Che cos'è Protezione DDoS di Azure?

Gli attacchi Distributed Denial of Service (DDoS) sono tra le principali preoccupazioni che riguardano la disponibilità e la sicurezza per quei clienti che spostano le loro applicazioni nel cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità di mitigazione DDoS avanzate per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse.

Diagramma dell'architettura di riferimento per un'applicazione Web PaaS protetta da DDoS.

Disponibilità a livello di area

Protezione IP DDoS non è attualmente disponibile nelle aree Stati Uniti orientali 2 ed Europa occidentale.

Vantaggi principali

Monitoraggio del traffico sempre attivo

I modelli di traffico dell'applicazione vengono monitorati 24 ore al giorno, 7 giorni alla settimana, cercando indicatori di attacchi DDoS. Protezione DDoS di Azure riduce immediatamente e automaticamente l'attacco, una volta rilevato.

Ottimizzazione adattiva in tempo reale

la profilatura intelligente del traffico apprende il modello di traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio. Il profilo viene modificato in base ai cambiamenti del traffico nel tempo.

Telemetria, monitoraggio e avvisi di Protezione DDoS

Protezione DDoS di Azure applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale con DDoS abilitato. Le soglie dei criteri vengono configurate automaticamente tramite la profilatura del traffico di rete basata su Machine Learning. La mitigazione dei rischi DDoS ha luogo per un indirizzo IP sotto attacco solo quando viene superata la soglia dei criteri.

Azure DDoS Rapid Response

Durante un attacco attivo, i clienti di Protezione DDoS di Azure hanno accesso al team DDoS Rapid Response (DRR), che può essere utile per l'analisi degli attacchi durante un attacco e un'analisi post-attacco. Per altre informazioni, vedere Risposta rapida DDoS di Azure.

SKU

Protezione DDoS di Azure è disponibile in due SKU disponibili, Anteprima protezione IP DDoS e Protezione di rete DDoS. Per altre informazioni sugli SKU, vedere Confronto degli SKU.

Integrazione della piattaforma nativa

integrazione nativa in Azure. Include la configurazione tramite il portale di Azure. Protezione DDoS di Azure riconosce le risorse e la configurazione delle risorse.

Protezione chiavi in mano

La configurazione semplificata protegge immediatamente tutte le risorse in una rete virtuale non appena la protezione di rete DDoS è abilitata. Non è necessaria alcuna definizione dell'utente o intervento. Analogamente, la configurazione semplificata protegge immediatamente una risorsa IP pubblica quando è abilitata la protezione IP DDoS.

Protezione a più livelli

Quando viene distribuito con un web application firewall (WAF), Protezione DDoS di Azure protegge sia a livello di rete (livello 3 che 4, offerto da Protezione DDoS di Azure) e a livello di applicazione (livello 7, offerto da un WAF). Le offerte WAF includono le offerte di WEB application firewall di Azure gateway applicazione di Azure gateway applicazione e web application firewall di terze parti disponibili nella Azure Marketplace.

Scalabilità di mitigazione estesa

Tutti i vettori di attacco L3/L4 possono essere mitigati, con capacità globale, per proteggersi dagli attacchi DDoS noti più grandi.

Analisi degli attacchi

Ottenere report dettagliati in incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco. Trasmettere i log dei flussi di mitigazione a Microsoft Sentinel o a un sistema SIEM (Security Information and Event Management) offline per il monitoraggio quasi in tempo reale durante un attacco. Per altre informazioni , vedere Visualizzare e configurare la registrazione diagnostica DDoS .

Metriche di attacco

tramite Monitoraggio di Azure è possibile accedere al riepilogo delle metriche per ogni attacco. Per altre informazioni , vedere Visualizzare e configurare i dati di telemetria della protezione DDoS .

Avvisi in caso di attacco

è possibile configurare avvisi all'inizio e alla fine di un attacco, così come durante l'attacco, usando le metriche integrate relative agli attacchi. Gli avvisi si integrano nel software operativo, ad esempio i log di Monitoraggio di Microsoft Azure, Splunk, Archiviazione di Azure, Email e le portale di Azure. Per altre informazioni , vedere Visualizzare e configurare gli avvisi di protezione DDoS .

Garanzia sui costi

Ricevere il credito del servizio di trasferimento dei dati e del servizio di scalabilità orizzontale delle applicazioni per i costi delle risorse sostenuti a seguito di attacchi DDoS documentati.

Architettura

Protezione DDoS di Azure è progettata per i servizi distribuiti in una rete virtuale. Per altri servizi, viene applicata la protezione DDoS a livello di infrastruttura predefinita, che protegge dagli attacchi comuni a livello di rete. Per altre informazioni sulle architetture supportate, vedere Architetture di riferimento di Protezione DDoS.

Prezzi

Per Protezione di rete DDoS, in un tenant, è possibile usare un singolo piano di protezione DDoS tra più sottoscrizioni, quindi non è necessario creare più di un piano di protezione DDoS. Per la protezione IP DDoS, non è necessario creare un piano di protezione DDoS. I clienti possono abilitare la protezione IP DDoS in qualsiasi risorsa IP pubblica.

Per informazioni sui prezzi di Protezione DDoS di Azure, vedere Prezzi di Protezione DDoS di Azure.

Domande frequenti sulla protezione DDoS

Per le domande frequenti, vedere le domande frequenti sulla protezione DDoS.

Passaggi successivi