Quand utiliser Azure DDoS Protection
Nous comparons ici le service Protection de l’infrastructure DDoS et le service DDoS Protection pour avoir une meilleure idée des avantages de la mise à niveau. Dans cette unité, vous allez en savoir plus sur les principales différences entre les références SKU de DDoS Protection et sur la création de résilience contre les attaques DDoS dans vos applications. Vous utiliserez ces informations pour déterminer la référence SKU qui convient à Contoso.
Générer des services résilients DDoS sur Azure
La Protection de l’infrastructure Azure DDoS protège automatiquement chaque service déployé dans Azure sans frais supplémentaires et ne demande pas d’apporter des changements dans la configuration des applications ou des utilisateurs.
Lorsque vous décidez de passer de la Protection de l’infrastructure Azure DDoS à Azure DDoS Protection, il est important d’analyser les risques d’une attaque DDoS sur vos ressources Azure clés. Même avec les services DDoS intégrés disponibles, il est préférable de ne pas s’appuyer uniquement sur la protection après le déploiement. Il est important de générer une application résiliente et testée pour résister à une attaque par déni de service ou la récupérer rapidement.
L’infrastructure Azure pour la résilience de la charge de travail
L’équipe Azure a publié une infrastructure pour la conception de la résilience de votre charge de travail. Cette infrastructure est une collection de principes de guidage que vous pouvez suivre pour améliorer la qualité d’une charge de travail.
Lors de la génération ou du déploiement de votre charge de travail, il est important de concevoir :
- Sécurité. Identifiez et documentez les exigences de sécurité au début du cycle de vie du développement. Cette pratique vous permet de placer la sécurité au cœur de vos priorités tout au long du cycle de vie d’une application. Les applications mal conçues peuvent avoir des routines inefficaces qui utilisent des ressources excessives, ce qui peut entraîner une panne du service, même avec un faible taux de requêtes.
- Scalabilité. Azure permet de faire une mise à l’échelle horizontale automatique des applications, mais vous devez concevoir votre application pour répondre à cette demande en cas d’attaque DDoS. Lorsque l’application dépend d’un seul déploiement d’un service, il en résulte un point de défaillance unique. L’approvisionnement de plusieurs instances rend votre système plus résilient et plus évolutif.
- Défense en profondeur. La défense en profondeur est une stratégie bien acceptée qui utilise plusieurs mesures de sécurité pour protéger les ressources d’une organisation. Vous pouvez réduire le risque de réussite d’une attaque en superposant et même en dupliquant les défenses de sécurité pour les services Azure. Vous pouvez également améliorer la sécurité et la robustesse de votre conception en connaissant et en maîtrisant les fonctionnalités de la plateforme Azure intégrée. Un avantage supplémentaire de l’utilisation des services Azure est la réduction de la surface d’attaque de votre application. La défense en profondeur intègre toutes les mesures de sécurité de l’organisation pour résoudre tous les problèmes liés à la sécurisation d’une application.
Ces mesures peuvent vous aider à améliorer la sécurité et à respecter les exigences réglementaires. Après avoir résolu les points à prendre en compte pour la génération d’applications résilientes DDoS, vous devez maintenant déterminer les fonctionnalités d’Azure DDoS Protection dont vous avez besoin. Le tableau suivant compare les fonctionnalités clés des niveaux de DDoS Protection et de la Protection de l’infrastructure DDoS.
| Fonctionnalité | Protection de l’infrastructure DDoS | Protection réseau DDoS | Protection IP DDoS |
|---|---|---|---|
| Activer l’analyse du trafic et la détection Always-on | Oui | Oui | Oui |
| Atténuation automatique des attaques | Oui | Oui | Oui |
| Garantie de disponibilité | Non | Oui | Oui |
| Protection des coûts | Non | Oui | Non |
| Stratégies d’atténuation accordées à l’application cliente | Non | Oui | Oui |
| Mesures et alertes | Non | Oui | Oui |
| Rapports d’atténuation | Non | Oui | Oui |
| Journaux des flux d’atténuation des risques | Non | Oui | Oui |
| Support de la réponse rapide DDoS | Non | Oui | Non |
Autres fonctionnalités DDoS Protection
Avec DDoS Protection, le trafic reste toujours dans la région Azure. Le fait de conserver le trafic dans la région locale permet aussi d’assurer le niveau de performance, car DDoS Protection se charge de l’atténuation des attaques dans une région Azure. Azure DDoS Protection atténue les attaques du trafic au plus proche de l’application. Toutefois, si Microsoft détecte que le nombre d’attaques est important, il fait appel à l’échelle mondiale du réseau Azure pour se défendre contre l’attaque à sa racine.
Microsoft utilise cette stratégie de défense en profondeur pour protéger vos services principaux et vos services Azure, tels qu’Azure Front Door et Azure Application Gateway.
DDoS Protection offre plus de fonctionnalités que la Protection de l’infrastructure DDoS. Si vous déterminez que certaines applications sont critiques ; par exemple, un site web marchand qui génère un gros chiffre d’affaire, DDos Protection est le choix recommandé.
Vous avez décidé que la référence SKU de la Protection IP DDoS est parfaite pour votre petite organisation, car il s’agit d’un service de paiement par IP. Vous savez que vous pouvez passer à la référence SKU Protection réseau DDoS pour la protection des réseaux virtuels, la prise en charge d’une réponse rapide de DDoS et des coûts garantis une fois que Contoso développe ses services.