Proteção contra DDoS na porta frontal

  • Artigo

O Azure Front Door é uma Rede de Entrega de Conteúdo (CDN) que pode ajudá-lo a proteger suas origens contra ataques DDoS HTTP(S) distribuindo o tráfego em seus 192 POPs de borda em todo o mundo. Esses POPs usam nossa grande WAN privada para fornecer seus aplicativos e serviços da Web de forma mais rápida e segura para seus usuários finais. O Azure Front Door também inclui proteção contra DDoS de camada 3, 4 e 7 e um firewall de aplicativo Web (WAF) para ajudar a proteger seus aplicativos contra exploits e vulnerabilidades comuns.

Proteção contra DDoS de infraestrutura

O Azure Front Door se beneficia da proteção DDoS padrão da infraestrutura do Azure. Essa proteção monitora e mitiga ataques de camada de rede em tempo real usando a escala global e a capacidade da rede da Front Door. Essa proteção tem um histórico comprovado na proteção dos serviços corporativos e de consumo da Microsoft contra ataques em larga escala.

Bloqueio de protocolo

O Azure Front Door suporta apenas os protocolos HTTP e HTTPS e requer um cabeçalho 'Host' válido para cada solicitação. Esse comportamento ajuda a evitar alguns tipos comuns de ataque DDoS, como ataques volumétricos que usam vários protocolos e portas, ataques de amplificação de DNS e ataques de envenenamento de TCP.

Absorção de capacidade

O Azure Front Door é um serviço distribuído globalmente em grande escala. Ele atende muitos clientes, incluindo os próprios produtos de nuvem da Microsoft que lidam com centenas de milhares de solicitações por segundo. O Front Door está situado na borda da rede do Azure, onde pode intercetar e isolar geograficamente ataques de grande volume. Portanto, o Front Door pode impedir que o tráfego mal-intencionado alcance além da borda da rede do Azure.

Colocação em cache

Você pode usar os recursos de cache do Front Door para proteger seus backends de grandes volumes de tráfego gerados por um ataque. Os nós de borda do Front Door retornam recursos armazenados em cache e evitam encaminhá-los para o back-end. Mesmo tempos de expiração de cache curtos (segundos ou minutos) em respostas dinâmicas podem reduzir significativamente a carga em seus serviços de back-end. Para obter mais informações sobre conceitos e padrões de cache, consulte Considerações sobre cache e Padrão de cache-side.

Firewall de Aplicações Web (WAF)

Você pode usar o Web Application Firewall (WAF) do Front Door para mitigar muitos tipos diferentes de ataques:

  • O conjunto de regras gerenciadas protege seu aplicativo contra muitos ataques comuns. Para obter mais informações, consulte Regras gerenciadas.
  • Você pode bloquear ou redirecionar o tráfego de fora ou dentro de uma região geográfica específica para uma página da Web estática. Para obter mais informações, consulte Filtragem geográfica.
  • Pode bloquear endereços IP e intervalos que identifique como maliciosos. Para obter mais informações, consulte Restrições de IP.
  • Você pode aplicar limite de taxa para evitar que os endereços IP chamem seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.
  • Você pode criar regras WAF personalizadas para bloquear e limitar automaticamente os ataques HTTP ou HTTPS que tenham assinaturas conhecidas.
  • O conjunto de regras gerenciadas de proteção de bot protege seu aplicativo contra bots mal-intencionados conhecidos. Para obter mais informações, consulte Configurando a proteção de bot.

Consulte Proteção contra DDoS de aplicativos para obter orientação sobre como usar o WAF do Azure para se proteger contra ataques DDoS .

Proteja as origens da rede virtual

Para proteger seus IPs públicos contra ataques DDoS, habilite a Proteção contra DDoS do Azure na rede virtual de origem. Os clientes de Proteção contra DDoS recebem benefícios extras, como proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para assistência imediata durante um ataque.

Melhore a segurança de suas origens hospedadas no Azure restringindo seu acesso à Porta da Frente do Azure por meio do Azure Private Link. Esse recurso permite uma conexão de rede privada entre o Azure Front Door e seus servidores de aplicativos, eliminando a necessidade de expor suas origens à Internet pública.

Próximos passos