Dela via


Försvara din Azure API Management-instans mot DDoS-attacker

GÄLLER FÖR: Utvecklare | Premie

Den här artikeln visar hur du skyddar din Azure API Management-instans mot DDoS-attacker (Distribuerad överbelastning) genom att aktivera Azure DDoS Protection. Azure DDoS Protection tillhandahåller förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker med volymer och protokoll.

Kommentar

För webbarbetsbelastningar rekommenderar vi starkt att du använder Azure DDoS-skydd och en brandvägg för webbprogram för att skydda mot nya DDoS-attacker. Ett annat alternativ är att använda Azure Front Door tillsammans med en brandvägg för webbprogram. Azure Front Door erbjuder skydd på plattformsnivå mot DDoS-attacker på nätverksnivå. Mer information finns i Säkerhetsbaslinje för Azure-tjänster.

Konfigurationer som stöds

Aktivering av Azure DDoS Protection för API Management stöds endast för instanser som distribueras (matas in) i ett virtuellt nätverk i externt läge eller internt läge.

  • Externt läge – Alla API Management-slutpunkter skyddas
  • Internt läge – Endast hanteringsslutpunkten som är tillgänglig på port 3443 är skyddad

Konfigurationer som inte stöds

  • Instanser som inte är VNet-inmatade
  • Instanser som konfigurerats med en privat slutpunkt

Förutsättningar

  • En API Management-instans
    • Instansen måste distribueras i ett virtuellt Azure-nätverk i externt läge eller internt läge.
    • Instansen måste konfigureras med en offentlig IP-adressresurs i Azure, som endast stöds på API Management-beräkningsplattformen stv2 .

      Kommentar

      Om instansen stv1 finns på plattformen måste du migrera till stv2 plattformen.

  • En Azure DDoS Protection-plan
    • Den plan som du väljer kan vara i samma eller annorlunda prenumeration än det virtuella nätverket och API Management-instansen. Om prenumerationerna skiljer sig åt måste de associeras med samma Microsoft Entra-klientorganisation.

    • Du kan använda en plan som skapats med SKU:n network DDoS protection eller IP DDoS Protection SKU. Se Jämförelse av Azure DDoS Protection SKU.

      Kommentar

      Azure DDoS Protection-planer medför ytterligare avgifter. Mer information finns i Prissättning.

Aktivera DDoS-skydd

Beroende på vilken DDoS Protection-plan du använder aktiverar du DDoS-skydd i det virtuella nätverk som används för din API Management-instans eller ip-adressresursen som konfigurerats för ditt virtuella nätverk.

Aktivera DDoS Protection i det virtuella nätverk som används för din API Management-instans

  1. I Azure-portalen går du till det virtuella nätverk där API Management matas in.

  2. I den vänstra menyn under Inställningar väljer du DDoS-skydd.

  3. Välj Aktivera och välj sedan din DDoS-skyddsplan.

  4. Välj Spara.

    Skärmbild av aktivering av en DDoS Protection-plan på ett virtuellt nätverk i Azure-portalen.

Aktivera DDoS-skydd på den offentliga IP-adressen för API Management

Om din plan använder IP DDoS Protection SKU läser du Aktivera DDoS IP Protection för en offentlig IP-adress.

Nästa steg