Acerca de la comparación de niveles de servicio de Azure DDoS Protection
En las secciones de este artículo se habla de los recursos y la configuración de Azure DDoS Protection.
Niveles
Azure DDoS Protection admite dos tipos de niveles de servicio: Protección de IP contra DDoS y Protección de red contra DDoS. El niveles de servicio se configura en Azure Portal durante el flujo de trabajo al configurar Azure DDoS Protection.
En la tabla siguiente se muestran las características y los niveles de servicio correspondientes.
| Característica | Protección de IP contra DDoS | Protección de red contra DDoS |
|---|---|---|
| Supervisión activa del tráfico y detección siempre activa | Sí | Sí |
| Mitigación de ataques automática L3/L4 | Sí | Sí |
| Mitigación automática de ataques | Sí | Sí |
| Directivas de mitigación basadas en aplicaciones | Sí | Sí |
| Métricas y alertas | Sí | Sí |
| Informes de mitigación | Sí | Sí |
| Registros de flujo de mitigación | Sí | Sí |
| Directivas de mitigación que se ajustan a la aplicación cliente | Sí | Sí |
| Integración con Firewall Manager | Sí | Sí |
| Libro y conector de datos de Microsoft Sentinel | Sí | Sí |
| Protección de recursos entre suscripciones en un inquilino | Sí | Sí |
| Protección del nivel Estándar de IP pública | Sí | Sí |
| Protección del nivel Básico de IP pública | No | Sí |
| Compatibilidad con la respuesta rápida de DDoS | No disponible | Sí |
| Protección de costos | No disponible | Sí |
| Descuento WAF | No disponible | Sí |
| Price | Por IP protegida | Por 100 direcciones IP protegidas |
Nota
Sin costo adicional, la protección de la infraestructura contra DDoS de Azure protege todos los servicios de Azure que usan direcciones IPv4 e IPv6 públicas. Este servicio de protección contra DDoS ayuda a proteger todos los servicios de Azure, incluidos servicios de plataforma como servicio (PaaS) como Azure DNS. Para más información sobre los servicios PaaS, consulte Arquitecturas de referencia de DDoS Protection. La protección de la infraestructura contra DDoS no requiere ningún cambio en la configuración de usuarios o aplicaciones. Azure proporciona protección continua contra los ataques de DDoS. La protección contra DDoS no almacena los datos de los clientes.
Limitaciones
DDoS Network Protection y DDoS IP Protection tienen las siguientes limitaciones:
- Actualmente, no se admiten los servicios PaaS (multiinquilino), que incluyen Azure App Service Environment para Power Apps, Azure API Management en modos de implementación distintos de APIM con integración de red virtual (para obtener más información, consulte https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) y Azure Virtual WAN.
- No se admite la protección de un recurso de IP pública asociado a una NAT Gateway.
- No se admiten las máquinas virtuales de implementaciones clásicas/RDFE.
- La puerta de enlace VPN o la puerta de enlace de red virtual está protegida por una directiva DDoS. El ajuste adaptable no se admite en esta fase.
- Parcialmente compatible: el servicio Azure DDoS Protection puede proteger un equilibrador de carga público con un prefijo de dirección IP pública vinculado a su front-end. Detecta y mitiga eficazmente los ataques DDoS. Sin embargo, la telemetría y el registro de las direcciones IP públicas protegidas dentro del intervalo de prefijos no están disponibles actualmente.
DDoS IP Protection es similar a Protección de red, pero tiene la siguiente limitación adicional:
- No se admite la protección del nivel Básico de IP pública.
Nota
Se admiten los escenarios en los que una única máquina virtual se ejecuta detrás de una IP pública, pero no se recomiendan. Para obtener más información, consulte Procedimientos recomendados fundamentales.
Para más información, consulte Arquitecturas de referencia de Azure DDoS Protection.