Che cos'è la Protezione DDoS di Azure?

Gli attacchi Distributed Denial of Service (DDoS) sono tra le principali preoccupazioni che riguardano la disponibilità e la sicurezza per quei clienti che spostano le loro applicazioni nel cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

Protezione DDoS di Azure, in combinazione con le procedure consigliate per la progettazione di applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse.

Diagramma dell'architettura di riferimento per un'applicazione Web PaaS con Protezione DDoS di Azure.

Protezione DDoS di Azure protegge al livello 3 e al livello 4 della rete. Per la protezione delle applicazioni Web al livello 7, è necessario aggiungere protezione a livello di applicazione usando un'offerta WAF. Per altre informazioni, vedere Protezione DDoS dell'applicazione.

Livelli

Protezione della rete DDoS

Protezione della rete DDoS di Azure Standard, in combinazione con le procedure consigliate per la progettazione di applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. Per altre informazioni sull'abilitazione della protezione della rete DDoS, vedere Avvio rapido: creare e configurare Protezione della rete DDoS di Azure tramite il portale di Azure.

Protezione IP DDoS

Protezione IP DDoS è un modello IP è un modello IP con pagamento in base al consumo. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione della rete DDoS, ma saranno diverse nei servizi aggiunti al valore seguente: supporto DDoS Rapid Response, protezione dei costi e sconti per WAF. Per altre informazioni sull'abilitazione della Protezione IP DDoS, vedere Avvio rapido: creare e configurare Protezione IP DDoS di Azure tramite Azure PowerShell.

Per altre informazioni sui livelli, vedere Confronto dei livelli di Protezione DDoS di Azure.

Funzionalità chiave    

  • Monitoraggio del traffico sempre attivo: i modelli di traffico dell'applicazione vengono monitorati 24 ore su 24, 7 giorni su 7, alla ricerca di indicatori di attacchi DDoS. Il servizio Protezione DDoS di Azure mitiga istantaneamente e automaticamente gli attacchi non appena vengono rilevati.

  • Ottimizzazione adattiva in tempo reale: la profilatura intelligente del traffico apprende il modello di traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio. Il profilo viene modificato in base ai cambiamenti del traffico nel tempo.

  • Analisi, metriche e avvisi della Protezione DDoS: Protezione DDoS di Azure applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale abilitata per DDoS. Le soglie dei criteri vengono configurate automaticamente tramite la profilatura del traffico di rete basata su Machine Learning. La mitigazione dei rischi DDoS ha luogo per un indirizzo IP sotto attacco solo quando viene superata la soglia dei criteri.

    • Analisi degli attacchi: ottieni report dettagliati con incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco. Eseguire lo streaming dei log del flusso di mitigazione a Microsoft Sentinel o a un sistema di informazioni di sicurezza e gestione degli eventi offline per il monitoraggio quasi in tempo reale durante un attacco. Per altre informazioni, vedere Visualizzare e configurare la registrazione diagnostica DDoS.

    • Metriche degli attacchi: tramite Monitoraggio di Azure è possibile accedere al riepilogo delle metriche per ogni attacco. Per altre informazioni, vedere Visualizzare e configurare i dati di telemetria di Protezione DDoS.

    • Avviso in caso di attacco: è possibile configurare avvisi all'inizio e alla fine di un attacco, oltre che nel corso dell'attacco, usando le metriche integrate relative agli attacchi. Gli avvisi si integrano nel software operativo, ad esempio i log di Monitoraggio di Microsoft Azure, Splunk, Archiviazione di Azure, Posta elettronica e il portale di Azure. Per altre informazioni, vedere Visualizzare e configurare gli avvisi di Protezione DDoS.

  • Azure DDoS Rapid Response: durante un attacco, i clienti abilitati per Protezione di rete DDoS di Azure hanno accesso al team di risposta rapida di DDoS, che può essere di aiuto con l'analisi durante un attacco e un'analisi post-attacco. Per altre informazioni, vedere Azure DDoS Rapid Response.

  • Integrazione di piattaforma nativa: integrato in modo nativo in Azure. Include la configurazione tramite il portale di Azure. Protezione DDoS di Azure comprende le risorse e la configurazione delle risorse.

  • Protezione chiavi in mano: la configurazione semplificata consente di proteggere immediatamente tutte le risorse in una rete virtuale non appena la protezione della rete DDoS viene abilitata. Non è necessaria alcuna definizione dell'utente o intervento. Analogamente, la configurazione semplificata protegge immediatamente una risorsa IP pubblica quando è abilitata la protezione IP DDoS.

  • Protezione a più livelli: quando viene distribuito con un web application firewall (WAF), Protezione DDoS di Azure protegge sia a livello di rete (livello 3 che 4, offerto da Protezione DDoS di Azure) e a livello di applicazione (livello 7, offerto da un WAF). Le offerte WAF includono lo SKU WAF del gateway applicazione di Azure e le offerte di Web application firewall di terze parti disponibili in Azure Marketplace.

  • Scala di mitigazione completa: tutti i vettori di attacco L3/L4 posso essere mitigati, con capacità globale, per una protezione dai più noti attacchi DDoS.

  • Garanzia sui costi: ricevere il credito del servizio di trasferimento dati e scalabilità orizzontale delle applicazioni per i costi delle risorse sostenuti a seguito di attacchi DDoS documentati.

Architettura

Protezione DDoS di Azure è progettata per i servizi che vengono distribuiti in una rete virtuale. Per altri servizi, si applica la protezione DDoS predefinita a livello di infrastruttura, che si difende dagli attacchi comuni a livello di rete. Per altre informazioni sulle architetture supportate, vedere Architetture di riferimento di Protezione DDoS.

Prezzi

Per Protezione di rete DDoS, in un tenant, è possibile usare un singolo piano di protezione DDoS tra più sottoscrizioni, quindi non è necessario creare più di un piano di protezione DDoS. Per la protezione IP DDoS, non è necessario creare un piano di protezione DDoS. I clienti possono abilitare la protezione IP DDoS in qualsiasi risorsa IP pubblica.

Per informazioni sui prezzi di Protezione DDoS di Azure, vedere Prezzi di Protezione DDoS di Azure.

Consigli per iniziare

Ottimizzare l'efficacia della strategia di protezione DDoS e mitigazione seguendo queste procedure consigliate:

  • Progettare le applicazioni e l'infrastruttura tenendo conto della ridondanza e della resilienza.
  • Implementare un approccio di sicurezza a più livelli, tra cui rete, applicazione e protezione dei dati.
  • Preparare un piano di risposta agli eventi imprevisti per garantire una risposta coordinata agli attacchi DDoS.

Per altre informazioni sulle procedure consigliate, vedere Procedure consigliate fondamentali.

Domande frequenti

Per le domande frequenti, vedere le Domande frequenti sulla Protezione DDoS.

Passaggi successivi