Partilhar via


Defender sua instância de Gerenciamento de API do Azure contra ataques DDoS

APLICA-SE A: Developer | Prémio

Este artigo mostra como defender sua instância de Gerenciamento de API do Azure contra ataques distribuídos de negação de serviço (DDoS) habilitando a Proteção contra DDoS do Azure. A Proteção contra DDoS do Azure fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS volumétricos e de protocolo.

Nota

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede. Para obter mais informações, consulte Linha de base de segurança para serviços do Azure.

Configurações suportadas

A habilitação do Azure DDoS Protection for API Management é suportada apenas para instâncias implantadas (injetadas) em uma VNet no modo externo ou interno.

  • Modo externo - Todos os endpoints de gerenciamento de API são protegidos
  • Modo interno - Somente o ponto de extremidade de gerenciamento acessível na porta 3443 está protegido

Configurações não suportadas

  • Instâncias que não são injetadas por VNet
  • Instâncias configuradas com um ponto de extremidade privado

Pré-requisitos

  • Uma instância de gerenciamento de API
    • A instância deve ser implantada em uma VNet do Azure no modo externo ou interno.
    • A instância deve ser configurada com um recurso de endereço IP público do Azure, que é suportado apenas na plataforma de computação de Gerenciamento de stv2 API.

      Nota

      Se a instância estiver hospedada stv1 na plataforma, você deverá migrar para a stv2 plataforma.

  • Um plano de Proteção contra DDoS do Azure
    • O plano selecionado pode estar na mesma assinatura ou em uma assinatura diferente da rede virtual e da instância de Gerenciamento de API. Se as assinaturas forem diferentes, elas deverão ser associadas ao mesmo locatário do Microsoft Entra.

    • Você pode usar um plano criado usando o SKU de proteção contra DDoS de rede ou o SKU de proteção contra DDoS de IP. Consulte Comparação de SKU de proteção contra DDoS do Azure.

      Nota

      Os planos de Proteção contra DDoS do Azure incorrem em encargos adicionais. Para obter mais informações, veja os Preços.

Ativar proteção contra DDoS

Dependendo do plano de Proteção contra DDoS usado, habilite a proteção contra DDoS na rede virtual usada para sua instância de Gerenciamento de API ou no recurso de endereço IP configurado para sua rede virtual.

Habilite a Proteção contra DDoS na rede virtual usada para sua instância de Gerenciamento de API

  1. No portal do Azure, navegue até a rede virtual onde seu Gerenciamento de API é injetado.

  2. No menu à esquerda, em Configurações, selecione Proteção contra DDoS.

  3. Selecione Ativar e, em seguida, selecione o seu plano de proteção contra DDoS.

  4. Selecione Guardar.

    Captura de ecrã a mostrar a ativação de um plano de Proteção contra DDoS numa rede virtual no portal do Azure.

Habilite a proteção contra DDoS no endereço IP público do Gerenciamento de API

Se o seu plano usa a SKU de Proteção contra DDoS IP, consulte Habilitar Proteção IP contra DDoS para um endereço IP público.

Próximos passos