Azure DDoS Protection 계층 비교 정보

이 문서의 섹션에서는 Azure DDoS Protection에 대한 리소스 및 설정을 설명합니다.

계층

Azure DDoS Protection은 DDoS IP 보호와 DDoS 네트워크 보호라는 두 가지 계층 형식을 지원합니다. 계층은 Azure DDoS Protection을 구성할 때 워크플로 중에 Azure Portal에서 구성됩니다.

다음 표에서는 기능 및 해당 계층을 보여 줍니다.

기능	DDoS IP Protection	DDoS Network Protection
활성 트래픽 모니터링 및 무중단 감지	예	예
L3/L4 자동 공격 완화	예	예
자동 공격 완화	예	예
애플리케이션 기반 완화 정책	예	예
메트릭 및 알림	예	예
완화 보고서	예	예
완화 흐름 로그	예	예
고객 애플리케이션에 맞게 튜닝된 완화 정책	예	예
Firewall Manager와 통합	예	예
Microsoft Sentinel 데이터 커넥터 및 통합 문서	예	예
테넌트에서 구독 간 리소스 보호	예	예
공용 IP 표준 계층 보호	예	예
공용 IP 기본 계층 보호	예	예
DDoS 빠른 응답 지원	사용할 수 없음	예
비용 보호	사용할 수 없음	예
WAF 할인	사용할 수 없음	예
가격	보호된 IP당	보호된 IP 주소 100개당

참고 항목

Azure DDoS Infrastructure Protection 기본은 추가 비용 없이 공용 IPv4 및 IPv6 주소를 사용하는 모든 Azure 서비스를 보호합니다. 이 DDoS 보호 서비스는 Azure DNS와 같은 PaaS(Platform as a Service) 서비스를 포함한 모든 Azure 서비스 보호를 지원합니다. 지원되는 PaaS 서비스에 대한 자세한 내용은 DDoS Protection 참조 아키텍처를 참조하세요. DDoS Infrastructure Protection은 사용자 구성 또는 애플리케이션 변경이 필요 없습니다. Azure는 DDoS 공격으로부터 지속적으로 보호하는 기능을 제공합니다. DDoS Protection은 고객 데이터를 저장하지 않습니다.

제한 사항

DDoS 네트워크 보호 및 DDoS IP 보호에는 다음과 같은 제한 사항이 있습니다.

• Power Apps용 Azure App Service Environment, 가상 네트워크 통합이 포함된 APIM 이외의 배포 모드의 Azure API Management(자세한 내용은 https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671 참조) 및 Azure Virtual WAN을 포함하는 PaaS 서비스(다중 테넌트)는 현재 지원되지 않습니다.
• NAT Gateway에 연결된 공용 IP 리소스를 보호하는 것은 지원되지 않습니다.
• Classic/RDFE 배포의 가상 머신은 지원되지 않습니다.
• VPN Gateway 또는 가상 네트워크 게이트웨이는 DDoS 정책으로 보호됩니다. 이 단계에서는 적응형 튜닝이 지원되지 않습니다.
• 부분적으로 지원됨: Azure DDoS Protection 서비스는 프런트 엔드에 연결된 공용 IP 주소 접두사를 사용하여 공용 부하 분산 장치를 보호할 수 있습니다. DDoS 공격을 효과적으로 검색하고 완화합니다. 그러나 접두사 범위 내의 보호된 공용 IP 주소에 대한 원격 분석 및 로깅은 현재 사용할 수 없습니다.

DDoS IP 보호는 네트워크 보호와 유사하지만 다음과 같은 추가 제한 사항이 있습니다.

• 공용 IP 기본 계층 보호는 지원되지 않습니다.

참고 항목

단일 VM이 공용 IP 뒤에서 실행되는 시나리오는 지원되지만 권장되지는 않습니다. 자세한 내용은 기본 모범 사례를 참조하세요.

자세한 내용은 Azure DDoS Protection 참조 아키텍처를 참조하세요.

다음 단계

• Azure DDoS Protection 기능
• 참조 아키텍처