra un conjunto de prácticas demostradas para una aplicación web que usa Azure App Service y Azure SQL Database. Se configura una región en espera para escenarios de conmutación por error.

Azure Traffic Manager enruta las solicitudes entrantes a Application Gateway en una de las regiones. Durante las operaciones normales, enruta las solicitudes a Application Gateway en la región activa. Si esa región deja de estar disponible, Traffic Manager conmuta por error a Application Gateway en la región en espera.

Todo el tráfico de Internet con destino a la aplicación web se enruta a la dirección IP pública de Application Gateway a través de Traffic Manager. En este escenario, el servicio de aplicación (aplicación web) no es directamente accesible desde el exterior y está protegido por Application Gateway.

Se recomienda configurar la SKU de WAF de Application Gateway (modo de prevención) para protegerse contra ataques de nivel 7 (WebSocket, HTTP o HTTPS). Además, las aplicaciones web están configuradas para aceptar tráfico solo desde la dirección IP de Application Gateway.

Para más información sobre esta arquitectura de referencia, vea Aplicación web de varias regiones de alta disponibilidad.

Protección de red de DDoS con arquitectura de aplicación web PaaS

En este diagrama de arquitectura, Protección de red de DDoS está habilitado en la red virtual de la puerta de enlace de la aplicación web.

Protección de IP de DDoS con arquitectura de aplicación web PaaS

En este diagrama de arquitectura, Protección de IP de DDoS está habilitado en la dirección IP pública asociada a la puerta de enlace de aplicación web.

Mitigación para servicios de PaaS que no son web

HDInsight en Azure

Esta arquitectura de referencia muestra cómo configurar DDoS Protection para un clúster de Azure HDInsight. Asegúrese de que el clúster de HDInsight esté vinculado a una red virtual y que DDoS Protection esté habilitado en esa red virtual.

En esta arquitectura, el tráfico de Internet con destino al clúster de HDInsight se enruta a la dirección IP pública asociada con el equilibrador de carga de la puerta de enlace de HDInsight. El equilibrador de carga de la puerta de enlace envía el tráfico directamente a los nodos principales o los nodos de trabajo. Como DDoS Protection está habilitado en la red virtual de HDInsight, todas las direcciones IP públicas de la red virtual obtienen protección contra DDoS en los niveles 3 y 4. Esta arquitectura de referencia puede combinarse con arquitecturas de referencia de n niveles o múltiples regiones.

Para más información acerca de esta arquitectura de referencia, consulte Extensión de HDInsight con Azure Virtual Network.

Topología de red de concentrador a radio con Azure Firewall y Azure Bastion

Esta arquitectura de referencia detalla una topología de concentrador a radio con Azure Firewall dentro del centro como una red perimetral para escenarios que requieren control central sobre los aspectos de seguridad. Azure Firewall es un firewall administrado como servicio y se coloca en su propia subred. Azure Bastion se implementa y se coloca en su propia subred.

Hay dos radios conectados al centro de conectividad mediante el emparejamiento de VNet y no hay conectividad de radio a radio. Si necesita conectividad de radio a radio, debe crear rutas para reenviar el tráfico de un radio al firewall, que luego puede enrutar al otro radio. Por lo tanto, todas las IP públicas que están dentro del centro están protegidas por DDoS Protection. En este escenario, el firewall del centro ayuda a controlar el tráfico de entrada desde Internet, mientras se protege la dirección IP pública del firewall. Azure DDoS Protection también protege la dirección IP pública del bastión.

DDoS Protection se ha diseñado para los servicios que se implementan en una red virtual. Para más información, consulte Implementación de un servicio de Azure dedicado en redes virtuales.

Red de concentrador a radio de Protección de red de DDoS

En este diagrama de arquitectura, Protección de red de DDoS de Azure está habilitado en la red virtual de centro.

Red de concentrador a radio de Protección de IP de DDoS

En este diagrama de arquitectura, Protección de IP de DDoS de Azure está habilitado en la dirección IP pública.

Nota:

Sin costo adicional, la protección de la infraestructura contra DDoS de Azure protege todos los servicios de Azure que usan direcciones IPv4 e IPv6 públicas. Este servicio de protección contra DDoS ayuda a proteger todos los servicios de Azure, incluidos servicios de plataforma como servicio (PaaS) como Azure DNS. Para más información, consulte Introducción a Azure DDoS Protection. Para obtener más información sobre la topología de concentrador a radio, consulte Topología de red en estrella de tipo concentrador a radio.

Pasos siguientes

• Obtenga información sobre cómo configurar la protección de red.