Partilhar via

Arquiteturas de referência da Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure foi projetada para serviços implantados em uma rede virtual. As arquiteturas de referência a seguir são organizadas por cenários, com padrões de arquitetura agrupados.

Recursos protegidos

Os recursos suportados incluem:

  • Endereços IP públicos associados a:
    • Uma máquina virtual IaaS.
    • Application Gateway (including WAF) cluster.
    • Gerenciamento de API do Azure (somente camada Premium).
    • Bastião.
    • Conectado a uma rede virtual (VNet) no modo externo.
    • Barreira de segurança digital (firewall).
    • Network Virtual Appliance (NVA) baseado em IaaS.
    • Balanceador de Carga (Balanceadores de Carga Clássico e Standard).
    • Service Fabric.
    • VPN Gateway.
  • A proteção também abrange intervalos de IP públicos trazidos para o Azure por meio de BYOIPs (Prefixos IP Personalizados).

Os recursos não suportados incluem:

  • Azure Virtual WAN.
  • Gerenciamento de API do Azure em modos de implantação diferentes dos modos suportados.
  • Serviços PaaS (multilocatário), incluindo o Ambiente de Serviço de Aplicações do Azure para Power Apps.
  • NAT Gateway.

Nota

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede. Para obter mais informações, consulte Linha de base de segurança para serviços do Azure.

Cargas de trabalho de máquinas virtuais (Windows/Linux)

Aplicativo em execução em máquinas virtuais com balanceamento de carga

Esta arquitetura de referência mostra um conjunto de práticas comprovadas para executar várias máquinas virtuais do Windows em uma escala definida atrás de um balanceador de carga, para melhorar a disponibilidade e a escalabilidade. Essa arquitetura pode ser usada para qualquer carga de trabalho sem estado, como um servidor web.

Nessa arquitetura, uma carga de trabalho é distribuída em várias instâncias de máquina virtual. Há um único endereço IP público e o tráfego da Internet é distribuído para a máquina virtual por meio de um balanceador de carga.

O balanceador de carga distribui solicitações de entrada da Internet para as instâncias de VM. Os conjuntos de dimensionamento de máquinas virtuais permitem que o número de VMs seja dimensionado manualmente ou automaticamente com base em regras predefinidas. Isso é importante se o recurso estiver sob ataque DDoS. Para obter mais informações sobre essa arquitetura de referência, consulte Aplicativo de camada N do Windows no Azure.

Arquitetura de proteção de rede DDoS em máquina virtual

Diagrama da arquitetura de referência da Proteção de Rede DDoS para um aplicativo em execução em máquinas virtuais com balanceamento de carga.

A Proteção de Rede DDoS está habilitada na rede virtual do balanceador de carga do Azure (internet) que tem o IP público associado a ela.

Arquitetura de máquina virtual de proteção de IP contra DDoS

Diagrama da arquitetura de referência do DDoS IP Protection para um aplicativo em execução em máquinas virtuais com balanceamento de carga.

A Proteção IP contra DDoS está ativada no endereço IP público frontend de um balanceador de carga público.

Aplicação em execução no Windows N-tier

Existem várias formas de implementar uma arquitetura de N camadas. Os diagramas a seguir mostram um aplicativo Web típico de três camadas. Essa arquitetura se baseia no artigo Executar VMs com balanceamento de carga para escalabilidade e disponibilidade. As camadas Web e Business utilizam VMs com balanceamento de carga.

Proteção de rede DDoS Arquitetura de camada N do Windows

Diagrama da arquitetura de referência da Proteção de Rede DDoS para um aplicativo em execução no Windows N-tier.

Neste diagrama de arquitetura, a Proteção de Rede DDoS está habilitada na rede virtual. Todos os IPs públicos na rede virtual recebem proteção contra DDoS para as Camadas 3 e 4. Para proteção da Camada 7, implante o Application Gateway no WAF SKU. Para obter mais informações sobre essa arquitetura de referência, consulte Aplicativo de camada N do Windows no Azure.

DDoS IP Protection Windows N-tier architecture

Diagrama da arquitetura de referência do DDoS IP Protection para um aplicativo em execução no Windows N-tier.

Neste diagrama de arquitetura, a Proteção IP contra DDoS está ativada no endereço IP público.

Nota

Cenários em que uma única VM está sendo executada atrás de um IP público não são recomendados. A mitigação de DDoS pode não ser iniciada instantaneamente quando um ataque DDoS é detetado. As a result a single VM deployment that can’t scale out will go down in such cases.

Aplicação web PaaS

Esta arquitetura de referência mostra a execução de um aplicativo do Serviço de Aplicativo do Azure em uma única região. Essa arquitetura mostra um conjunto de práticas comprovadas para um aplicativo Web que usa o Serviço de Aplicativo do Azure e o Banco de Dados SQL do Azure. Uma região de espera é configurada para cenários de failover.

O Azure Traffic Manager encaminha solicitações de entrada para o Application Gateway em uma das regiões. Durante as operações normais, ele roteia solicitações para o Application Gateway na região ativa. Se essa região ficar indisponível, o Gerenciador de Tráfego fará failover para o Application Gateway na região de espera.

Todo o tráfego da Internet destinado à aplicação Web é encaminhado para o endereço IP público do Application Gateway através do Gestor de Tráfego. Nesse cenário, o serviço de aplicativo (aplicativo Web) em si não está diretamente voltado para o exterior e é protegido pelo Application Gateway.

Recomendamos que você configure o SKU WAF do Application Gateway (modo de prevenção) para ajudar a proteger contra ataques de Camada 7 (HTTP/HTTPS/WebSocket). Além disso, os aplicativos Web são configurados para aceitar apenas o tráfego do endereço IP do Application Gateway .

For more information about this reference architecture, see Highly available multi-region web application.

Proteção de rede DDoS com arquitetura de aplicação Web PaaS

Diagrama da arquitetura de referência da Proteção de Rede DDoS para uma aplicação Web PaaS.

Neste diagrama de arquitetura, a Proteção de Rede DDoS está habilitada na rede virtual do gateway do aplicativo Web.

Proteção IP DDoS com arquitetura de aplicação Web PaaS

Diagrama da arquitetura de referência do DDoS IP Protection para uma aplicação web PaaS.

Neste diagrama de arquitetura, a Proteção IP contra DDoS está habilitada no IP público associado ao gateway de aplicativo Web.

Mitigação para serviços PaaS não web

HDInsight na plataforma Azure

Esta arquitetura de referência mostra a configuração da Proteção contra DDoS para um cluster do Azure HDInsight. Verifique se o cluster HDInsight está vinculado a uma rede virtual e se a Proteção contra DDoS está habilitada na rede virtual.

Painéis

Seleção para ativar a proteção contra DDoS

Nessa arquitetura, o tráfego destinado ao cluster HDInsight da Internet é roteado para o IP público associado ao balanceador de carga do gateway HDInsight. The gateway load balancer then sends the traffic to the head nodes or the worker nodes directly. Como a Proteção contra DDoS está habilitada na rede virtual HDInsight, todos os IPs públicos na rede virtual recebem proteção contra DDoS para as Camadas 3 e 4. Essa arquitetura de referência pode ser combinada com as arquiteturas de referência N-Tier e multi-região.

Para obter mais informações sobre essa arquitetura de referência, consulte a documentação Estender o Azure HDInsight usando uma Rede Virtual do Azure.

Topologia de rede hub-and-spoke com o Firewall do Azure e o Azure Bastion

Esta arquitetura de referência detalha uma topologia hub-and-spoke com o Firewall do Azure dentro do hub como uma DMZ para cenários que exigem controle central sobre aspetos de segurança. O Firewall do Azure é um firewall gerenciado como um serviço e é colocado em sua própria sub-rede. O Azure Bastion é implantado e colocado em sua própria sub-rede.

There are two spokes that are connected to the hub using virtual network peering and there's no spoke-to-spoke connectivity. Se precisar de ligação spoke-to-spoke, será necessário criar rotas para encaminhar o tráfego de um spoke para o firewall, que depois pode redirecioná-lo para o outro spoke. Todos os IPs públicos que estão dentro do hub são protegidos pela Proteção contra DDoS. Nesse cenário, o firewall no hub ajuda a controlar o tráfego de entrada da Internet, enquanto o IP público do firewall está sendo protegido. A Proteção contra DDoS do Azure também protege o IP público do bastião.

A Proteção contra DDoS foi projetada para serviços implantados em uma rede virtual. Para obter mais informações, consulte Implantar o serviço dedicado do Azure em redes virtuais.

DDoS Network Protection hub-and-spoke network

Diagrama mostrando a arquitetura de Hub-and-spoke de proteção de rede DDoS com firewall, bastião e proteção contra DDoS.

Neste diagrama de arquitetura, a Proteção de Rede DDoS do Azure está habilitada na rede virtual do hub.

DDoS IP Protection hub-and-spoke network

Diagram showing DDoS IP Protection Hub-and-spoke architecture with firewall, bastion, and DDoS Protection.

Neste diagrama de arquitetura, a Proteção IP DDoS do Azure está habilitada no Endereço IP público.

Nota

Sem custo adicional, a proteção de infraestrutura DDoS do Azure protege todos os serviços do Azure que usam endereços IPv4 e IPv6 públicos. Este serviço de proteção contra DDoS ajuda a proteger todos os serviços do Azure, incluindo serviços de plataforma como serviço (PaaS), como o DNS do Azure. Para obter mais informações, consulte Visão geral da Proteção contra DDoS do Azure. Para obter mais informações sobre topologia hub-and-spoke, consulte Topologia de rede hub-spoke.

Próximos passos

  • Saiba como configurar a Proteção de Rede.