Foire aux questions sur le service Azure DDoS Protection

Le déni de service distribué, ou DDoS, est un type d’attaque dans lequel une personne malveillante envoie plus de demandes à une application que l’application ne peut en gérer. Cela aboutit à un épuisement des ressources qui affecte la disponibilité et la capacité de l’application à servir ses clients. Ces dernières années, le secteur a constaté une forte augmentation des attaques, celles-ci gagnant en sophistication et en ampleur. Les attaques DDoS peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.

Azure DDoS Protection, combiné aux meilleures pratiques de conception d’applications, offre des fonctionnalités d’atténuation DDoS améliorées pour lutter contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel. La protection est simple à activer sur n’importe quel réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources. Pour plus d’informations, consultez Vue d’ensemble du service Azure DDoS Protection. 

Les plans de protection DDoS présentent un coût mensuel fixe qui couvre jusqu’à 100 adresses IP publiques. La protection des ressources supplémentaires est disponible.

Sous un locataire, un même plan de protection DDoS peut être utilisé sur plusieurs abonnements. Il n’est donc pas nécessaire de créer plusieurs plans de protection DDoS.

Quand Application Gateway avec WAF est déployé sur un réseau virtuel DDoS protégé, aucun coût supplémentaire n’est facturé pour WAF : vous payez pour Application Gateway au tarif non-WAF inférieur. Cette stratégie s’applique à la fois aux références SKU Application Gateway v1 et v2.

Pour plus d’informations et pour connaître les tarifs, consultez Tarifs d’Azure DDoS Protection.

Si vous devez protéger moins de 15 ressources IP publiques, le niveau Protection IP est l’option la plus économique. Si vous avez plus de 15 ressources IP publiques à protéger, le niveau Protection réseau est plus économique. La Protection réseau offre également des fonctionnalités supplémentaires, notamment DDoS Protection Rapid Response (DRR), des garanties de protection des coûts et des remises sur le pare-feu d’applications web (WAF).

Oui. Azure DDoS Protection est par défaut résilient aux zones.

Aucune configuration client n’est nécessaire pour activer la résilience des zones. La résilience aux zones des ressources Azure DDoS Protection est disponible par défaut et gérée par le service lui-même.

Les clients peuvent utiliser le service Azure DDoS Protection conjointement avec un pare-feu d’applications web (WAF) pour la protection tant au niveau de la couche réseau (couches 3 et 4, assurée par Azure DDoS Protection) qu’au niveau de la couche d’application (couche 7, assurée par un WAF). Les offres WAF incluent la référence SKU du pare-feu d’applications web Azure Application Gateway, et des offres tierces de pare-feu d’applications web disponibles sur Place de marché Azure.

Les services exécutés sur Azure sont intrinsèquement protégés par la protection DDoS par défaut au niveau de l’infrastructure. Toutefois, la protection qui préserve l’infrastructure a un seuil sensiblement supérieur à celui que la plupart des applications sont capables de gérer, et ne fournit pas de télémétrie ou d’alertes. Ainsi, si un volume de trafic peut être considéré comme inoffensif par la plateforme, il peut s’avérer dévastateur pour l’application qui le reçoit.

Grâce à l’intégration au service Azure DDoS Protection, l’application bénéficie d’une surveillance dédiée pour détecter les attaques et les seuils spécifiques des applications. Un service est protégé à l’aide d’un profil réglé sur le volume de trafic attendu, ce qui offre une protection plus rigoureuse contre les attaques DDoS.

Les adresses IP publiques dans les réseaux virtuels ARM sont actuellement le seul type de ressource protégée. Les ressources protégées incluent les adresses IP publiques attachées à une machine virtuelle IaaS, les équilibreurs de charge (classique et standard), le cluster de passerelle applicative (y compris WAF), le pare-feu, Bastion, la passerelle VPN, Service Fabric ou une appliance virtuelle réseau (NVA) IaaS. La protection couvre également les plages d’adresses IP publiques apportées à Azure via des préfixes IP personnalisés (BYOIP).

Pour en savoir plus sur les limitations, consultez Architectures de référence d’Azure DDoS Protection.

Seules les ressources protégées basées sur ARM sont prises en charge dans la préversion. Les machines virtuelles dans les déploiements classiques/RDFE ne sont pas prises en charge. La prise en charge n’est pas actuellement planifiée pour les ressources classiques/RDFE. Pour plus d’informations, consultez Architectures de référence Azure DDoS Protection.

Les IP publiques attachées à des services PaaS mutualisés à adresse IP virtuelle unique ne sont pas prises en charge actuellement. Les exemples de ressources non prises en charge incluent les adresses IP virtuelles de stockage, les adresses IP virtuelles Event Hubs et les applications App Service/Cloud Services. Pour plus d’informations, consultez Architectures de référence Azure DDoS Protection.

Les points de terminaison publics de votre service associés à un réseau virtuel dans Azure doivent être activés pour la protection DDoS. Voici quelques exemples de conceptions :

• Sites web (IaaS) dans Azure et bases de données backend dans les centres de données locaux.
• Application Gateway dans Azure (protection DDoS activée sur App Gateway/WAF) et sites web dans les centres de données locaux.

Pour plus d’informations, consultez Architectures de référence Azure DDoS Protection.

Pour les scénarios d’adresse IP publique, le service de protection DDoS prend en charge toutes les applications, quel que soit l’emplacement où le domaine associé est inscrit ou hébergé, à condition que l’adresse IP publique associée soit hébergée sur Azure.

Non, malheureusement, la personnalisation de stratégie n’est pas disponible pour le moment.

Non, malheureusement, la configuration manuelle n’est pas disponible pour le moment.

Consultez Test à l’aide de simulations.

Les métriques doivent être visibles sur le portail dans un délai de 5 minutes. Si votre ressource subit une attaque, d’autres métriques s’affichent sur le portail dans les 5 à 7 minutes.

Non. La protection DDoS d’Azure ne stocke pas les données client.

Les scénarios dans lesquels une unique machine virtuelle s’exécute derrière une adresse IP publique sont pris en charge, mais ne sont pas recommandés. L’atténuation DDoS peut ne pas se lancer instantanément lorsque l’attaque DDoS est détectée. Par conséquent, un déploiement de machine virtuelle unique qui ne peut pas être mis à l’échelle deviendra indisponible dans de tels cas. Pour plus d’informations, consultez Meilleures pratiques fondamentales.