Este artigo responde a perguntas comuns sobre a Proteção contra DDoS do Azure.
O que é um ataque de DDoS (Negação de Serviço Distribuído)?
Negação de serviço distribuído, ou DDoS, é um tipo de ataque em que um invasor envia mais solicitações a um aplicativo do que o aplicativo é capaz de controlar. O efeito resultante é que os recursos são esgotados, afetando a disponibilidade do aplicativo e a capacidade de atender a seus clientes. Nos últimos anos, o setor observou um aumento de ataques, que ficaram mais sofisticados e com maior magnitude. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.
O que é a Proteção contra DDoS do Azure?
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos. Para saber mais, confira Visão geral da Proteção contra DDoS do Azure.
Como funciona o preço?
Os planos de proteção contra DDoS têm uma mensalidade fixa que abrange até 100 endereços IP públicos. A proteção para recursos adicionais está disponível.
Em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas, portanto, não é necessário criar outro plano do tipo.
Quando o Gateway de Aplicativo com WAF é implantado em uma VNet protegida por DDoS, não há encargos adicionais para o WAF e você paga pelo Gateway de Aplicativo com uma taxa inferior sem WAF. Isso se aplica a SKUs do Gateway de Aplicativo v1 e v2.
Confira os preços e mais detalhes em Preços da Proteção contra DDoS do Azure.
Qual camada de Proteção contra DDoS do Azure devo escolher?
Se você precisar proteger menos que 15 recursos de IP público, a camada de Proteção de IP é a opção com melhor custo-benefício. Se você tiver mais de 15 recursos de IP público para proteger, a camada de Proteção de Rede será o melhor custo-benefício. A Proteção de Rede também oferece recursos adicionais, incluindo Resposta Rápida de Proteção contra DDoS (DRR), garantias de proteção de custos e descontos no Firewall de Aplicativo Web (WAF).
A zona de serviço é resiliente?
Sim. Por padrão, a proteção contra DDoS do Azure é resiliente por zona.
Como fazer para configurar o serviço para que ele tenha resiliência de zona?
Nenhuma configuração do cliente será necessária para habilitar a resiliência de zona. A resiliência de zona de recursos da Proteção contra DDoS do Azure está disponível por padrão e é gerenciada pelo próprio serviço.
E quanto à proteção na camada de serviço (camada 7)?
Os clientes podem usar o serviço de Proteção contra DDoS do Azure combinado com um WAF (Firewall de Aplicativo Web) para proteção na camada de rede (camadas 3 e 4, oferecida pela Proteção contra DDoS do Azure) e na camada de aplicativo (camada 7, oferecida por um WAF). As ofertas do WAF incluem o SKU do WAF do Gateway de Aplicativo do Azure e as ofertas de firewall de aplicativo Web de terceiros disponíveis no Azure Marketplace.
Os serviços ficam desprotegidos no Azure sem o serviço?
Os serviços em execução no Azure são inerentemente protegidos pela proteção contra DDoS no nível da infraestrutura padrão. No entanto, como a proteção da infraestrutura tem um limite muito maior do que é suportado pela maioria dos aplicativos e não fornece telemetria ou alertas, embora a plataforma possa perceber um volume de tráfego como inofensivo, ele pode ser devastador para o aplicativo que o recebe.
Ao realizar a integração com o serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detectar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil que é ajustado para seu volume de tráfego esperado, fornecendo uma defesa muito mais rígida contra ataques de DDoS.
Quais são os tipos de recursos protegidos com suporte?
Os IPs públicos no ARM com base em VNETs são atualmente o único tipo de recurso protegido. Os recursos protegidos incluem IPs públicos anexados a uma VM de IaaS, Load Balancer (Balanceadores de Carga Clássicos e Padrão), cluster de Gateway de Aplicativo (incluindo WAF), Firewall, Bastion, Gateway de VPN, Service Fabric ou um Dispositivo Virtual de Rede (NVA) baseado em IaaS. A proteção também abrange intervalos de IP público trazidos para o Azure por meio de BYOIPs (prefixos ip personalizados).
Para saber mais sobre limitações, confira Arquiteturas de referência da Proteção contra DDoS do Azure.
Há suporte para recursos protegidos clássicos/RDFE?
Somente recursos protegidos baseados em ARM têm suporte na visualização. Não há suporte para VMs em implantações clássicas/RDFE. O suporte não está atualmente planejado para recursos clássicos/RDFE. Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.
Posso proteger meus recursos de PaaS usando a Proteção contra DDoS?
Os IPs públicos anexados a serviços PaaS VIP únicos e multilocatários não têm suporte no momento. Exemplos de recursos sem suporte incluem VIPs de armazenamento, VIPs de Hubs de Eventos e aplicativos de Serviços de Nuvem/Aplicativo. Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.
Posso proteger meus recursos locais usando a Proteção contra DDoS?
Você precisa que os pontos de extremidade públicos do seu serviço associado a uma VNet no Azure sejam habilitados para proteção contra DDoS. Exemplos de designs incluem:
- Sites da Web (IaaS) no Azure e em bancos de dados de back-end no datacenter local.
- Gateway de aplicativo no Azure (proteção contra DDoS habilitada no gateway de aplicativo/WAF) e sites em datacenters locais.
Para obter mais informações, confira as Arquiteturas de referência da Proteção contra DDoS.
Posso registrar um domínio fora do Azure e associá-lo a um recurso protegido, como VM ou ELB?
Para os cenários de IP público, o serviço de proteção contra DDoS dará suporte a qualquer aplicativo, independentemente de onde o domínio associado seja registrado ou hospedado, desde que o IP público associado esteja hospedado no Azure.
Posso configurar manualmente a política de DDoS aplicada aos IPs VNets/públicos?
Não, infelizmente a personalização da política não está disponível neste momento.
É possível permitir endereços IP específicos de listas de permitidos/bloqueados?
Não, infelizmente a configuração manual não está disponível neste momento.
Como posso testar a Proteção contra DDoS?
Consulte Testes por meio de simulações.
Quanto tempo leva para que as métricas sejam carregadas no portal?
As métricas devem ficar visíveis no portal em 5 minutos. Se o recurso estiver sob ataque, outras métricas começarão a aparecer no portal dentro de 5-7 minutos.
O serviço armazena dados do cliente?
Não, a Proteção contra DDoS não armazena dados do cliente.
Há suporte para uma única implantação de VM atrás do IP público?
Há suporte para cenários em que uma única VM é executada atrás de um IP público, mas isso não é recomendado. A mitigação de DDoS pode não ser iniciada instantaneamente quando o ataque DDoS é detectado. Como resultado, uma única implantação de VM que não pode ser escalada horizontalmente ficará inativa nesses casos. Para obter mais informações, confira Melhores práticas fundamentais.