Protección contra DDoS en Front Door

  • Artículo

Azure Front Door es una Red de entrega de contenido (CDN) que puede ayudarle a proteger sus orígenes frente a ataques DDoS HTTP(S) mediante la distribución del tráfico a través de sus 192 POP perimetrales en todo el mundo. Estos POP usan nuestra red WAN privada grande para ofrecer sus aplicaciones web y servicios de forma más rápida y segura a los usuarios finales. Azure Front Door también incluye protección contra DDoS de nivel 3, 4 y 7 y un firewall de aplicaciones web (WAF) para ayudar a proteger las aplicaciones frente a vulnerabilidades y ataques comunes.

Protección contra DDoS de infraestructura

Azure Front Door se beneficia de la protección DDoS predeterminada de la infraestructura Azure. Esta protección supervisa y mitiga los ataques a la capa de red en tiempo real utilizando la escala global y la capacidad de la red de Front Door. Esta protección ha demostrado su eficacia a la hora de proteger los servicios empresariales y de consumo de Microsoft frente a ataques a gran escala.

Bloqueo de protocolo

Azure Front Door solo admite los protocolos HTTP y HTTPS y requiere un encabezado "Host" válido para cada solicitud. Este comportamiento ayuda a evitar algunos tipos de ataque DDoS comunes, como ataques volumétricos que usan varios protocolos y puertos, ataques de amplificación de DNS y ataques de intoxicación TCP.

Absorción de capacidad

Azure Front Door es un servicio distribuido global a gran escala. Sirve a muchos clientes, incluidos los propios productos en la nube de Microsoft, que administran cientos de miles de solicitudes por segundo. Front Door está situado en el borde de la red de Azure, donde puede interceptar y aislar geográficamente ataques de gran volumen. Por lo tanto, Front Door puede impedir que el tráfico malicioso llegue más allá del borde de la red Azure.

Almacenamiento en memoria caché

Puede utilizar las capacidades de almacenamiento en caché de Front Door para proteger sus backends de los grandes volúmenes de tráfico generados por un ataque. Los nodos perimetrales de Front Door devuelven recursos almacenados en caché y evitan reenviarlos al back-end. Incluso tiempos de expiración de caché cortos (segundos o minutos) en respuestas dinámicas pueden reducir significativamente la carga de sus servicios backend. Para obtener más información sobre el almacenamiento en caché de conceptos y patrones, consulte Almacenamiento en memoria caché y Patrón Cache-Aside.

Firewall de aplicaciones web (WAF)

Puede utilizar el Web Application Firewall (WAF) de Front Door para mitigar muchos tipos diferentes de ataques:

  • El conjunto de reglas administrado protege la aplicación de muchos ataques comunes. Para obtener más información, consulte las reglas administradas.
  • Puede bloquear o redirigir el tráfico desde fuera o dentro de una región geográfica específica a una página web estática. Para más información, consulte Filtro geográfico.
  • Puede bloquear direcciones IP y rangos que identifique como malintencionados. Para obtener más información, vea Restricciones de IP.
  • Puede aplicar la limitación de velocidad para evitar que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Limitación de velocidad.
  • Puede crear reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos.
  • El conjunto de reglas administradas de protección contra bots protege su aplicación de bots malintencionados conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

Consulte Protección contra DDoS para aplicaciones para obtener instrucciones sobre cómo usar Azure WAF para protegerse frente a ataques DDoS.

Proteger los orígenes de la red virtual

Para proteger las direcciones IP públicas frente a ataques DDoS, habilite Azure DDoS Protection en la red virtual de origen. Los clientes de DDoS Protection reciben ventajas adicionales como protección de costes, garantía de SLA y acceso a expertos del Equipo de Respuesta Rápida DDoS para asistencia inmediata durante un ataque.

Mejore la seguridad de los orígenes hospedados en Azure mediante la restricción de su acceso a Azure Front Door a través de Azure Private Link. Esta característica habilita una conexión de red privada entre Azure Front Door y los servidores de aplicaciones, lo que elimina la necesidad de exponer los orígenes a la red pública de Internet.

Pasos siguientes