O que é a Proteção contra DDoS do Azure?

Ataques de DDoS (negação de serviço distribuído) são uma das maiores preocupações de disponibilidade e de segurança enfrentadas pelos clientes que estão migrando seus aplicativos para a nuvem. Um ataque de DDoS tenta esgotar os recursos de um aplicativo, fazendo com que o aplicativo fique indisponível para usuários legítimos. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos.

Diagrama da arquitetura de referência para um aplicativo da Web de PaaS protegido contra DDoS.

Principais benefícios

Monitoramento de tráfego Always On

Os padrões de tráfego do seu aplicativo são monitorados 24 horas por dia, 7 dias por semana, procurando indicadores de DDoS. A Proteção contra DDoS do Azure reduz o ataque de maneira instantânea e automática assim que ele é detectado.

Ajuste adaptável em tempo real

a criação de perfis de tráfego inteligente aprende sobre o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para seu serviço. O perfil se ajusta conforme o tráfego é alterado ao longo do tempo.

Telemetria, monitoramento e alertas da Proteção contra DDoS

A Proteção contra DDoS do Azure aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) em cada IP público do recurso protegido na rede virtual que tem o DDoS habilitado. Os limites da política são configurados automaticamente por meio da criação de perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política for excedido.

Azure DDoS Rapid Response

Durante um ataque ativo, os clientes da Proteção contra DDoS do Azure têm acesso à equipe de Resposta Rápida a DDoS (DRR), que pode ajudar na investigação durante um ataque e na análise após o ataque. Para obter mais informações, confira Azure DDoS Rapid Response.

SKU

A Proteção contra DDoS do Azure é oferecida em duas SKUs disponíveis, a Versão Prévia da Proteção de IP contra DDoS e a Proteção de Rede contra DDoS. Para saber mais sobre as SKUs, confira Comparação de SKUs.

Integração de plataforma nativa

nativamente integrada ao Azure. Inclui a configuração por meio do Portal do Azure. A Proteção contra DDoS do Azure compreende seus recursos e a respectiva configuração.

Proteção turnkey

A configuração simplificada protege de maneira imediata todos os recursos em uma rede virtual assim que a Proteção de Rede contra DDoS é habilitada. Nenhuma definição ou intervenção do usuário é necessária. Da mesma forma, a configuração simplificada protege imediatamente um recurso de IP público quando a Proteção de IP contra DDoS está habilitada para ele.

Proteção multicamada

Quando implantada com um WAF (firewall do aplicativo Web), a Proteção contra DDoS do Azure protege na camada de rede (Camada 3 e 4, oferecida pelo Proteção contra DDoS do Azure) e na camada de aplicativo (Camada 7, oferecida por um WAF). As ofertas do WAF incluem o SKU do WAF do Gateway de Aplicativo do Azure e as ofertas de firewall de aplicativo Web de terceiros disponíveis no Azure Marketplace.

Escala de mitigação ampla

Todos os vetores de ataque L3/L4 podem ser atenuados, com capacidade global, para proteger contra os maiores ataques de DDoS conhecidos.

Análise de ataque

Obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, além de um resumo completo após o término dele. Transmita logs do fluxo de mitigação por streaming para o Microsoft Sentinel ou um sistema de SIEM (gerenciamento de informações e eventos de segurança) offline para monitoramento quase em tempo real durante um ataque. Confira Exibir e configurar o log de diagnóstico de DDoS para saber mais.

Métricas de ataque

as métricas resumidas de cada ataque são acessíveis por meio do Azure Monitor. Confira Exibir e configurar a telemetria da Proteção contra DDoS para saber mais.

Alertas de ataque

alertas podem ser configurados no início, durante e após a interrupção de um ataque, usando métricas de ataque internas. Os alertas integram-se ao software operacional, como logs do Microsoft Azure Monitor, Splunk, Armazenamento do Microsoft Azure, Email e o Portal do Azure. Confira Exibir e configurar os alertas da Proteção contra DDoS para saber mais.

Garantia de custo

Receba crédito de serviço de transferência de dados e expansão de aplicativo para custos de recursos incorridos como resultado de DDoS documentados.

Arquitetura

A Proteção contra DDoS do Azure destina-se a serviços implantados em uma rede virtual. Para outros serviços, a proteção contra DDoS de nível de infraestrutura padrão se aplica, que defende contra ataques comuns de camada de rede. Para saber mais sobre arquiteturas compatíveis, veja Arquiteturas de referência da Proteção contra DDoS.

Preços

No caso da Proteção de Rede contra DDoS, em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas; portanto, não é necessário mais de um plano de proteção contra DDoS. No caso da Proteção de IP contra DDoS, não é necessário criar um plano de proteção contra DDoS. Os clientes podem habilitar o DDoS em qualquer recurso IP público.

Para saber mais sobre os preços da Proteção contra DDoS do Azure, veja Preços da Proteção contra DDoS do Azure.

Perguntas frequentes da Proteção contra DDoS

Para perguntas frequentes, confira as Perguntas frequentes sobre DDoS.

Próximas etapas