Défendre votre instance Gestion des API Azure contre les attaques DDoS

S'APPLIQUE À : Développeur | Premium

Cet article explique comment défendre votre instance Gestion des API Azure contre les attaques par déni de service distribué (DDoS) en activant Azure DDoS Protection. Azure DDoS Protection fournit des fonctionnalités améliorées d’atténuation pour la défense contre les attaques DDoS volumétriques et par protocole.

Notes

Pour les charges de travail Web, nous vous recommandons vivement d’utiliser la protection DDoS Azure et un pare-feu d’applications Web pour vous protéger contre les attaques DDoS émergentes. Une autre option consiste à utiliser Azure Front Door avec un pare-feu d’applications Web. Azure Front Door offre une protection au niveau de la plateforme contre les attaques DDoS au niveau du réseau. Pour plus d’informations, consultez Base de référence de la sécurité pour les services Azure.

Configurations prises en charge

L’activation d’Azure DDoS Protection pour la Gestion des API n’est prise en charge que pour les instances déployées (injectées) dans un réseau virtuel en mode externe ou en mode interne.

• Mode externe : tous les points de terminaison de Gestion des API sont protégés
• Mode interne : seul le point de terminaison de gestion accessible sur le port 3443 est protégé

Configurations non prises en charge

• Instances qui ne sont pas injectées dans un réseau virtuel
• Instances configurées avec un point de terminaison privé

Prérequis

• Une instance Gestion des API
  • L’instance doit être déployée dans un réseau virtuel Azure en mode externe ou en mode interne.
  • L’instance doit être configurée avec une ressource d’adresse IP publique Azure, qui n’est prise en charge que sur la stv2plateforme de calcul de Gestion des API.

    Notes

    Si l’instance est hébergée sur la plateforme stv1, vous devez migrer vers la plateforme stv2.

• Un plan Azure DDoS Protection

  • Le plan que vous sélectionnez peut se trouver ou non dans le même abonnement que celui du réseau virtuel et de l’instance Gestion des API. Si les abonnements diffèrent, ils doivent être associés au même locataire Microsoft Entra.

  • Vous pouvez utiliser un plan créé à l’aide de la référence SKU réseau DDoS Protection ou IP DDoS Protection. Consultez la comparaison des références SKU Azure DDoS Protection.

    Notes

    Les plans Azure DDoS Protection entraînent des frais supplémentaires. Pour plus d’informations, voir la tarification.

Activer le service Protection DDos

Selon le plan DDoS Protection que vous utilisez, activez la protection DDoS sur le réseau virtuel utilisé pour votre instance Gestion des API ou la ressource d’adresse IP configurée pour votre réseau virtuel.

Activer DDoS Protection sur le réseau virtuel utilisé pour votre instance Gestion des API

1. Dans le portail Azure, accédez au réseau virtuel dans lequel votre instance Gestion des API est injectée.

2. Dans le menu de gauche, sous Paramètres, sélectionnez Protection DDoS.

3. Sélectionnez Activer, puis sélectionnez votre Plan de protection DDoS.

4. Sélectionnez Enregistrer.

   

Activer la protection DDoS sur l’adresse IP publique Gestion des API

Si votre plan utilise la référence SKU Protection IP DDoS, consultez Activer Protection IP DDoS pour une adresse IP publique.

Étapes suivantes

• Découvrir comment vérifier la protection DDoS de votre instance Gestion des API en réalisant des tests avec des partenaires de simulation
• Découvrir comment consulter et configurer la télémétrie d’Azure DDoS Protection