Questo articolo risponde alle domande comuni sulla protezione DDoS di Azure.
Cosa sono gli attacchi Distributed Denial of Service (DDoS)?
Gli attacchi Distributed Denial of Service, o DDoS, sono un tipo di attacco in cui un utente malintenzionato invia più richieste a un'applicazione di quelle che l'applicazione è in grado di gestire. L'effetto risultante è che le risorse vengono esaurite, con conseguenze sulla disponibilità e sulla capacità dell'applicazione di servire i clienti. Negli ultimi anni il settore ha visto un forte aumento degli attacchi, con attacchi sempre più sofisticati e di dimensioni maggiori. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint raggiungibile pubblicamente tramite Internet.
Che cos'è il servizio Protezione DDoS di Azure?
Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse. Per altre informazioni, vedere Panoramica di Protezione DDoS di Azure Standard.
Quali sono i prezzi?
I piani di protezione DDoS prevedono un addebito mensile fisso che copre fino a 100 indirizzi IP pubblici. È disponibile la protezione per risorse aggiuntive.
In un tenant è possibile usare un singolo piano di protezione DDoS tra più sottoscrizioni, quindi non è necessario creare più di un piano di protezione DDoS.
Quando gateway applicazione con WAF viene distribuito in una rete virtuale protetta da DDoS, non sono previsti costi aggiuntivi per WAF: si paga per il gateway applicazione alla tariffa non WAF inferiore. Questo criterio si applica sia agli SKU gateway applicazione v1 che alla versione 2.
Per informazioni sui prezzi e altri dettagli, vedere Prezzi di Protezione DDoS di Azure.
Quale livello di protezione DDoS di Azure è necessario scegliere?
Se è necessario proteggere meno di 15 risorse IP pubbliche, il livello protezione IP è l'opzione più conveniente. Se sono disponibili più di 15 risorse IP pubbliche da proteggere, il livello Protezione di rete è più conveniente. Protezione di rete offre anche funzionalità aggiuntive, tra cui gli sconti DDoS Protection Rapid Response (DRR), garanzie di protezione dei costi e web application firewall (WAF).
Il servizio offre resilienza della zona?
Sì. Protezione DDoS di Azure offre la resilienza della zona per impostazione predefinita.
Come si configura il servizio in modo da abilitare la resilienza della zona?
Non è necessaria alcuna configurazione del cliente per abilitare la resilienza della zona. La resilienza della zona per le risorse di Protezione DDoS di Azure è disponibile per impostazione predefinita e viene gestita dal servizio stesso.
Che tipo di protezione si ha a livello di servizio (livello 7)?
I clienti possono usare il servizio Protezione DDoS di Azure in combinazione con un web application firewall (WAF) per la protezione a livello di rete (livello 3 e 4, offerto da Protezione DDoS di Azure) e a livello di applicazione (livello 7, offerto da un WAF). Le offerte WAF includono azure gateway applicazione SKU WAF e offerte web application firewall di terze parti disponibili in Azure Marketplace.
Senza questo servizio i servizi in Azure sono sicuri?
I servizi in esecuzione in Azure sono intrinsecamente protetti dalla protezione DDoS predefinita a livello di infrastruttura. Tuttavia, la protezione che protegge l'infrastruttura ha una soglia molto superiore rispetto alla maggior parte delle applicazioni ha la capacità di gestire e non fornisce dati di telemetria o avvisi, quindi, mentre un volume di traffico può essere percepito come innocuo dalla piattaforma, può essere devastante per l'applicazione che lo riceve.
Tramite l'onboarding nel servizio Protezione DDoS di Azure, l'applicazione ottiene un monitoraggio dedicato per rilevare gli attacchi e le soglie specifiche dell'applicazione. Un servizio verrà protetto con un profilo ottimizzato per il volume di traffico previsto, offrendo una difesa molto più efficiente contro gli attacchi DDoS.
Quali sono i tipi di risorse protette supportati?
Gli IP pubblici nelle reti virtuali basate su ARM sono attualmente l'unico tipo di risorsa protetta. Le risorse protette includono indirizzi IP pubblici collegati a una macchina virtuale IaaS, Load Balancer (classic & Load Balancer Standard s), gateway applicazione (incluso WAF), Firewall, Bastion, Gateway VPN, Service Fabric o un'appliance virtuale di rete basata su IaaS. La protezione copre anche gli intervalli IP pubblici portati in Azure tramite prefissi IP personalizzati (BYOIPs).
Per informazioni sulle limitazioni, vedere Architetture di riferimento di Protezione DDoS di Azure.
Le risorse protette classiche/RDFE sono supportate?
In anteprima sono supportate solo le risorse protette basate su ARM. Le macchine virtuali nelle distribuzioni classiche/RDFE non sono supportate. Il supporto non è attualmente pianificato per le risorse classiche/RDFE. Per altre informazioni, vedere Architetture di riferimento di Protezione DDoS di Azure.
È possibile proteggere le risorse PaaS usando Protezione DDoS?
Gli indirizzi IP pubblici collegati a servizi PaaS con indirizzo VIP singolo multi-tenant non sono attualmente supportati. Esempi di risorse non supportate includono indirizzi VIP Archiviazione, indirizzi VIP di Hub eventi e applicazioni app/Servizi cloud. Per altre informazioni, vedere Architetture di riferimento di Protezione DDoS di Azure.
È possibile proteggere le risorse locali usando Protezione DDoS?
Per la protezione DDoS è necessario che gli endpoint pubblici del servizio siano associati a una rete virtuale in Azure per essere abilitati. Le progettazioni di esempio includono:
- Siti Web (IaaS) in Azure e database back-end nel data center locale.
- gateway applicazione in Azure (protezione DDoS abilitata nel gateway app/WAF) e nei siti Web nei data center locali.
Per altre informazioni, vedere Architetture di riferimento di Protezione DDoS di Azure.
È possibile registrare un dominio all'esterno di Azure e associarlo a una risorsa protetta ad esempio a una macchina virtuale o ELB?
Per gli scenari con IP pubblici, il servizio Protezione DDoS supporterà qualsiasi applicazione indipendentemente dalla posizione in cui è registrato oppure ospitato il dominio associato, purché l'indirizzo IP pubblico associato sia ospitato in Azure.
È possibile configurare manualmente i criteri DDoS applicati alle reti virtuali o agli IP pubblici?
No, purtroppo la personalizzazione dei criteri non è attualmente disponibile.
È possibile inserire indirizzi IP specifici in elenchi di elementi consentiti o bloccati?
No, purtroppo la configurazione manuale non è attualmente disponibile.
Come è possibile testare Protezione DDoS?
Vedere Test tramite simulazioni.
Quanto tempo è necessario per il caricamento delle metriche nel portale?
Le metriche dovrebbero essere visibili nel portale entro 5 minuti. Se la risorsa è sotto attacco, nel portale verranno visualizzate altre metriche entro 5-7 minuti.
Il servizio archivia i dati dei clienti?
No, Protezione DDoS di Azure non archivia i dati dei clienti.
È supportata una singola distribuzione di macchine virtuali dietro l'indirizzo IP pubblico?
Gli scenari in cui una singola macchina virtuale è in esecuzione dietro un indirizzo IP pubblico è supportata ma non consigliata. La mitigazione DDoS potrebbe non iniziare immediatamente quando viene rilevato un attacco DDoS. Di conseguenza, una singola distribuzione di macchine virtuali che non è in grado di aumentare il numero di istanze passerà in questi casi. Per altre informazioni, vedere Procedure consigliate fondamentali.