À propos de la comparaison des niveaux Azure DDoS Protection

Les sections de cet article décrivent les ressources et les paramètres d’Azure DDoS Protection.

Niveaux

Azure DDoS Protection prend en charge deux types de niveaux : Protection IP DDoS et Protection réseau DDoS. Le niveau est configuré sur le portail Azure, dans le workflow, au moment où vous configurez Azure DDoS Protection.

La table suivante présente les fonctionnalités et les niveaux correspondants.

Fonctionnalité Protection IP DDoS Protection réseau DDoS
Activer l’analyse du trafic et la détection Always-on Oui Oui
Atténuation automatique des attaques L3/L4 Oui Oui
Atténuation automatique des attaques Oui Oui
Stratégies d’atténuation des risques basées sur l’application Oui Oui
Métriques et alertes Oui Oui
Rapports d’atténuation des risques Oui Oui
Journaux des flux d’atténuation des risques Oui Oui
Stratégies d’atténuation adaptées à l’application des clients Oui Oui
Intégration à Firewall Manager Oui Oui
Connecteur et classeur de données Microsoft Sentinel Oui Oui
Protection des ressources pour tous les abonnements d’un locataire Oui Oui
Protection du niveau Standard des adresses IP publiques Oui Oui
Protection du niveau De base des adresses IP publiques Non Oui
Support de la réponse rapide DDoS Non disponible Oui
Protection contre les coûts Non disponible Oui
Remise sur WAF Non disponible Oui
Price Par adresse IP protégée Par groupe de 100 adresses IP protégées

Notes

Sans frais supplémentaires, le service de protection de l’infrastructure Azure DDoS protège chaque service Azure qui utilise des adresses IPv4 et IPv6 publiques. Ce service de protection DDoS permet de protéger tous les services Azure, y compris les services PaaS (Platform as a service) tels que Azure DNS. Pour plus d’informations sur les services PaaS pris en charge, consultez Architectures de référence de la protection DDoS. Le service de protection de l’infrastructure Azure DDoS ne nécessite aucun changement de la part de l’utilisateur au niveau de configuration ou de l’application. Azure fournit une protection contre les attaques DDoS. La protection DDoS ne stocke pas les données client.

Limites

La Protection réseau DDoS et la Protection IP DDoS présentent les limitations suivantes :

  • Les services PaaS (multilocataires), comprenant Azure App Service Environment pour Power Apps, Gestion des API Azure dans des modes de déploiement autres que APIM avec intégration réseau virtuel (pour plus d’informations, consultez https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671), et Azure Virtual WAN ne sont actuellement pas pris en charge.
  • La protection d’une ressource IP publique attachée à une passerelle NAT n’est pas prise en charge.
  • Les machines virtuelles dans des déploiements Classiques/RDFE ne sont pas prises en charge.
  • La passerelle VPN ou passerelle de réseau virtuel est protégée par une stratégie DDoS fixe. Le réglage adaptatif n’est pas pris en charge à ce stade.
  • Partiellement pris en charge : le service Azure DDoS Protection peut protéger un équilibreur de charge public avec un préfixe d’adresse IP publique lié à son serveur frontal. Il détecte et atténue efficacement les attaques par déni de service distribué. Toutefois, les données de télémétrie et de journalisation pour les adresses IP publiques protégées dans la plage de préfixes ne sont actuellement pas disponibles.

La Protection IP DDoS est similaire à la Protection réseau, mais présente la limitation supplémentaire suivante :

  • La protection du niveau De base des adresses IP publiques n’est pas prise en charge.

Notes

Les scénarios dans lesquels une unique machine virtuelle s’exécute derrière une adresse IP publique sont pris en charge mais ne sont pas recommandés. Pour plus d’informations, consultez Meilleures pratiques fondamentales.

Pour plus d’informations, consultez Architectures de référence Azure DDoS Protection.

Étapes suivantes