Informazioni sul confronto tra i livelli di Protezione DDoS di Azure
Le sezioni di questo articolo illustrano le risorse e le impostazioni di Protezione DDoS di Azure.
Livelli
Protezione DDoS di Azure supporta due tipi di livello, protezione IP DDoS e Protezione di rete DDoS. Il livello viene configurato nel portale di Azure durante il flusso di lavoro quando si configura la Protezione DDoS di Azure.
La tabella seguente illustra le funzionalità e i livelli corrispondenti.
| Funzionalità | Protezione IP DDoS | Protezione della rete DDoS |
|---|---|---|
| Monitoraggio del traffico attivo e rilevamento always on | Sì | Sì |
| Mitigazione automatica degli attacchi L3/L4 | Sì | Sì |
| Mitigazione automatica degli attacchi | Sì | Sì |
| Criteri di mitigazione basati su applicazioni | Sì | Sì |
| Metriche e avvisi | Sì | Sì |
| Report di mitigazione | Sì | Sì |
| Log dei flussi di mitigazione | Sì | Sì |
| Criteri di mitigazione ottimizzati per l'applicazione dei clienti | Sì | Sì |
| Integrazione con Gestione firewall | Sì | Sì |
| Connettore dati e cartella di lavoro di Microsoft Sentinel | Sì | Sì |
| Protezione delle risorse tra sottoscrizioni in un tenant | Sì | Sì |
| Protezione livello Standard di IP pubblico | Sì | Sì |
| Protezione livello Basic di IP pubblico | No | Sì |
| Supporto DDoS Rapid Response | Non disponibile | Sì |
| Protezione dei costi | Non disponibile | Sì |
| WAF discount | Non disponibile | Sì |
| Price | Per IP protetto | Per 100 indirizzi IP protetti |
Nota
Senza costi aggiuntivi, la protezione dell'infrastruttura DDoS di Azure protegge ogni servizio di Azure che usa indirizzi IPv4 e IPv6 pubblici. Questo servizio di Protezione DDoS aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS (Platform as a service), ad esempio DNS di Azure. Per maggiori informazioni sui servizi PaaS supportati, vedere Architetture di riferimento di Protezione DDoS. La protezione dell'infrastruttura DDoS di Azure non richiede modifiche alla configurazione utente o all'applicazione. Azure offre una protezione continua contro gli attacchi DDoS. Protezione DDoS non archivia i dati dei clienti.
Limiti
Protezione di rete DDoS e Protezione IP DDoS presentano le limitazioni seguenti:
- I servizi PaaS (multi tenant), che includono Ambiente del servizio app di Azure per Power Apps, Gestione API di Azure in modalità di distribuzione diverse da Gestione API con integrazione di rete virtuale (per altre informazioni, vedere https://techcommunity.microsoft.com/t5/azure-network-security-blog/azure-ddos-standard-protection-now-supports-apim-in-vnet/ba-p/3641671) e la rete WAN virtuale di Azure non sono attualmente supportate.
- La protezione di una risorsa IP pubblica collegata a un gateway NAT non è supportata.
- Le macchine virtuali nelle distribuzioni Classic/RDFE non sono supportate.
- Il gateway VPN o il gateway di rete virtuale sono protetti da criteri DDoS. L'ottimizzazione adattiva non è supportata in questa fase.
- Parzialmente supportato: il servizio Protezione DDoS di Azure può proteggere un servizio di bilanciamento del carico pubblico con un prefisso di indirizzo IP pubblico collegato al relativo front-end. Rileva e attenua efficacemente gli attacchi DDoS. Tuttavia, i dati di telemetria e la registrazione per gli indirizzi IP pubblici protetti all'interno dell'intervallo di prefissi non sono attualmente disponibili.
Protezione IP DDoS è simile a Protezione di rete, ma presenta le limitazioni aggiuntive seguenti:
- La protezione del livello Basic di IP pubblico non è supportata.
Nota
Uno scenario in cui una singola macchina virtuale è in esecuzione dietro un indirizzo IP pubblico è supportato, ma non consigliato. Per maggiori informazioni, vedere Procedure consigliate fondamentali.
Per maggiori informazioni, vedere la sezione Architetture di riferimento di Protezione DDoS.