Difendere l'istanza di Gestione API di Azure dagli attacchi DDoS

SI APPLICA A: Sviluppatore | Premium

Questo articolo illustra come difendere l'istanza di Gestione API di Azure dagli attacchi DDoS (Distributed Denial of Service) abilitando Protezione DDoS di Azure. Protezione DDoS di Azure offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS a livello di dati e protocolli.

Nota

Per i carichi di lavoro Web, è consigliabile usare la Protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS emergenti. Un'altra opzione consiste nell'usare Frontdoor di Azure insieme a un web application firewall. Frontdoor di Azure offre protezione a livello di piattaforma contro gli attacchi DDoS a livello di rete. Per altre informazioni, vedere la baseline di sicurezza per i servizi di Azure.

Configurazioni supportate

L'abilitazione della protezione DDoS di Azure per Gestione API è supportata solo per le istanze distribuite (inserite) in una rete virtuale in modalità esterna o modalità interna.

• Modalità esterna: tutti gli endpoint di Gestione API sono protetti
• Modalità interna: solo l'endpoint di gestione accessibile sulla porta 3443 è protetto

Configurazioni non supportate

• Istanze non inserite nella rete virtuale
• Istanze configurate con un endpoint privato

Prerequisiti

• Un'istanza di Gestione API
  • L'istanza deve essere distribuita in una rete virtuale di Azure in modalità esterna o modalità interna.
  • L'istanza deve essere configurata con una risorsa indirizzo IP pubblico di Azure, supportata solo nella stv2piattaforma di calcolo di Gestione API.

    Nota

    Se l'istanza è ospitata nella piattaforma stv1, è necessario eseguire la migrazione di alla piattaforma stv2.

• Un piano di protezione DDoS di Azure

  • Il piano selezionato può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa rispetto alla rete virtuale e all'istanza di Gestione API. Se le sottoscrizioni differiscono, devono essere associate allo stesso tenant di Microsoft Entra.

  • È possibile usare un piano creato usando lo SKU di protezione DDoS di rete o lo SKU protezione DDoS IP. Vedere confronto tra SKU di protezione DDoS di Azure.

    Nota

    I piani di protezione DDoS di Azure comportano dei costi aggiuntivi. Per altre informazioni, vedere Prezzi.

Abilitare Protezione DDoS

A seconda del piano di protezione DDoS usato, abilitare la protezione DDoS nella rete virtuale usata per l'istanza di Gestione API o la risorsa indirizzo IP configurata per la rete virtuale.

Abilitare Protezione DDoS nella rete virtuale usata per l'istanza di Gestione API

1. Nel portale di Azure, passare alla rete virtuale in cui viene inserito Gestione API.

2. Nel menu a sinistra, in Impostazioni, selezionare Protezione DDoS.

3. Selezionare Abilita e quindi selezionare il piano di protezione DDoS.

4. Seleziona Salva.

   

Abilitare la protezione DDoS nell'indirizzo IP pubblico di Gestione API

Se il piano usa lo SKU protezione DDoS IP, vedere Abilitare la protezione IP DDoS per un indirizzo IP pubblico.

Passaggi successivi

• Informazioni su come verificare la protezione DDoS dell'istanza di Gestione API testando con i partner di simulazione
• Informazioni su come visualizzare e configurare i dati di telemetria di Protezione DDoS di Azure