Este artigo responde a perguntas comuns sobre a Proteção contra DDoS do Azure.
O que é um ataque de negação de serviço distribuído (DDoS)?
A negação de serviço distribuída, ou DDoS, é um tipo de ataque em que um invasor envia mais solicitações a um aplicativo do que o aplicativo é capaz de lidar. O efeito resultante é o esgotamento dos recursos, afetando a disponibilidade do aplicativo e a capacidade de atender seus clientes. Nos últimos anos, a indústria tem visto um aumento acentuado nos ataques, com os ataques se tornando mais sofisticados e maiores em magnitude. Os ataques DDoS podem ser direcionados a qualquer ponto final que seja publicamente acessível através da Internet.
O que é o serviço de Proteção contra DDoS do Azure?
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual. A proteção é fácil de ativar em qualquer rede virtual nova ou existente e não requer nenhuma alteração da aplicação ou dos recursos. Para obter mais informações, consulte Visão geral da Proteção contra DDoS do Azure.
Como funcionam os preços?
Os planos de proteção contra DDoS têm uma taxa mensal fixa que cobre até 100 endereços IP públicos. Está disponível proteção para recursos adicionais.
Em um locatário, um único plano de proteção contra DDoS pode ser usado em várias assinaturas, portanto, não há necessidade de criar mais de um plano de proteção contra DDoS.
Quando o Application Gateway com WAF é implantado em uma VNet protegida contra DDoS, não há cobranças extras para o WAF - você paga pelo Application Gateway com a menor taxa não-WAF. Esta política aplica-se às SKUs do Application Gateway v1 e v2.
Consulte Preços da Proteção contra DDoS do Azure para obter preços e mais detalhes.
Qual camada de Proteção contra DDoS do Azure devo escolher?
Se você precisar proteger menos de 15 recursos IP públicos, a camada de Proteção de IP é a opção mais econômica. Se você tiver mais de 15 recursos IP públicos para proteger, a camada de Proteção de Rede será mais econômica. O Network Protection também oferece recursos adicionais, incluindo DRR (DDoS Protection Rapid Response), garantias de proteção de custos e descontos no Web Application Firewall (WAF).
A zona de serviço é resiliente?
Sim. A Proteção contra DDoS do Azure é resiliente a zonas por padrão.
Como configuro o serviço para ser resiliente à zona?
Nenhuma configuração do cliente é necessária para habilitar a resiliência de zona. A resiliência de zona para recursos de Proteção contra DDoS do Azure está disponível por padrão e é gerenciada pelo próprio serviço.
E quanto à proteção na camada de serviço (camada 7)?
Os clientes podem usar o serviço de Proteção contra DDoS do Azure em combinação com um Firewall de Aplicativo Web (WAF) para proteção na camada de rede (Camada 3 e 4, oferecida pela Proteção contra DDoS do Azure) e na camada de aplicativo (Camada 7, oferecida por um WAF). As ofertas do WAF incluem o Azure Application Gateway, WAF SKU e ofertas de firewall de aplicativos Web de terceiros disponíveis no Azure Marketplace.
Os serviços não são seguros no Azure sem o serviço?
Os serviços em execução no Azure são inerentemente protegidos pela proteção DDoS padrão no nível da infraestrutura. No entanto, a proteção que protege a infraestrutura tem um limite muito maior do que a maioria dos aplicativos tem a capacidade de lidar e não fornece telemetria ou alerta, portanto, embora um volume de tráfego possa ser percebido como inofensivo pela plataforma, pode ser devastador para o aplicativo que o recebe.
Ao integrar o Serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detetar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil ajustado ao volume de tráfego esperado, proporcionando uma defesa muito mais apertada contra ataques DDoS.
Quais são os tipos de recursos protegidos suportados?
IPs públicos em VNETs baseadas em ARM são atualmente o único tipo de recurso protegido. Os recursos protegidos incluem IPs públicos conectados a uma VM IaaS, Load Balancer (Classic & Standard Load Balancers), cluster do Application Gateway (incluindo WAF), Firewall, Bastion, VPN Gateway, Service Fabric ou um Network Virtual Appliance (NVA) baseado em IaaS. A proteção também abrange intervalos de IP públicos trazidos para o Azure por meio de BYOIPs (Prefixos IP Personalizados).
Para saber mais sobre limitações, consulte Arquiteturas de referência da Proteção contra DDoS do Azure.
Os recursos protegidos por Classic/RDFE são suportados?
Somente recursos protegidos baseados em ARM são suportados na visualização. Não há suporte para VMs em implantações Classic/RDFE. No momento, o suporte não está planejado para recursos Classic/RDFE. Para obter mais informações, consulte Arquiteturas de referência da Proteção contra DDoS do Azure.
Posso proteger meus recursos de PaaS usando a Proteção contra DDoS?
IPs públicos anexados a serviços PaaS VIP multilocatários e únicos não são suportados atualmente. Exemplos de recursos não suportados incluem VIPs de armazenamento, VIPs de Hubs de Eventos e aplicativos de Serviços de Aplicativo/Nuvem. Para obter mais informações, consulte Arquiteturas de referência da Proteção contra DDoS do Azure.
Posso proteger meus recursos locais usando a Proteção contra DDoS?
Você precisa ter os pontos de extremidade públicos do seu serviço associados a uma VNet no Azure para ser habilitado para proteção contra DDoS. Exemplos de designs incluem:
- Sites (IaaS) no Azure e bancos de dados de back-end no datacenter local.
- Gateway de Aplicativo no Azure (proteção contra DDoS habilitada no App Gateway/WAF) e sites em datacenters locais.
Para obter mais informações, consulte Arquiteturas de referência da Proteção contra DDoS do Azure.
Posso registrar um domínio fora do Azure e associá-lo a um recurso protegido, como VM ou ELB?
Para os cenários de IP Público, o serviço de Proteção contra DDoS dará suporte a qualquer aplicativo, independentemente de onde o domínio associado esteja registrado ou hospedado, desde que o IP Público associado esteja hospedado no Azure.
Posso configurar manualmente a política DDoS aplicada às redes virtuais/IPs públicos?
Não, infelizmente a personalização da política não está disponível no momento.
Posso permitir endereços IP específicos/lista de bloqueio?
Não, infelizmente a configuração manual não está disponível neste momento.
Como posso testar a Proteção contra DDoS?
Quanto tempo demora para as métricas carregarem no portal?
As métricas devem estar visíveis no portal dentro de 5 minutos. Se o seu recurso estiver sob ataque, outras métricas começarão a aparecer no portal dentro de 5 a 7 minutos.
O serviço armazena dados do cliente?
Não, a proteção contra DDoS do Azure não armazena dados do cliente.
Há suporte para uma única implantação de VM atrás de IP público?
Cenários em que uma única VM está sendo executada atrás de um IP público são suportados, mas não recomendados. A mitigação de DDoS pode não ser iniciada instantaneamente quando um ataque DDoS é detetado. Como resultado, uma única implantação de VM que não pode ser dimensionada ficará inativa nesses casos. Para obter mais informações, consulte Práticas recomendadas fundamentais.