Azure DDoS Protection サービス レベルの比較について
この記事のセクションでは、Azure DDoS Protection のリソースと設定について説明します。
層
Azure DDoS Protection では、DDoS IP 保護と DDoS ネットワーク保護の 2 種類のサービス レベルがサポートされています。 サービス レベルは、Azure DDoS Protection 構成時のワークフロー中に Azure portal 内で構成されます。
次の表に、機能と対応するサービス レベルを示します。
| 特徴量 | DDoS IP 保護 | DDoS ネットワーク保護 |
|---|---|---|
| アクティブなトラフィックの監視と常時検出 | はい | はい |
| L3/L4 攻撃の自動軽減 | はい | はい |
| 攻撃の自動軽減 | はい | はい |
| アプリケーション ベースのリスク軽減ポリシー | はい | はい |
| メトリックとアラート | はい | はい |
| 軽減レポート | はい | はい |
| 軽減フロー ログ | はい | はい |
| お客様のアプリケーションに合わせて調整される軽減ポリシー | はい | はい |
| Firewall Manager との統合 | はい | はい |
| Microsoft Sentinel のデータ コネクタとブック | はい | はい |
| テナント内のサブスクリプション間でのリソースの保護 | はい | はい |
| パブリック IP Standard レベルの保護 | はい | はい |
| パブリック IP Basic レベルの保護 | いいえ | はい |
| DDoS への迅速な対応のサポート | 使用できません | はい |
| コスト保護 | 使用できません | はい |
| WAF 割引 | 使用できません | はい |
| Price | 保護された IP 単位 | 100 個の保護された IP アドレス単位 |
Note
Azure DDoS インフラストラクチャ保護は追加コストなしで利用でき、IPv4 と IPv6 のパブリック アドレスを使用するすべての Azure サービスが保護されます。 この DDoS 保護サービスは、Azure DNS などのサービスとしてのプラットフォーム (PaaS) サービスを含むすべての Azure サービスを保護するのに役立ちます。 サポートされている PaaS サービスの詳細については、「DDoS Protection の参照アーキテクチャ」を参照してください。 Azure DDoS インフラストラクチャ保護には、ユーザーの構成もアプリケーションの変更も不要です。 Azure では、DDoS 攻撃に対する保護が継続的に提供されています。 DDoS 保護により顧客データが格納されることはありません。
制限事項
DDoS ネットワーク保護と DDoS IP 保護には、次の制限があります。
- PaaS サービス (マルチテナント)。Power Apps 用の Azure App Service Environment、仮想ネットワーク統合を使用した APIM 以外のデプロイ モードでの Azure API Management (詳細については、https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671 を参照)、および Azure Virtual WAN は現在サポートされていません。
- NAT Gateway に接続されているパブリック IP リソースの保護はサポートされていません。
- クラシック/RDFE デプロイでの仮想マシンはサポートされていません。
- VPN ゲートウェイまたは仮想ネットワーク ゲートウェイは、DDoS ポリシーによって保護されます。 アダプティブ チューニングは、この段階ではサポートされていません。
- 部分的にサポート: Azure DDoS Protection サービスは、パブリック IP アドレス プレフィックスをフロントエンドにリンクしてパブリック ロード バランサーを保護できます。 DDoS 攻撃を効果的に検出して軽減します。 ただし、プレフィックス範囲内の保護されたパブリック IP アドレスのテレメトリとログは現在使用できません。
DDoS IP 保護はネットワーク保護に似ていますが、次の追加の制限があります。
- パブリック IP Basic レベルの保護はサポートされていません。
Note
1 つの VM がパブリック IP の背後で実行されているシナリオはサポートされていますが、お勧めしません。 詳細については、「基本的なベスト プラクティス」に関するページを参照してください。
詳細については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。