O que é a Proteção contra DDoS do Azure?

Ataques de DDoS (negação de serviço distribuído) são uma das maiores preocupações de disponibilidade e de segurança enfrentadas pelos clientes que estão migrando seus aplicativos para a nuvem. Um ataque de DDoS tenta esgotar os recursos de um aplicativo, fazendo com que o aplicativo fique indisponível para usuários legítimos. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos.

A Proteção contra DDoS do Azure protege as camadas de rede da camada 3 e camada 4. Para proteção dos aplicativos Web na camada 7, é necessário adicionar proteção na camada do aplicativo usando uma oferta do WAF. Para saber mais, consulte Proteção contra DDoS para aplicativos.

Tiers

Proteção de Rede contra DDoS

A Proteção de Rede contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. Para saber como habilitar a Proteção de Rede contra DDoS, confira Início Rápido: Criar e configurar a Proteção de Rede contra DDoS do Azure usando o portal do Azure.

Proteção de IP contra DDoS

A Proteção de IP contra DDoS é um modelo de pagamento por IP protegido. A Proteção de IP contra DDoS contém os mesmos recursos principais de engenharia da Proteção de Rede contra DDoS, mas se diferencia nos seguintes serviços de valor agregado: suporte a resposta rápida de DDoS, proteção de custos e descontos no WAF. Para saber como habilitar a Proteção de IP contra DDoS, confira Início Rápido: Criar e configurar a Proteção de IP contra DDoS do Azure usando o Azure PowerShell.

Para mais informações sobre as camadas, confira Comparação de camadas da Proteção contra DDoS.

Principais recursos

• Monitoramento de tráfego sempre ativo: os padrões de tráfego de seus aplicativos são monitorados 24 horas por dia, 7 dias por semana, em busca de indicadores de ataques DDoS. A Proteção contra DDoS do Azure reduz o ataque de maneira instantânea e automática assim que ele é detectado.

• Ajuste adaptativo em tempo real: a criação inteligente de perfis de tráfego aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil se ajusta conforme o tráfego é alterado ao longo do tempo.

• Análises, métricas e alertas da Proteção contra DDoS: a Proteção contra DDoS do Azure aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) em cada IP público do recurso protegido na rede virtual que possui a funcionalidade DDoS habilitada. Os limites da política são configurados automaticamente por meio da criação de perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política for excedido.

  • Análise de ataque: obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, além de um resumo completo após o término dele. Transmita logs do fluxo de mitigação por streaming para o Microsoft Sentinel ou um sistema de SIEM (gerenciamento de informações e eventos de segurança) offline para monitoramento quase em tempo real durante um ataque. Confira Exibir e configurar o log de diagnóstico de DDoS para saber mais.

  • Métricas de ataque: métricas resumidas de cada ataque são acessíveis por meio do Azure Monitor. Confira Exibir e configurar a telemetria da Proteção contra DDoS para saber mais.

  • Alerta de ataque: alertas podem ser configurados no início, durante e após a interrupção de um ataque, usando métricas de ataque internas. Os alertas integram-se ao software operacional, como logs do Microsoft Azure Monitor, Splunk, Armazenamento do Microsoft Azure, Email e o Portal do Azure. Confira Exibir e configurar os alertas da Proteção contra DDoS para saber mais.

• Azure DDoS Rapid Response: durante um ataque ativo, os clientes têm acesso à equipe DDoS Rapid Response (DRR), que pode ajudar na investigação durante um ataque e na análise após o ataque. Para obter mais informações, confira Azure DDoS Rapid Response.

• Integração de plataforma nativa: nativamente integrado ao Azure. Inclui a configuração por meio do Portal do Azure. A Proteção contra DDoS do Azure compreende seus recursos e a respectiva configuração.

• Proteção pronta para uso: a configuração simplificada protege imediatamente todos os recursos em uma rede virtual assim que a Proteção de Rede contra DDoS é habilitada. Nenhuma definição ou intervenção do usuário é necessária. Da mesma forma, a configuração simplificada protege imediatamente um recurso de IP público quando a Proteção de IP contra DDoS está habilitada para ele.

• Proteção multicamadas: quando implantada com um firewall do aplicativo Web (WAF), a Proteção contra DDoS do Azure protege nas camada de rede (Camada 3 e 4, fornecidas pela Proteção contra DDoS do Azure) e nas camada de aplicativo (Camada 7, fornecida por um WAF). As ofertas do WAF incluem o SKU do WAF do Gateway de Aplicativo do Azure e as ofertas de firewall de aplicativo Web de terceiros disponíveis no Azure Marketplace.

• Escala de mitigação ampla: todos os vetores de ataque L3/L4 podem ser mitigados, com capacidade global, para proteger contra os maiores ataques de DDoS conhecidos.

• Garantia de custo: receba crédito de serviço de transferência de dados e expansão de aplicativo para custos de recursos incorridos como resultado de ataques DDoS documentados.

Arquitetura

A Proteção contra DDoS do Azure destina-se a serviços implantados em uma rede virtual. Para outros serviços, a proteção contra DDoS de nível de infraestrutura padrão se aplica, que defende contra ataques comuns de camada de rede. Para saber mais sobre arquiteturas compatíveis, veja Arquiteturas de referência da Proteção contra DDoS.

Preços

No caso da Proteção de Rede contra DDoS, em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas; portanto, não é necessário mais de um plano de proteção contra DDoS. No caso da Proteção de IP contra DDoS, não é necessário criar um plano de proteção contra DDoS. Os clientes podem habilitar a proteção de IP de DDoS em qualquer recurso de IP público.

Para saber mais sobre os preços da Proteção contra DDoS do Azure, veja Preços da Proteção contra DDoS do Azure.

Práticas Recomendadas

Maximize a eficácia de sua estratégia de proteção e mitigação contra DDoS seguindo estas melhores práticas:

• Crie seus aplicativos e infraestrutura com redundância e resiliência em mente.
• Implemente uma abordagem de segurança de várias camadas, incluindo rede, aplicativo e proteção de dados.
• Prepare um plano de resposta a incidentes para garantir uma resposta coordenada aos ataques de DDoS.

Para saber mais sobre as melhores práticas, confira Melhores práticas fundamentais.

Perguntas frequentes

Para perguntas frequentes, confira as Perguntas frequentes sobre DDoS.

Próximas etapas

• Início Rápido: criar um plano de proteção contra DDoS
• Módulo do Learn: Introdução à Proteção contra DDoS do Azure
• Saiba mais sobre segurança de rede do Azure