Vergelijking van Azure DDoS Protection-laag
In de secties in dit artikel worden de resources en instellingen van Azure DDoS Protection besproken.
Lagen
Azure DDoS Protection ondersteunt twee laagtypen, DDoS IP Protection en DDoS-netwerkbeveiliging. De laag wordt tijdens de werkstroom geconfigureerd in Azure Portal wanneer u Azure DDoS Protection configureert.
In de volgende tabel ziet u functies en bijbehorende lagen.
| Functie | DDoS IP-beveiliging | DDoS-netwerkbeveiliging |
|---|---|---|
| Actieve verkeersbewaking en altijd ingeschakelde detectie | Ja | Ja |
| L3/L4 Automatische aanvalsbeperking | Ja | Ja |
| Automatische aanvalsbeperking | Ja | Ja |
| Beleid voor risicobeperking op basis van toepassingen | Ja | Ja |
| Metrische gegevens en waarschuwingen | Ja | Ja |
| Risicobeperkingsrapporten | Ja | Ja |
| Stroomlogboeken voor risicobeperking | Ja | Ja |
| Beperkingsbeleid dat is afgestemd op de toepassing van klanten | Ja | Ja |
| Integratie met Firewall Manager | Ja | Ja |
| Microsoft Sentinel-gegevensconnector en -werkmap | Ja | Ja |
| Beveiliging van resources tussen abonnementen in een tenant | Ja | Ja |
| Beveiliging van openbare IP Standard-laag | Ja | Ja |
| Beveiliging van openbare IP Basic-lagen | Nr. | Ja |
| Ondersteuning voor snelle respons van DDoS | Niet beschikbaar | Ja |
| Kostenbeveiliging | Niet beschikbaar | Ja |
| WAF-korting | Niet beschikbaar | Ja |
| Prijs | Per beveiligd IP-adres | Per 100 beveiligde IP-adressen |
Notitie
Zonder extra kosten beveiligt Azure DDoS-infrastructuurbeveiliging elke Azure-service die gebruikmaakt van openbare IPv4- en IPv6-adressen. Deze DDoS-beveiligingsservice helpt bij het beveiligen van alle Azure-services, waaronder PaaS-services (Platform as a Service), zoals Azure DNS. Zie DDoS Protection-referentiearchitecturen voor meer informatie over ondersteunde PaaS-services. Azure DDoS-infrastructuurbeveiliging vereist geen wijzigingen in de gebruikersconfiguratie of toepassing. Azure biedt continue beveiliging tegen DDoS-aanvallen. DDoS-beveiliging slaat geen klantgegevens op.
Beperkingen
DDoS-netwerkbeveiliging en DDoS IP-beveiliging hebben de volgende beperkingen:
- PaaS-services (meerdere tenants), waaronder Azure-app Service Environment for Power Apps, Azure API Management in implementatiemodi anders dan APIM met integratie van virtuele netwerken (zie https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671voor meer informatie) en Azure Virtual WAN worden momenteel niet ondersteund.
- Het beveiligen van een openbare IP-resource die is gekoppeld aan een NAT-gateway, wordt niet ondersteund.
- Virtuele machines in klassieke/RDFE-implementaties worden niet ondersteund.
- VPN-gateway of virtuele netwerkgateway wordt beveiligd door een DDoS-beleid. Adaptief afstemmen wordt in deze fase niet ondersteund.
- Gedeeltelijk ondersteund: de Azure DDoS Protection-service kan een openbare load balancer beveiligen met een openbaar IP-adresvoorvoegsel dat is gekoppeld aan de front-end. DDoS-aanvallen worden effectief gedetecteerd en beperkt. Telemetrie en logboekregistratie voor de beveiligde openbare IP-adressen binnen het voorvoegselbereik zijn momenteel echter niet beschikbaar.
DDoS IP Protection is vergelijkbaar met Netwerkbeveiliging, maar heeft de volgende aanvullende beperking:
- Beveiliging van openbare IP Basic-lagen wordt niet ondersteund.
Notitie
Scenario's waarin één VIRTUELE machine achter een openbaar IP-adres wordt uitgevoerd, wordt ondersteund, maar niet aanbevolen. Zie Basisprocedures voor meer informatie.
Zie Referentiearchitecturen voor Azure DDoS Protection voor meer informatie.