O que é o Azure DDoS Protection?

Os ataques de Denial of Service distribuído (DDoS) são algumas das maiores preocupações de disponibilidade e segurança relativamente aos clientes que estão a mover as suas aplicações para a cloud. Um ataque DDoS tenta esgotar os recursos de uma aplicação, tornando a aplicação indisponível para utilizadores legítimos. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.

A Azure DDoS Protection, combinada com as melhores práticas de design de aplicações, fornece funcionalidades de mitigação de DDoS melhoradas para se defender contra ataques de DDoS. É automaticamente sintonizado para ajudar a proteger os seus recursos Azure específicos numa rede virtual. A proteção é fácil de ativar em qualquer rede virtual nova ou existente e não requer nenhuma alteração da aplicação ou dos recursos.

Diagrama da arquitetura de referência para uma aplicação web protegida do DDoS PaaS.

Principais vantagens

Monitorização do tráfego sempre on-on

Os padrões de tráfego da sua aplicação são monitorizados 24 horas por dia, 7 dias por semana, à procura de indicadores de ataques DDoS. A Azure DDoS Protection atenua instantaneamente e atenua automaticamente o ataque, uma vez detetado.

Afinação em tempo real adaptativo

O perfil de tráfego inteligente aprende o tráfego da sua aplicação ao longo do tempo e seleciona e atualiza o perfil que é o mais adequado para o seu serviço. O perfil ajusta-se à medida que o tráfego muda ao longo do tempo.

Telemetria, monitorização e alerta da DDoS Protection

A Azure DDoS Protection aplica três políticas de mitigação auto-sintonizadas (TCP SYN, TCP e UDP) para cada IP público do recurso protegido, na rede virtual que tem DDoS ativado. Os limiares de política são configurados automaticamente através de perfis de tráfego de rede baseados em aprendizagem automática. A mitigação do DDoS ocorre para um endereço IP sob ataque apenas quando o limiar da apólice é ultrapassado.

Azure DDos resposta rápida

Durante um ataque ativo, os clientes da Azure DDoS Protection têm acesso à equipa DDoS Rapid Response (DRR), que pode ajudar na investigação de ataque durante uma análise de ataque e pós-ataque. Para mais informações, consulte Azure DDoS Rapid Response.

SKU

A Azure DDoS Protection é oferecida em dois SKUs disponíveis, pré-visualização de proteção IP DDoS e proteção de rede DDoS. Para obter mais informações sobre os SKUs, consulte a comparação SKU.

Integração de plataformas nativas

Integrado nativo no Azure. Inclui configuração através do portal do Azure. A Azure DDoS Protection compreende os seus recursos e configuração de recursos.

Proteção chave na mão

A configuração simplificada protege imediatamente todos os recursos numa rede virtual assim que a Proteção da Rede DDoS estiver ativada. Não é necessária qualquer intervenção ou definição de utilizador. Da mesma forma, a configuração simplificada protege imediatamente um recurso IP público quando a Proteção IP DDoS está ativada para o mesmo.

Proteção em várias camadas

Quando implantado com uma firewall de aplicação web (WAF), o Azure DDoS Protection protege tanto na camada de rede (Camada 3 e 4, oferecida pela Azure DDoS Protection) como na camada de aplicação (Camada 7, oferecida por um WAF). As ofertas da WAF incluem ofertas de firewall de Gateway de Aplicação WAF SKU e de terceiros disponíveis no Azure Marketplace.

Escala de mitigação extensiva

Todos os vetores de ataque L3/L4 podem ser atenuados, com capacidade global, para proteger contra os maiores ataques DDoS conhecidos.

Análise de ataque

Obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, e um resumo completo após o ataque terminar. Os registos de fluxo de mitigação do fluxo de fluxo para Microsoft Sentinel ou um sistema offline de informação de segurança e gestão de eventos (SIEM) para monitorização quase em tempo real durante um ataque. Consulte a visualização e configurar a sessão de diagnóstico DDoS para saber mais.

Métricas de ataque

As métricas resumidas de cada ataque são acessíveis através do Monitor Azure. Consulte a telemetria de proteção DDoS para saber mais.

Alerta de ataque

Os alertas podem ser configurados no início e na paragem de um ataque, e durante a duração do ataque, usando métricas de ataque incorporadas. Os alertas integram-se no seu software operacional, como Microsoft registos do Azure Monitor, Splunk, Azure Storage, Email e o portal do Azure. Consulte os alertas de proteção DDoS para saber mais.

Garantia de custos

Receber crédito de serviço de transferência de dados e de aplicação para os custos de recursos incorridos em resultado de ataques DDoS documentados.

Arquitetura

A Azure DDoS Protection é projetado para serviços que são implantados numa rede virtual. Para outros serviços, aplica-se a proteção DDoS de nível de infraestrutura padrão, que defende contra ataques comuns em camadas de rede. Para saber mais sobre arquiteturas apoiadas, consulte as arquiteturas de referência da DDoS Protection.

Preços

Para a Proteção da Rede DDoS, sob um inquilino, um único plano de proteção DDoS pode ser usado em várias subscrições, por isso não há necessidade de criar mais do que um plano de proteção DDoS. Para a Proteção IP DDoS, não há necessidade de criar um plano de proteção DDoS. Os clientes podem ativar o DDoS em qualquer recurso IP público.

Para saber mais sobre os preços da Proteção DDoS Azure, consulte os preços da Proteção DDoS Azure.

DDos Proteção FAQ

Para perguntas frequentes, consulte as FAQ de Proteção DDoS.

Passos seguintes