Försvara din Azure API Management-instans mot DDoS-attacker

GÄLLER FÖR: Utvecklare | Premie

Den här artikeln visar hur du skyddar din Azure API Management-instans mot DDoS-attacker (Distribuerad överbelastning) genom att aktivera Azure DDoS Protection. Azure DDoS Protection tillhandahåller förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker med volymer och protokoll.

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att använda Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå. Mer information finns i Säkerhetsbaslinje för Azure-tjänster.

Konfigurationer som stöds

Aktivering av Azure DDoS Protection för API Management stöds endast för instanser som distribueras (matas in) i ett virtuellt nätverk i externt läge eller internt läge.

• Externt läge – Alla API Management-slutpunkter skyddas
• Internt läge – Endast hanteringsslutpunkten som är tillgänglig på port 3443 är skyddad

Konfigurationer som inte stöds

• Instanser som inte är VNet-inmatade
• Instanser som konfigurerats med en privat slutpunkt

Förutsättningar

• En API Management-instans
  • Instansen måste distribueras i ett virtuellt Azure-nätverk i externt läge eller internt läge.
  • Instansen måste konfigureras med en offentlig IP-adressresurs i Azure, som endast stöds på API Management-beräkningsplattformen stv2 .

    Kommentar

    Om instansen stv1 finns på plattformen måste du migrera till stv2 plattformen.

• En Azure DDoS Protection-plan

  • Den plan som du väljer kan vara i samma eller annorlunda prenumeration än det virtuella nätverket och API Management-instansen. Om prenumerationerna skiljer sig åt måste de associeras med samma Microsoft Entra-klientorganisation.

  • Du kan använda en plan som skapats med SKU:n network DDoS protection eller IP DDoS Protection SKU. Se Jämförelse av Azure DDoS Protection SKU.

    Kommentar

    Azure DDoS Protection-planer medför ytterligare avgifter. Mer information finns i Prissättning.

Aktivera DDoS-skydd

Beroende på vilken DDoS Protection-plan du använder aktiverar du DDoS-skydd i det virtuella nätverk som används för din API Management-instans eller ip-adressresursen som konfigurerats för ditt virtuella nätverk.

Aktivera DDoS Protection i det virtuella nätverk som används för din API Management-instans

1. I Azure-portalen går du till det virtuella nätverk där API Management matas in.

2. I den vänstra menyn under Inställningar väljer du DDoS-skydd.

3. Välj Aktivera och välj sedan din DDoS-skyddsplan.

4. Välj Spara.

   

Aktivera DDoS-skydd på den offentliga IP-adressen för API Management

Om din plan använder IP DDoS Protection SKU läser du Aktivera DDoS IP Protection för en offentlig IP-adress.

Nästa steg

• Lär dig hur du verifierar DDoS-skyddet för din API Management-instans genom att testa med simuleringspartner
• Lär dig hur du visar och konfigurerar Telemetri för Azure DDoS Protection