Protección contra DDoS en Front Door

Azure Front Door tiene varias características que pueden ayudar a evitar ataques de denegación de servicio distribuido (DDoS). Estas características pueden impedir que los atacantes lleguen a la aplicación y afecten a la disponibilidad y el rendimiento de la misma.

Protección contra DDoS de infraestructura

Front Door está protegido por la protección contra DDoS de la infraestructura de Azure predeterminada. En su conjunto, el tamaño y la capacidad de la red de implementación global de Front Door proporcionan una defensa contra los ataques al nivel de red más comunes mediante la supervisión constante del tráfico y la mitigación en tiempo real. La protección contra DDoS de infraestructura tiene un registro de seguimiento comprobado en la protección de los servicios empresariales y de consumo de Microsoft contra ataques a gran escala.

Bloqueo de protocolo

Front Door solo acepta el tráfico en los protocolos HTTP y HTTPS, y solo procesará solicitudes válidas con un encabezado Host conocido. Este comportamiento ayuda a mitigar algunos tipos de ataque DDoS comunes, incluidos los ataques volumétricos que se reparten entre una gama de protocolos y puertos, los ataques de amplificación de DNS y los ataques de envenenamiento de TCP.

Absorción de capacidad

Front Door es un servicio escalado a gran escala y distribuido globalmente. Tenemos muchos clientes, incluidos los propios productos en la nube a gran escala de Microsoft, que reciben cientos de miles de solicitudes cada segundo. Front Door se encuentra en el perímetro de la red de Azure, absorbiendo y aislando geográficamente ataques de gran volumen. Esto puede impedir que el tráfico malintencionado vaya más allá del perímetro de la red de Azure.

Almacenamiento en memoria caché

Las funcionalidades de almacenamiento en caché de Front Door se pueden usar para proteger los servidores back-end de grandes volúmenes de tráfico generados por un ataque. Los recursos almacenados en caché se devolverán desde los nodos perimetrales de Front Door para que no se reenvíen al back-end. Incluso los tiempos de expiración de caché breves (segundos o minutos) en las respuestas dinámicas pueden reducir en gran medida la carga en los servicios de back-end. Para obtener más información sobre el almacenamiento en caché de conceptos y patrones, consulte Almacenamiento en memoria caché y Patrón Cache-Aside.

Firewall de aplicaciones web (WAF)

Web Application Firewall (WAF) de Front Door se puede usar para mitigar una serie de diversos tipos de ataques:

  • El uso del conjunto de reglas administradas proporciona protección contra una serie de ataques comunes.
  • El tráfico dentro o fuera de una región geográfica definida se puede bloquear o redirigir a una página web estática. Para más información, consulte Filtro geográfico.
  • Las direcciones IP y los intervalos que identifique como malintencionados se pueden bloquear.
  • La limitación de frecuencia se puede aplicar para impedir que las direcciones IP llamen a su servicio con demasiada frecuencia.
  • Puede crear reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos.

Para una mayor protección

Si requiere una mayor protección, puede habilitar Azure DDoS Protection estándar en la red virtual donde se implementan sus servidores back-end. Los clientes de DDoS Protection estándar reciben ventajas adicionales, como protección de los costos, garantía del SLA y acceso a expertos del equipo de respuesta rápida de DDoS para obtener ayuda inmediata durante un ataque.

Pasos siguientes