Informazioni sul confronto tra livelli di protezione DDoS di Azure
Le sezioni di questo articolo illustrano le risorse e le impostazioni di Protezione DDoS di Azure.
Livelli
Protezione DDoS di Azure supporta due tipi di livello, protezione IP DDoS e Protezione di rete DDoS. Il livello viene configurato nel portale di Azure durante il flusso di lavoro quando si configura Protezione DDoS di Azure.
La tabella seguente illustra le funzionalità e i livelli corrispondenti.
Funzionalità | Protezione IP DDoS | Protezione della rete DDoS |
---|---|---|
Monitoraggio del traffico attivo e rilevamento always on | Sì | Sì |
Mitigazione automatica degli attacchi L3/L4 | Sì | Sì |
Mitigazione automatica degli attacchi | Sì | Sì |
Criteri di mitigazione basati su applicazioni | Sì | Sì |
Metriche e avvisi | Sì | Sì |
Report di mitigazione | Sì | Sì |
Log dei flussi di mitigazione | Sì | Sì |
Criteri di mitigazione ottimizzati per l'applicazione dei clienti | Sì | Sì |
Integrazione con Gestione firewall | Sì | Sì |
Connettore dati e cartella di lavoro di Microsoft Sentinel | Sì | Sì |
Protezione delle risorse tra sottoscrizioni in un tenant | Sì | Sì |
Protezione livello IP pubblico Standard | Sì | Sì |
Protezione livello Basic ip pubblico | No | Sì |
Supporto DDoS Rapid Response | Non disponibile | Sì |
Protezione dei costi | Non disponibile | Sì |
Sconto WAF | Non disponibile | Sì |
Price | Per IP protetto | Per 100 indirizzi IP protetti |
Nota
Senza costi aggiuntivi, la protezione dell'infrastruttura DDoS di Azure protegge ogni servizio di Azure che usa indirizzi IPv4 e IPv6 pubblici. Questo servizio di Protezione DDoS aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS (Platform as a service), ad esempio DNS di Azure. Per altre informazioni sui servizi PaaS supportati, vedere Architetture di riferimento di Protezione DDoS. La protezione dell'infrastruttura DDoS di Azure non richiede modifiche alla configurazione utente o all'applicazione. Azure offre una protezione continua contro gli attacchi DDoS. Protezione DDoS non archivia i dati dei clienti.
Limiti
Protezione di rete DDoS e Protezione IP DDoS presentano le limitazioni seguenti:
- I servizi PaaS (multi-tenant), che includono app Azure Ambiente del servizio per Power Apps, Azure Gestione API in modalità di distribuzione diverse da Gestione API con integrazione di rete virtuale (per altre informazioni vedere https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) e Azure rete WAN virtuale non sono attualmente supportati.
- La protezione di una risorsa IP pubblica collegata a un gateway NAT non è supportata.
- Le macchine virtuali nelle distribuzioni classiche/RDFE non sono supportate.
- Il gateway VPN o il gateway di rete virtuale sono protetti da criteri DDoS. L'ottimizzazione adattiva non è supportata in questa fase.
- Parzialmente supportato: il servizio Protezione DDoS di Azure può proteggere un servizio di bilanciamento del carico pubblico con un prefisso di indirizzo IP pubblico collegato al relativo front-end. Rileva e attenua efficacemente gli attacchi DDoS. Tuttavia, i dati di telemetria e la registrazione per gli indirizzi IP pubblici protetti all'interno dell'intervallo di prefissi non sono attualmente disponibili.
Protezione IP DDoS è simile a Protezione di rete, ma presenta le limitazioni aggiuntive seguenti:
- La protezione del livello Public IP Basic non è supportata.
Nota
Gli scenari in cui una singola macchina virtuale è in esecuzione dietro un indirizzo IP pubblico è supportata, ma non consigliata. Per altre informazioni, vedere Procedure consigliate fondamentali.
Per altre informazioni, vedere Architetture di riferimento di Protezione DDoS di Azure.