Sobre a comparação dos níveis de Proteção contra DDoS do Azure
As seções neste artigo abordam os recursos e as configurações da Proteção contra DDoS do Azure.
Tiers
A Proteção contra DDoS do Azure dá suporte a dois tipos de camadas, a Proteção contra DDoS IP e a Proteção contra DDoS de Rede. O nível é configurado no portal do Azure durante o fluxo de trabalho quando você configura a Proteção contra DDoS do Azure.
A tabela a seguir mostra os recursos e os níveis correspondentes.
| Recurso | Proteção de IP contra DDoS | Proteção de Rede contra DDoS |
|---|---|---|
| Monitoramento de tráfego ativo e detecção sempre ativada | Sim | Sim |
| Mitigação de ataque automática L3/L4 | Sim | Sim |
| Mitigação automática de ataque | Sim | Sim |
| Políticas de mitigação baseadas em aplicativo | Sim | Yes |
| Métricas e alertas | Sim | Sim |
| Relatórios de mitigação | Sim | Sim |
| Logs de fluxo de mitigação | Sim | Sim |
| Políticas de mitigação ajustadas para o aplicativo do cliente | Sim | Sim |
| Integração com o Gerenciador de Firewall | Sim | Sim |
| Conector de dados e pasta de trabalho do Microsoft Sentinel | Sim | Sim |
| Proteção de recursos entre assinaturas em um locatário | Sim | Sim |
| Nível Padrão da Proteção de IPs Públicos | Sim | Sim |
| Nível Básico da Proteção de IPs Públicos | Não | Sim |
| Suporte para resposta rápida a DDoS | Não disponível | Sim |
| Proteção de custo | Não disponível | Sim |
| Desconto do WAF | Não disponível | Sim |
| Preço | Por IP protegido | Por 100 endereços IP protegidos |
Observação
Sem custo adicional, a Proteção de infraestrutura contra DDoS do Azure protege todos os serviços do Azure que usam endereços IPv4 e IPv6 públicos. Esse serviço de proteção contra DDoS ajuda a proteger todos os serviços do Azure, incluindo serviços de PaaS (plataforma como serviço), como o DNS do Azure. Para obter mais informações sobre os serviços de PaaS com suporte, consulte Arquiteturas de referência da Proteção contra DDoS. A Proteção de infraestrutura contra DDoS não exige nenhuma alteração nas configurações do usuário ou no aplicativo do usuário. O Azure fornece proteção contínua contra ataques de DDoS. A proteção contra DDoS não armazena dados do cliente.
Limitações
A Proteção de Rede contra DDoS e a Proteção de IP contra DDoS têm as seguintes limitações:
- Os serviços de PaaS (multilocatário), que incluem o Ambiente do Serviço de Aplicativo do Azure para Power Apps, o Gerenciamento de API do Azure em modos de implantação diferentes do APIM com integração de rede virtual (para mais informações, confira https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) e o WAN Virtual do Azure não têm suporte no momento.
- Não há suporte para a proteção de um recurso de IP público anexado a um Gateway da NAT.
- Não há suporte para máquinas virtuais em implantações Clássicas/RDFE.
- O gateway de VPN ou o gateway de rede virtual é protegido por uma política de DDoS. Não há suporte para ajuste adaptável nesta fase.
- Parcialmente compatível: o serviço de Proteção contra DDoS do Azure pode proteger um balanceador de carga público com um prefixo de endereço IP público vinculado ao seu front-end. Ele detecta e reduz efetivamente ataques de DDoS. No entanto, a telemetria e o registro em log dos endereços IP públicos protegidos dentro do intervalo de prefixo estão indisponíveis no momento.
A Proteção de IP de DDoS é semelhante à Proteção de Rede, mas tem a seguinte limitação adicional:
- Não há suporte para o nível Básico de Proteção de IPs Públicos.
Observação
Há suporte para cenários em que uma única VM é executada atrás de um IP público, mas não é recomendado. Para obter mais informações, confira Melhores práticas fundamentais.
Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.