Obrana instance služby Azure API Management před útoky DDoS

PLATÍ PRO: Vývojář | Premium

Tento článek ukazuje, jak chránit instanci služby Azure API Management proti útokům DDoS (Distributed Denial of Service) povolením služby Azure DDoS Protection. Azure DDoS Protection poskytuje vylepšené funkce omezení rizik DDoS, které chrání před útoky DDoS volumetric a protocol.

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.

Podporované konfigurace

Povolení služby Azure DDoS Protection pro službu API Management se podporuje jenom pro instance nasazené (vložené) ve virtuální síti v externím režimu nebo v interním režimu.

• Externí režim – Všechny koncové body služby API Management jsou chráněné.
• Interní režim – Chráněný je pouze koncový bod správy přístupný na portu 3443.

Nepodporované konfigurace

• Instance, které nejsou vložené do virtuální sítě
• Instance nakonfigurované s privátním koncovým bodem

Požadavky

• Instance služby API Management
  • Instance musí být nasazená ve virtuální síti Azure v externím režimu nebo v interním režimu.
  • Instance musí být nakonfigurovaná s prostředkem veřejné IP adresy Azure, který se podporuje jenom na výpočetní platformě API Management.stv2

    Poznámka:

    Pokud je instance hostovaná na stv1 platformě, musíte ji migrovat na platformu stv2 .

• Plán služby Azure DDoS Protection

  • Vybraný plán může být ve stejném nebo jiném předplatném než virtuální síť a instance služby API Management. Pokud se předplatná liší, musí být přidružená ke stejnému tenantovi Microsoft Entra.

  • Můžete použít plán vytvořený pomocí skladové položky služby Network DDoS Protection nebo skladové položky DDoS Protection protokolu IP. Podívejte se na porovnání skladových položek služby Azure DDoS Protection.

    Poznámka:

    Za plány Služby Azure DDoS Protection se účtují další poplatky. Další informace najdete na stránce s cenami.

Povolení ochrany před útoky DDoS

V závislosti na používaném plánu ochrany před útoky DDoS povolte ochranu před útoky DDoS ve virtuální síti používané pro vaši instanci služby API Management nebo prostředek IP adresy nakonfigurovaný pro vaši virtuální síť.

Povolení ochrany před útoky DDoS ve virtuální síti používané pro vaši instanci služby API Management

1. Na webu Azure Portal přejděte do virtuální sítě, do které se vloží služba API Management.

2. V nabídce vlevo v části Nastavení vyberte ochranu před útoky DDoS.

3. Vyberte Povolit a pak vyberte plán ochrany před útoky DDoS.

4. Zvolte Uložit.

   

Povolení ochrany před útoky DDoS na veřejné IP adrese služby API Management

Pokud váš plán používá skladovou položku DDoS Protection ip, přečtěte si téma Povolení ochrany IP adres před útoky DDoS pro veřejnou IP adresu.

Další kroky

• Zjistěte, jak ověřit ochranu před útoky DDoS vaší instance služby API Management testováním s využitím partnerů simulace.
• Zjistěte, jak zobrazit a nakonfigurovat telemetrii služby Azure DDoS Protection.