Proteção contra DDoS no Front Door

  • Artigo

O Azure Front Door é uma CDN (Rede de Distribuição de Conteúdo) que pode ajudá-lo a proteger suas origens contra DDoS HTTP(S), distribuindo o tráfego em seus POPs de borda de 192 em todo o mundo. Esses POPs usam nossa WAN privada grande para fornecer seus aplicativos e serviços Web com mais rapidez e segurança aos usuários finais. O Azure Front Door também inclui a proteção contra DDoS das camadas 3, 4 e 7 e um WAF (firewall de aplicativo Web) para ajudar a proteger seus aplicativos contra explorações e vulnerabilidades comuns.

Proteção da infraestrutura contra DDoS

O Azure Front Door se beneficia da proteção DDoS de infraestrutura padrão do Azure. Essa proteção monitora e reduz os ataques de camada de rede em tempo real usando a escala global e a capacidade da rede do Front Door. Essa proteção tem um histórico comprovado na proteção dos serviços corporativos e de consumidores da Microsoft contra ataques em larga escala.

Bloqueio de protocolo

O Azure Front Door dá suporte apenas aos protocolos HTTP e HTTPS e requer um cabeçalho "Host" válido para cada solicitação. Esse comportamento ajuda a evitar alguns tipos de ataque DDoS comuns, como ataques volumetricos que usam vários protocolos e portas, ataques de amplificação DNS e ataques de envenenamento por TCP.

Absorção de capacidade

O Azure Front Door é um serviço distribuído globalmente em larga escala. Ele atende a muitos clientes, incluindo os próprios produtos de nuvem da Microsoft que lidam com centenas de milhares de solicitações por segundo. O Front Door está situado na borda da rede do Azure, onde pode interceptar e isolar geograficamente grandes ataques de volume. Portanto, o Front Door pode impedir que o tráfego mal-intencionado ultrapasse a borda da rede do Azure.

Cache

Você pode usar os recursos de cache do Front Door para proteger seus back-ends contra grandes volumes de tráfego gerados por um ataque. Os nós de borda do Front Door retornam recursos armazenados em cache e evitam encaminhá-los para o back-end. Mesmo tempos de expiração de cache curtos (segundos ou minutos) em respostas dinâmicas podem reduzir significativamente a carga em seus serviços de back-end. Para saber mais sobre conceitos e padrões de cache, confira Considerações sobre cache e Padrão de cache separado.

Firewall do aplicativo Web (WAF)

Você pode usar o WAF (Firewall de Aplicativo Web) do Front Door para atenuar muitos tipos diferentes de ataques:

  • O conjunto de regras gerenciadas protege seu aplicativo contra muitos ataques comuns. Para obter mais informações, consulte Regras gerenciadas.
  • Você pode bloquear ou redirecionar o tráfego de fora ou dentro de uma região geográfica específica para uma página da Web estática. Para saber mais, veja Filtragem geográfica.
  • Você pode bloquear endereços IP e intervalos que identificar como mal-intencionados. Para obter mais informações, consulte Restrições de IP.
  • Você pode aplicar a limitação de taxa para impedir que endereços IP chamem seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.
  • Você pode criar regras do WAF personalizadas para bloquear automaticamente e limitar a taxa de ataques HTTP ou HTTPS que tenham assinaturas conhecidas.
  • O conjunto de regras gerenciadas de proteção de bot protege seu aplicativo contra bots inválidos conhecidos. Para obter mais informações, consulte Configurar proteção contra bots.

Consulte Proteção contra DDoS do aplicativo para obter diretrizes sobre como usar o Azure WAF para a proteção contra ataques DDoS.

Proteger origens de rede virtual

Para proteger seus IPs públicos contra ataques DDoS, habilite a Proteção contra DDoS do Azure na rede virtual de origem. Os clientes da Proteção contra DDoS recebem benefícios extras, como proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida do DDoS para obter assistência imediata durante um ataque.

Aprimore a segurança de suas origens hospedadas no Azure restringindo seu acesso ao Azure Front Door por meio do Link Privado do Azure. Esse recurso permite uma conexão de rede privada entre o Azure Front Door e seus servidores de aplicativos, eliminando a necessidade de expor suas origens à Internet pública.

Próximas etapas