Protezione DDoS in Front Door

  • Articolo

Frontdoor di Azure è un rete per la distribuzione di contenuti (rete CDN) che consente di proteggere le origini dagli attacchi DDoS HTTP(S) distribuendo il traffico tra i 192 POP perimetrali in tutto il mondo. Questi POP usano la rete WAN privata di grandi dimensioni per distribuire le applicazioni Web e i servizi in modo più rapido e sicuro agli utenti finali. Frontdoor di Azure include anche la protezione di livello 3, 4 e 7 DDoS e un web application firewall (WAF) per proteggere le applicazioni da exploit e vulnerabilità comuni.

Protezione DDoS dell'infrastruttura

Frontdoor di Azure trae vantaggio dalla protezione DDoS predefinita dell'infrastruttura di Azure. Questa protezione monitora e attenua gli attacchi a livello di rete in tempo reale usando la scalabilità globale e la capacità della rete di Frontdoor. Questa protezione ha un record comprovato nella protezione dei servizi aziendali e consumer di Microsoft da attacchi su larga scala.

Blocco del protocollo

Frontdoor di Azure supporta solo i protocolli HTTP e HTTPS e richiede un'intestazione "Host" valida per ogni richiesta. Questo comportamento consente di evitare alcuni tipi di attacco DDoS comuni, ad esempio attacchi volumetrici che usano diversi protocolli e porte, attacchi di amplificazione DNS e attacchi di avvelenamento TCP.

Assorbimento della capacità

Frontdoor di Azure è un servizio distribuito a livello globale su larga scala. Serve molti clienti, inclusi i prodotti cloud di Microsoft che gestiscono centinaia di migliaia di richieste al secondo. Frontdoor si trova nella parte perimetrale della rete di Azure, in cui può intercettare e isolare geograficamente attacchi di grandi volumi. Di conseguenza, Frontdoor può impedire che il traffico dannoso raggiunga oltre il bordo della rete di Azure.

Memorizzazione nella cache

È possibile usare le funzionalità di memorizzazione nella cache di Frontdoor per proteggere i back-end da volumi di traffico di grandi dimensioni generati da un attacco. I nodi perimetrali frontdoor restituiscono risorse memorizzate nella cache ed evitano l'inoltro al back-end. Anche brevi tempi di scadenza della cache (secondi o minuti) nelle risposte dinamiche possono ridurre significativamente il carico sui servizi back-end. Per altre informazioni sui concetti e i modelli di memorizzazione nella cache, vedere Considerazioni sulla memorizzazione nella cache e modello cache-aside.

Web Application Firewall (WAF)

È possibile usare Web application firewall (WAF) di Frontdoor per attenuare molti tipi diversi di attacchi:

  • Il set di regole gestite protegge l'applicazione da molti attacchi comuni. Per altre informazioni, vedere Regole gestite.
  • È possibile bloccare o reindirizzare il traffico dall'esterno o all'interno di un'area geografica specifica a una pagina Web statica. Per altre informazioni, vedere Filtro geografico.
  • È possibile bloccare gli indirizzi IP e gli intervalli identificati come dannosi. Per altre informazioni, vedere Restrizioni IP.
  • È possibile applicare la limitazione della frequenza per impedire agli indirizzi IP di chiamare il servizio troppo frequentemente. Per altre informazioni, vedere Limitazione della frequenza.
  • È possibile creare regole WAF personalizzate per bloccare e limitare automaticamente gli attacchi HTTP o HTTPS con firme note.
  • Il set di regole gestite di protezione del bot protegge l'applicazione da bot non valido noti. Per altre informazioni, vedere Configurazione della protezione dei bot.

Per indicazioni su come usare Azure WAF per la protezione da attacchi DDoS, vedere Protezione DDoS dell'applicazione.

Proteggere le origini della rete virtuale

Per proteggere gli indirizzi IP pubblici dagli attacchi DDoS, abilitare Protezione DDoS di Azure nella rete virtuale di origine. I clienti di Protezione DDoS ricevono vantaggi aggiuntivi, ad esempio la protezione dei costi, la garanzia del contratto di servizio e l'accesso agli esperti del team di risposta rapida DDoS per assistenza immediata durante un attacco.

Migliorare la sicurezza delle origini ospitate in Azure limitandone l'accesso ad Azure Frontdoor tramite collegamento privato di Azure. Questa funzionalità abilita una connessione di rete privata tra Frontdoor di Azure e i server applicazioni, eliminando la necessità di esporre le origini alla rete Internet pubblica.

Passaggi successivi