Arquiteturas de referência da Proteção contra DDoS

A Proteção contra DDoS Standard destina-se a serviços que são implantados em uma rede virtual. As seguintes arquiteturas de referência são organizadas por cenários, com padrões de arquitetura agrupados.

Observação

Os recursos protegidos incluem IPs públicos anexados a uma VM de IaaS (com exceção de uma VM em execução em um IP público), o Load Balancer (Load Balancers Clássicos e Standard), o cluster do Gateway de Aplicativo (incluindo o WAF), o Firewall, o Bastion, o Gateway de VPN, o Service Fabric, uma NVA (Solução de Virtualização de Rede) baseada em IaaS ou Gerenciamento de API do Azure (somente a camada Premium) conectado a uma VNet (rede virtual) no modo externo. A proteção também abrange intervalos de IP público trazidos para o Azure por meio de BYOIPs (prefixos ip personalizados). Os serviços de PaaS (multilocatário), que incluem o Ambiente do Serviço de Aplicativo do Azure para Power Apps, Gerenciamento de API do Azure em modos de implantação diferentes daqueles com suporte acima, ou o WAN Virtual do Azure não têm suporte no momento.

Cargas de trabalho de máquina virtual (Windows/Linux)

Aplicativo em execução em VMs com balanceamento de carga

Essa arquitetura de referência mostra um conjunto de práticas comprovadas para executar várias VMs do Windows em um conjunto de dimensionamento atrás de um balanceador de carga para melhorar a disponibilidade e a escalabilidade. Essa arquitetura pode ser usada para qualquer carga de trabalho sem estado, como um servidor Web.

Diagrama da arquitetura de referência para um aplicativo em execução em VMs com balanceamento de carga

Nesta arquitetura, uma carga de trabalho é distribuída em várias instâncias de VM. Há um único endereço IP público e o tráfego da Internet é distribuído para as VMs por meio de um balanceador de carga. A Proteção contra DDoS Standard está habilitada na rede virtual do balanceador de carga do Azure (Internet) que tem o IP público associado a ela.

O balanceador de carga distribui as solicitações de entrada da Internet para as instâncias de VM. Os conjuntos de dimensionamento de máquinas virtuais permitem que o número de VMs seja reduzido ou aumentado horizontalmente manualmente, ou automaticamente com base em regras predefinidas. Isso é importante se o recurso está sob ataque de DDoS. Para obter mais informações sobre arquitetura de referência, consulte este artigo.

Aplicativo em execução em N camadas do Windows

Há muitas maneiras de implementar uma arquitetura de N camadas. O diagrama a seguir mostra um aplicativo Web típico de três camadas. Essa arquitetura se baseia no artigo Executar VMs com balanceamento de carga para escalabilidade e disponibilidade. As camadas comerciais e da Web usam VMs com balanceamento de carga.

Diagrama da arquitetura de referência para um aplicativo em execução em N camadas do Windows

Nesta arquitetura, a Proteção contra DDoS Standard está habilitada na rede virtual. Todos os IPs públicos na rede virtual terão proteção contra DDoS nas camadas 3 e 4. Para proteção da camada 7, implante o Gateway de Aplicativo no SKU do WAF. Para obter mais informações sobre essa arquitetura de referência, confira Aplicativo de N camadas do Windows no Azure.

Observação

Não há suporte para cenários nos quais uma única VM está sendo executada por trás de um IP público. A mitigação de DDoS pode não ser iniciada instantaneamente quando um ataque DDoS é detectado. Como resultado, uma única implantação de VM que não pode ser escalada horizontalmente ficará inativa nesses casos.

Aplicativo Web PaaS

Essa arquitetura de referência mostra a execução de um aplicativo do Serviço de Aplicativo do Azure em uma única região. Essa arquitetura mostra um conjunto de práticas comprovadas para um aplicativo Web que usa o Serviço de Aplicativo do Azure e o Banco de Dados SQL do Azure. Uma região em espera é configurada para cenários de failover.

Diagrama da arquitetura de referência para um aplicativo da Web de PaaS

O Gerenciador de Tráfego do Microsoft Azure roteia as solicitações de entrada para o Gateway de Aplicativo em uma das regiões. Durante as operações normais, ele roteia as solicitações para o Gateway de Aplicativo na região ativa. Se essa região ficar não disponível, o Gerenciador de Tráfego fará failover para o Gateway de Aplicativo na região em espera.

Todo o tráfego da Internet destinado ao aplicativo Web é roteado para o Endereço IP público do Gateway de Aplicativo por meio do Gerenciador de Tráfego. Nesse cenário, o Serviço de Aplicativo (aplicativo Web) em si não é diretamente externo e está protegido pelo Gateway de Aplicativo.

É recomendável configurar o SKU do WAF do Gateway de Aplicativo (modo de prevenção) para ajudar a proteger contra ataques da camada 7 (HTTP/HTTPS/WebSocket). Além disso, os aplicativos Web são configurados para aceitar somente o tráfego do endereço IP do Gateway de Aplicativo.

Para obter mais informações sobre essa arquitetura de referência, confira Aplicativo Web de várias regiões altamente disponível.

Mitigação para serviços PaaS não Web

HDInsight no Azure

Essa arquitetura de referência mostra a configuração da Proteção contra DDoS Standard para cluster do Azure HDInsight. Verifique se o cluster do HDInsight está vinculado a uma rede virtual e se a Proteção contra DDoS está habilitada nessa rede virtual.

Os painéis

Seleção para habilitar a proteção contra DDoS

Nesta arquitetura, o tráfego destinado ao cluster de HDInsight vindo da Internet é roteado para o IP público associado ao balanceador de carga de gateway do HDInsight. O balanceador de carga de gateway, em seguida, envia o tráfego para os nós principais ou nós de trabalho diretamente. Como a Proteção contra DDoS Standard está habilitada na rede virtual do HDInsight, todos os IPs públicos na rede virtual receberão proteção contra DDoS nas camadas 3 e 4. Essa arquitetura de referência pode ser combinada com arquiteturas de referência de N camadas e com várias regiões.

Para obter mais informações sobre a arquitetura de referência, consulte a documentação Estender o Azure HDInsight usando uma Rede Virtual do Azure.

Topologia de rede hub-spoke com o Firewall do Azure e o Azure Bastion

Essa arquitetura de referência detalha uma topologia hub-spoke com Firewall do Azure dentro do hub como uma DMZ para cenários que exigem controle central sobre aspectos de segurança. O Firewall do Azure é um firewall gerenciado como um serviço e é colocado em sua própria sub-rede. O Azure Bastion é implantado e colocado em sua própria sub-rede.

Há dois spokes conectados ao hub usando emparelhamento de VNet e não há conectividade spoke a spoke. Se precisar de conectividade spoke a spoke, você precisará criar rotas para encaminhar o tráfego de um spoke para o firewall, o qual pode encaminhá-lo para o outro spoke.

Captura de tela mostrando a arquitetura de hub e spoke com firewall, bastion e Proteção contra DDoS Standard

A Proteção contra DDoS do Azure padrão está habilitado na rede virtual. Portanto, todos os IPs públicos que estão dentro do hub são protegidos pelo plano padrão de DDoS. Nesse cenário, o firewall no hub ajuda a controlar o tráfego de entrada da Internet, enquanto o IP público do firewall está sendo protegido. A Proteção contra DDoS do Azure padrão também protege o IP público do bastion.

A Proteção contra DDoS Standard destina-se a serviços que são implantados em uma rede virtual. Para obter mais informações, consulte Implantar o serviço dedicado do Azure em redes virtuais.

Observação

A Proteção contra DDoS padrão protege os IPs públicos do recurso do Azure. A proteção de infraestrutura contra DDoS, que não requer nenhuma configuração e está habilitada por padrão, protege apenas a infraestrutura da plataforma subjacente do Azure (por exemplo, DNS do Azure). Para saber mais, confira Visão geral da Proteção contra DDoS do Azure padrão. Para obter mais informações sobre a topologia hub-spoke, consulte Topologia de rede hub-spoke.

Próximas etapas