Perguntas frequentes sobre a Proteção contra DDoS do Azure

Negação de serviço distribuído, ou DDoS, é um tipo de ataque em que um invasor envia mais solicitações a um aplicativo do que o aplicativo é capaz de controlar. O efeito resultante é que os recursos são esgotados, afetando a disponibilidade do aplicativo e a capacidade de atender a seus clientes. Nos últimos anos, o setor observou um aumento de ataques, que ficaram mais sofisticados e com maior magnitude. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos. Para saber mais, confira Visão geral da Proteção contra DDoS do Azure. 

Os planos de proteção contra DDoS têm uma mensalidade fixa que abrange até 100 endereços IP públicos. A proteção para recursos adicionais está disponível.

Em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas, portanto, não é necessário criar outro plano do tipo.

Quando o Gateway de Aplicativo com WAF é implantado em uma VNet protegida por DDoS, não há encargos adicionais para o WAF e você paga pelo Gateway de Aplicativo com uma taxa inferior sem WAF. Isso se aplica a SKUs do Gateway de Aplicativo v1 e v2.

Confira os preços e mais detalhes em Preços da Proteção contra DDoS do Azure.

Se você precisar proteger menos que 15 recursos de IP público, a camada de Proteção de IP é a opção com melhor custo-benefício. Se você tiver mais de 15 recursos de IP público para proteger, a camada de Proteção de Rede será o melhor custo-benefício. A Proteção de Rede também oferece recursos adicionais, incluindo Resposta Rápida de Proteção contra DDoS (DRR), garantias de proteção de custos e descontos no Firewall de Aplicativo Web (WAF).

Sim. Por padrão, a proteção contra DDoS do Azure é resiliente por zona.

Nenhuma configuração do cliente será necessária para habilitar a resiliência de zona. A resiliência de zona de recursos da Proteção contra DDoS do Azure está disponível por padrão e é gerenciada pelo próprio serviço.

Os clientes podem usar o serviço de Proteção contra DDoS do Azure combinado com um WAF (Firewall de Aplicativo Web) para proteção na camada de rede (camadas 3 e 4, oferecida pela Proteção contra DDoS do Azure) e na camada de aplicativo (camada 7, oferecida por um WAF). As ofertas do WAF incluem o SKU do WAF do Gateway de Aplicativo do Azure e as ofertas de firewall de aplicativo Web de terceiros disponíveis no Azure Marketplace.

Os serviços em execução no Azure são inerentemente protegidos pela proteção contra DDoS no nível da infraestrutura padrão. No entanto, como a proteção da infraestrutura tem um limite muito maior do que é suportado pela maioria dos aplicativos e não fornece telemetria ou alertas, embora a plataforma possa perceber um volume de tráfego como inofensivo, ele pode ser devastador para o aplicativo que o recebe.

Ao realizar a integração com o serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detectar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil que é ajustado para seu volume de tráfego esperado, fornecendo uma defesa muito mais rígida contra ataques de DDoS.

Os IPs públicos no ARM com base em VNETs são atualmente o único tipo de recurso protegido. Os recursos protegidos incluem IPs públicos anexados a uma VM de IaaS, Load Balancer (Balanceadores de Carga Clássicos e Padrão), cluster de Gateway de Aplicativo (incluindo WAF), Firewall, Bastion, Gateway de VPN, Service Fabric ou um Dispositivo Virtual de Rede (NVA) baseado em IaaS. A proteção também abrange intervalos de IP público trazidos para o Azure por meio de BYOIPs (prefixos ip personalizados).

Para saber mais sobre limitações, confira Arquiteturas de referência da Proteção contra DDoS do Azure.

Somente recursos protegidos baseados em ARM têm suporte na visualização. Não há suporte para VMs em implantações clássicas/RDFE. O suporte não está atualmente planejado para recursos clássicos/RDFE. Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.

Os IPs públicos anexados a serviços PaaS VIP únicos e multilocatários não têm suporte no momento. Exemplos de recursos sem suporte incluem VIPs de armazenamento, VIPs de Hubs de Eventos e aplicativos de Serviços de Nuvem/Aplicativo. Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.

Você precisa que os pontos de extremidade públicos do seu serviço associado a uma VNet no Azure sejam habilitados para proteção contra DDoS. Exemplos de designs incluem:

• Sites da Web (IaaS) no Azure e em bancos de dados de back-end no datacenter local.
• Gateway de aplicativo no Azure (proteção contra DDoS habilitada no gateway de aplicativo/WAF) e sites em datacenters locais.

Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.

Para os cenários de IP público, o serviço de proteção contra DDoS dará suporte a qualquer aplicativo, independentemente de onde o domínio associado seja registrado ou hospedado, desde que o IP público associado esteja hospedado no Azure.

Não, infelizmente a personalização da política não está disponível neste momento.

Não, infelizmente a configuração manual não está disponível neste momento.

Consulte Testes por meio de simulações.

As métricas devem ficar visíveis no portal em 5 minutos. Se o recurso estiver sob ataque, outras métricas começarão a aparecer no portal dentro de 5-7 minutos.

Não, a Proteção contra DDoS não armazena dados do cliente.

Há suporte para cenários em que uma única VM é executada atrás de um IP público, mas isso não é recomendado. A mitigação de DDoS pode não ser iniciada instantaneamente quando o ataque DDoS é detectado. Como resultado, uma única implantação de VM que não pode ser escalada horizontalmente ficará inativa nesses casos. Para obter mais informações, confira Melhores práticas fundamentais.