Proteção contra DDoS na porta frontal
O Azure Front Door é uma Rede de Entrega de Conteúdo (CDN) que pode ajudá-lo a proteger suas origens contra ataques DDoS HTTP(S) distribuindo o tráfego em seus 192 POPs de borda em todo o mundo. Esses POPs usam nossa grande WAN privada para fornecer seus aplicativos e serviços da Web de forma mais rápida e segura para seus usuários finais. O Azure Front Door também inclui proteção contra DDoS de camada 3, 4 e 7 e um firewall de aplicativo Web (WAF) para ajudar a proteger seus aplicativos contra exploits e vulnerabilidades comuns.
Proteção contra DDoS de infraestrutura
O Azure Front Door se beneficia da proteção DDoS padrão da infraestrutura do Azure. Essa proteção monitora e mitiga ataques à camada de rede em tempo real usando a escala global e a capacidade da rede da Front Door. Essa proteção tem um histórico comprovado na proteção dos serviços corporativos e de consumo da Microsoft contra ataques em larga escala.
Bloqueio de protocolo
O Azure Front Door suporta apenas os protocolos HTTP e HTTPS e requer um cabeçalho 'Host' válido para cada solicitação. Esse comportamento ajuda a evitar alguns tipos comuns de ataque DDoS, como ataques volumétricos que usam vários protocolos e portas, ataques de amplificação de DNS e ataques de envenenamento de TCP.
Absorção de capacidade
O Azure Front Door é um serviço distribuído globalmente em grande escala. Ele atende muitos clientes, incluindo os próprios produtos de nuvem da Microsoft que lidam com centenas de milhares de solicitações por segundo. O Front Door está situado na borda da rede do Azure, onde pode intercetar e isolar geograficamente ataques de grande volume. Portanto, o Front Door pode impedir que o tráfego mal-intencionado alcance além da borda da rede do Azure.
Colocação em cache
Você pode usar os recursos de cache do Front Door para proteger seus back-ends de grandes volumes de tráfego gerados por um ataque. Os nós de borda da porta frontal retornam recursos armazenados em cache e evitam encaminhá-los para o back-end. Mesmo tempos de expiração de cache curtos (segundos ou minutos) em respostas dinâmicas podem reduzir significativamente a carga em seus serviços de back-end. Para obter mais informações sobre conceitos e padrões de cache, consulte Considerações sobre cache e Padrão de cache-side.
Firewall de Aplicações Web (WAF)
Você pode usar o Web Application Firewall (WAF) do Front Door para mitigar muitos tipos diferentes de ataques:
- O conjunto de regras gerenciadas protege seu aplicativo contra muitos ataques comuns. Para obter mais informações, consulte Regras gerenciadas.
- Você pode bloquear ou redirecionar o tráfego de fora ou dentro de uma região geográfica específica para uma página da Web estática. Para obter mais informações, consulte Filtragem geográfica.
- Pode bloquear endereços IP e intervalos que identifique como maliciosos. Para obter mais informações, consulte Restrições de IP.
- Você pode aplicar limite de taxa para evitar que os endereços IP chamem seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.
- Você pode criar regras WAF personalizadas para bloquear e limitar automaticamente os ataques HTTP ou HTTPS que tenham assinaturas conhecidas.
- O conjunto de regras gerenciadas de proteção de bot protege seu aplicativo contra bots mal-intencionados conhecidos. Para obter mais informações, consulte Configurando a proteção de bot.
Consulte Proteção contra DDoS de aplicativos para obter orientação sobre como usar o WAF do Azure para se proteger contra ataques DDoS.
Proteja as origens da rede virtual
Para proteger seus IPs públicos contra ataques DDoS, habilite a Proteção contra DDoS do Azure na rede virtual de origem. Os clientes de Proteção contra DDoS recebem benefícios extras, como proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para assistência imediata durante um ataque.
Private Link
Melhore a segurança de suas origens hospedadas no Azure restringindo seu acesso à Porta da Frente do Azure por meio do Azure Private Link. Esse recurso permite uma conexão de rede privada entre o Azure Front Door e seus servidores de aplicativos, eliminando a necessidade de expor suas origens à Internet pública.
Próximos passos
- Saiba como configurar uma política WAF para o Azure Front Door.
- Saiba como criar um perfil do Azure Front Door.
- Saiba como funciona o Azure Front Door.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários