Azure DDoS Protection サービス レベルの比較について

この記事のセクションでは、Azure DDoS Protection のリソースと設定について説明します。

Azure DDoS Protection では、DDoS IP 保護と DDoS ネットワーク保護の 2 種類のサービス レベルがサポートされています。 サービス レベルは、Azure DDoS Protection 構成時のワークフロー中に Azure portal 内で構成されます。

次の表に、機能と対応するサービス レベルを示します。

特徴量 DDoS IP 保護 DDoS ネットワーク保護
アクティブなトラフィックの監視と常時検出 はい はい
L3/L4 攻撃の自動軽減 はい はい
攻撃の自動軽減 はい はい
アプリケーション ベースのリスク軽減ポリシー はい はい
メトリックとアラート はい はい
軽減レポート はい はい
軽減フロー ログ はい はい
お客様のアプリケーションに合わせて調整される軽減ポリシー はい はい
Firewall Manager との統合 はい はい
Microsoft Sentinel のデータ コネクタとブック はい はい
テナント内のサブスクリプション間でのリソースの保護 はい はい
パブリック IP Standard レベルの保護 はい はい
パブリック IP Basic レベルの保護 いいえ はい
DDoS への迅速な対応のサポート 使用できません はい
コスト保護 使用できません はい
WAF 割引 使用できません はい
Price 保護された IP 単位 100 個の保護された IP アドレス単位

Note

Azure DDoS インフラストラクチャ保護は追加コストなしで利用でき、IPv4 と IPv6 のパブリック アドレスを使用するすべての Azure サービスが保護されます。 この DDoS 保護サービスは、Azure DNS などのサービスとしてのプラットフォーム (PaaS) サービスを含むすべての Azure サービスを保護するのに役立ちます。 サポートされている PaaS サービスの詳細については、「DDoS Protection の参照アーキテクチャ」を参照してください。 Azure DDoS インフラストラクチャ保護には、ユーザーの構成もアプリケーションの変更も不要です。 Azure では、DDoS 攻撃に対する保護が継続的に提供されています。 DDoS 保護により顧客データが格納されることはありません。

制限事項

DDoS ネットワーク保護と DDoS IP 保護には、次の制限があります。

  • Power Apps 用の Azure App Service Environment、仮想ネットワーク統合を使用した APIM 以外のデプロイ モードの Azure API Management、Azure Virtual WAN などの PaaS サービス (マルチテナント) は現在サポートされていません。 詳細については、VNET 統合における Azure DDoS Protection APIM に関する記事を参照してください
  • NAT Gateway に接続されているパブリック IP リソースの保護はサポートされていません。
  • クラシック/RDFE デプロイでの仮想マシンはサポートされていません。
  • VPN ゲートウェイまたは仮想ネットワーク ゲートウェイは、DDoS ポリシーによって保護されます。 アダプティブ チューニングは、この段階ではサポートされていません。
  • Azure DDoS Protection サービスは、パブリック IP アドレス プレフィックスをフロントエンドにリンクしてパブリック ロード バランサーを保護できます。 これは、DDoS ネットワーク保護 SKU でサポートされています。
  • 仮想マシン スケール セット内の個々の仮想マシン インスタンスの DDoS テレメトリは、フレキシブル オーケストレーション モードで使用できます。

DDoS IP 保護はネットワーク保護に似ていますが、次の追加の制限があります。

  • パブリック IP Basic レベルの保護はサポートされていません。

Note

1 つの VM がパブリック IP の背後で実行されているシナリオはサポートされていますが、お勧めしません。 詳細については、「基本的なベスト プラクティス」に関するページを参照してください。

詳細については、「Azure DDoS Protection の参照アーキテクチャ」を参照してください。

次のステップ