Qu’est-ce qu’Azure DDoS Protection ?

Les attaques par déni de service distribué (DDoS) représentent certains des problèmes de disponibilité et de sécurité majeurs auxquels sont confrontés les clients qui déplacent leurs applications vers le cloud. Une attaque DDoS tente d’épuiser les ressources d’une application afin de la rendre indisponible aux utilisateurs légitimes. Les attaques DDoS peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.

Azure DDoS Protection, combiné aux meilleures pratiques de conception d’applications, offre des fonctionnalités d’atténuation DDoS améliorées pour lutter contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel. La protection est simple à activer sur n’importe quel réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources.

Schéma de l’architecture de référence pour une application web PaaS protégée par le service DDoS.

Disponibilité dans les régions

La protection IP DDoS n’est actuellement pas disponible dans les régions USA Est 2 et Europe Ouest.

Principaux avantages

Analyse permanente du trafic

Vos modèles de trafic d’application sont surveillés 24h/24 et 7j/7, à la recherche d’indicateurs d’attaques DDoS. Le service Azure DDoS Protection atténue de façon instantanée et automatique l’attaque une fois que celle-ci est détectée.

Réglage adaptatif en temps réel

Le profilage intelligent du trafic étudie le trafic de votre application au fil du temps pour sélectionner et mettre à jour le profil le plus adapté pour votre service. Le profil s’ajuste en fonction des modifications du trafic au fil du temps.

Protection DDoS : télémétrie, monitoring et génération d’alertes

Azure DDoS Protection applique trois stratégies d’atténuation réglées automatiquement (TCP SYN, TCP et UDP) pour chaque adresse IP publique de la ressource protégée, dans le réseau virtuel sur lequel la protection DDoS est activée. Les seuils de stratégie sont configurés automatiquement par le biais du système de profilage du trafic réseau basé sur l’apprentissage automatique. L’atténuation des risques liés à DDoS pour une adresse IP n’a lieu que si le seuil de stratégie est dépassé.

Réponse rapide Azure DDoS

Lors d’une attaque active, les clients Azure DDoS Protection ont accès à l’équipe de réponse rapide DDoS (DRR), qui peut les aider à investiguer l’attaque lorsqu’elle survient et à en faire l’analyse après. Pour plus d’informations, consultez le service Réponse rapide Azure DDoS.

SKU

Azure DDoS Protection est proposé dans deux références SKU disponibles, la Protection IP DDoS (préversion) et la Protection réseau DDoS. Pour plus d’informations sur les références SKU, consultez Comparaison des références SKU.

Intégration de la plateforme native

Intégré en natif dans Azure. Inclut la configuration par le biais du portail Azure. Le service Azure DDoS Protection comprend vos ressources et leur configuration.

Protection clé en main

La configuration simplifiée protège immédiatement toutes les ressources situées sur un réseau virtuel dès que la Protection réseau DDoS est activée. Aucune définition ou intervention de l’utilisateur n’est nécessaire. De même, la configuration simplifiée protège immédiatement une ressource IP publique lorsque la Protection IP DDoS est activée pour celle-ci.

Protection multi-couches

Lorsqu’il est déployé avec un pare-feu d’applications web (WAF), le service Azure DDoS Protection offre une protection à la fois au niveau de la couche réseau (couche 3 et 4, assurée par Azure DDoS Protection) et au niveau de la couche d’application (couche 7, assurée par un pare-feu WAF). Les offres WAF incluent la référence SKU du pare-feu d’applications web Azure Application Gateway, et des offres tierces de pare-feu d’applications web disponibles sur Place de marché Azure.

Échelle d’atténuation des risques étendue

L’ensemble des vecteurs d’attaque L3/L4 peuvent être atténués avec une protection globale contre les attaques DDoS les plus connues.

Analytique des attaques

Recevez des rapports détaillés toutes les cinq minutes pendant une attaque, et un résumé complet une fois l’attaque terminée. Transmettez en continu les journaux de flux de prévention des attaques à Microsoft Sentinel ou un système hors ligne de gestion des informations et des événements de sécurité (SIEM) pour une supervision en temps quasi-réel pendant une attaque. Pour en savoir plus, consultez Afficher et configurer la journalisation des diagnostics DDoS.

Métriques des attaques

Des métriques récapitulatives de chaque attaque sont accessibles via Azure Monitor. Pour en savoir plus, consultez Afficher et configurer la télémétrie de la protection DDoS.

Alertes d’attaque

Vous pouvez configurer des alertes pour le début et la fin d’une attaque, ainsi que pendant qu’elle se produit, avec des métriques d’attaque intégrées. Les alertes s’intègrent à vos logiciels opérationnels, comme les journaux d’activité Microsoft Azure Monitor, Splunk, Stockage Azure, votre messagerie électronique et le portail Azure. Pour en savoir plus, consultez Afficher et configurer les alertes de protection DDoS.

Garantie des coûts

Recevez un crédit de service de transfert de données et de mise à l’échelle des applications pour les coûts de ressources résultant d’attaques DDoS documentées.

Architecture

Azure DDoS Protection est conçu pour les services déployés dans un réseau virtuel. Pour les autres services, la protection DDoS par défaut au niveau de l’infrastructure s’applique. Elle offre une protection contre les attaques courantes de la couche réseau. Pour en savoir plus sur les architectures prises en charge, consultez Architectures de référence de la protection DDoS.

Tarifs

Pour la Protection réseau DDoS, sous un locataire, un même plan de protection DDoS peut être utilisé sur plusieurs abonnements. Il n’est donc pas nécessaire de créer plusieurs plans de protection DDoS. Pour la Protection IP DDoS, il n’est pas nécessaire de créer un plan de protection DDoS. Les clients peuvent activer la protection IP DDoS sur n’importe quelle ressource IP publique.

Pour en savoir plus sur la tarification d’Azure DDoS Protection, consultez Tarification d’Azure DDoS Protection.

FAQ sur la protection DDoS

Pour accéder aux questions fréquentes (FAQ), consultez la FAQ sur la protection DDos.

Étapes suivantes