Protection DDoS sur Front Door

  • Article

Azure Front Door est un réseau de distribution de contenu (CDN) qui peut vous aider à protéger vos origines contre les attaques DDoS HTTP(S) en distribuant le trafic sur ses 192 POP périphériques dans le monde entier. Ces POP utilisent notre vaste WAN privé pour distribuer vos services et applications web plus rapidement et de manière plus sécurisée à vos utilisateurs finaux. Azure Front Door inclut également une protection DDoS de couche 3, 4 et 7, et un pare-feu d’applications web (WAF) pour protéger vos applications contre les attaques et vulnérabilités courantes.

Protection DDoS d’infrastructure

Azure Front Door tire parti de la protection DDoS d’infrastructure Azure par défaut. Cette protection surveille et atténue les attaques de couche réseau en temps réel à l’aide de l’échelle mondiale et de la capacité du réseau de Front Door. Cette protection a fait ses preuves dans la protection des services professionnels et grand public de Microsoft contre les attaques de grande envergure.

Blocage de protocole

Azure Front Door prend uniquement en charge les protocoles HTTP et HTTPS, et nécessite un en-tête « Host » valide pour chaque requête. Ce comportement permet d’empêcher certains types d’attaques DDoS courantes, y compris les attaques volumétriques qui utilisent une série de protocoles et de ports, les attaques d’amplification DNS et les attaques par empoisonnement TCP.

Absorption de la capacité

Azure Front Door est un service distribué à l’échelle mondiale et à grande échelle. Il sert de nombreux clients, y compris les propres produits cloud de Microsoft qui gèrent des centaines de milliers de requêtes par seconde. Front Door est situé à la périphérie du réseau d’Azure, où il peut intercepter et isoler géographiquement les attaques de grand volume. Par conséquent, Front Door peut empêcher le trafic malveillant de pénétrer au-delà de la périphérie du réseau Azure.

Mise en cache

Vous pouvez utiliser les fonctionnalités de mise en cache de Front Door pour protéger les back-ends des volumes de trafic importants générés par une attaque. Les nœuds de périphérie Front Door retournent des ressources mises en cache et évitent de les transférer vers votre back-end. Même les temps d’expiration de cache courts (secondes ou minutes) sur des réponses dynamiques peuvent réduire de façon considérable la charge sur vos services back-end. Pour plus d’informations sur les concepts et les modèles de mise en cache, consultez Considérations relatives à la mise en cache et modèle de réserve de caches.

Pare-feu d’applications web (WAF)

Vous pouvez utiliser le pare-feu d’applications web (WAF) de Front Door pour limiter de nombreux types d’attaques :

  • L’ensemble de règles managées protège votre application contre de nombreuses attaques courantes. Pour plus d’informations, consultez Règles managées.
  • Vous pouvez bloquer ou rediriger le trafic de l’extérieur ou de l’intérieur d’une région géographique spécifique vers une page web statique. Pour plus d’informations, consultez Géo-filtrage.
  • Vous pouvez bloquer les adresses IP et les plages que vous identifiez comme malveillantes. Pour plus d'informations, consultez Restrictions sur les IP.
  • Vous pouvez appliquer la limitation du débit pour empêcher les adresses IP d’appeler votre service trop fréquemment. Pour plus d’informations, consultez Limitation des tarifs.
  • Vous pouvez créer des règles WAF personnalisées pour bloquer automatiquement et limiter le débit des attaques HTTP ou HTTPS aux signatures connues.
  • L’ensemble de règles managées de protection bot protège votre application contre les bots malveillants connus. Pour plus d’informations, consultez Configurer la protection des bots.

Consultez Protection DDoS de l’application pour obtenir des conseils sur l’utilisation du pare-feu d’applications web Azure pour vous protéger contre les attaques DDoS.

Protéger les origines du réseau virtuel

Pour protéger vos adresses IP publiques contre les attaques DDoS, activez Azure DDoS Protection sur le réseau virtuel d’origine. Les clients de DDoS Protection profitent d’avantages supplémentaires dont la protection du coût, la garantie SLA et l’accès à des experts de l’équipe spécialisée en attaques DDoS, pour une aide immédiate en cas d’attaque.

Renforcez la sécurité de vos origines hébergées sur Azure en limitant leur accès à Azure Front Door avec Azure Private Link. Cette fonctionnalité active une connexion de réseau privé entre Azure Front Door et vos serveurs d’applications, évitant d’exposer vos origines sur l’Internet public.

Étapes suivantes