Uw Azure API Management-exemplaar verdedigen tegen DDoS-aanvallen

VAN TOEPASSING OP: Ontwikkelaar | Premie

In dit artikel wordt beschreven hoe u uw Azure API Management-exemplaar kunt verdedigen tegen DDoS-aanvallen (Distributed Denial of Service) door Azure DDoS Protection in te schakelen. Azure DDoS Protection biedt verbeterde DDoS-risicobeperkingsfuncties voor bescherming tegen DDoS-aanvallen met volumetric en protocol.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.

Ondersteunde configuraties

Het inschakelen van Azure DDoS Protection voor API Management wordt alleen ondersteund voor exemplaren die zijn geïmplementeerd (geïnjecteerd) in een VNet in de externe modus of interne modus.

• Externe modus: alle API Management-eindpunten zijn beveiligd
• Interne modus: alleen het beheereindpunt dat toegankelijk is op poort 3443 is beveiligd

Niet-ondersteunde configuraties

• Exemplaren die niet zijn opgenomen in VNet
• Exemplaren die zijn geconfigureerd met een privé-eindpunt

Vereisten

• Een API Management-exemplaar
  • Het exemplaar moet worden geïmplementeerd in een Azure-VNet in de externe modus of in de interne modus.
  • Het exemplaar moet worden geconfigureerd met een openbare IP-adresresource van Azure, die alleen wordt ondersteund op het API Management-rekenplatform stv2 .

    Notitie

    Als het exemplaar wordt gehost op het stv1 platform, moet u migreren naar het stv2 platform.

• Een Azure DDoS Protection-plan

  • Het abonnement dat u selecteert, kan zich in hetzelfde of een ander abonnement bevinden dan het virtuele netwerk en het API Management-exemplaar. Als de abonnementen verschillen, moeten ze worden gekoppeld aan dezelfde Microsoft Entra-tenant.

  • U kunt een plan gebruiken dat is gemaakt met de netwerk-DDoS-beveiligings-SKU of IP DDoS Protection-SKU. Zie de vergelijking van de SKU van Azure DDoS Protection.

    Notitie

    Voor Azure DDoS Protection-abonnementen worden extra kosten in rekening gebracht. Ga voor meer informatie naar Prijzen.

DDoS-beveiliging inschakelen

Afhankelijk van het DDoS Protection-plan dat u gebruikt, schakelt u DDoS-beveiliging in op het virtuele netwerk dat wordt gebruikt voor uw API Management-exemplaar of de IP-adresresource die is geconfigureerd voor uw virtuele netwerk.

DDoS Protection inschakelen op het virtuele netwerk dat wordt gebruikt voor uw API Management-exemplaar

1. Navigeer in Azure Portal naar het VNet waar uw API Management is geïnjecteerd.

2. Selecteer in het linkermenu onder Instellingen DDoS-beveiliging.

3. Selecteer Inschakelen en selecteer vervolgens uw DDoS-beveiligingsplan.

4. Selecteer Opslaan.

   

DDoS-beveiliging inschakelen op het openbare IP-adres van API Management

Als uw plan gebruikmaakt van de IP DDoS Protection-SKU, raadpleegt u DDoS IP-beveiliging inschakelen voor een openbaar IP-adres.

Volgende stappen

• Meer informatie over het controleren van DDoS-beveiliging van uw API Management-exemplaar door te testen met simulatiepartners
• Meer informatie over het weergeven en configureren van Telemetrie van Azure DDoS Protection