Che cos'è Protezione DDoS di Azure?

Gli attacchi Distributed Denial of Service (DDoS) sono tra le principali preoccupazioni che riguardano la disponibilità e la sicurezza per quei clienti che spostano le loro applicazioni nel cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint che è raggiungibile pubblicamente tramite Internet.

Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse.

Protezione DDoS di Azure protegge al livello 3 e al livello 4 della rete. Per la protezione delle applicazioni Web al livello 7, è necessario aggiungere protezione a livello di applicazione usando un'offerta WAF. Per altre informazioni, vedere Protezione DDoS dell'applicazione.

Livelli

Protezione della rete DDoS

Protezione di rete DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. Per altre informazioni sull'abilitazione della protezione di rete DDoS, vedere Avvio rapido: Creare e configurare Protezione di rete DDoS di Azure usando il portale di Azure.

Protezione IP DDoS

Protezione IP DDoS è un modello IP è un modello IP con pagamento in base al consumo. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione della rete DDoS, ma saranno diverse nei servizi aggiunti al valore seguente: supporto DDoS Rapid Response, protezione dei costi e sconti per WAF. Per altre informazioni sull'abilitazione della protezione IP DDoS, vedere Avvio rapido: Creare e configurare Protezione IP DDoS di Azure con Azure PowerShell.

Per altre informazioni sui livelli, vedere Confronto dei livelli protezione DDoS.

Funzionalità chiave    

• Monitoraggio del traffico sempre attivo: i modelli di traffico dell'applicazione vengono monitorati 24 ore su 24, 7 giorni su 7, alla ricerca di indicatori di attacchi DDoS. Il servizio Protezione DDoS di Azure mitiga istantaneamente e automaticamente gli attacchi non appena vengono rilevati.

• Ottimizzazione adattiva in tempo reale: la profilatura intelligente del traffico apprende il modello di traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio. Il profilo viene modificato in base ai cambiamenti del traffico nel tempo.

• Analisi, metriche e avvisi della protezione DDoS: Protezione DDoS di Azure applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale con DDoS abilitato. Le soglie dei criteri vengono configurate automaticamente tramite la profilatura del traffico di rete basata su Machine Learning. La mitigazione dei rischi DDoS ha luogo per un indirizzo IP sotto attacco solo quando viene superata la soglia dei criteri.

  • Analisi degli attacchi: ottieni report dettagliati con incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco. Trasmettere i log dei flussi di mitigazione a Microsoft Sentinel o a un sistema SIEM (Security Information and Event Management) offline per il monitoraggio quasi in tempo reale durante un attacco. Per altre informazioni, vedere Visualizzare e configurare la registrazione diagnostica DDoS.

  • Metriche degli attacchi: tramite Monitoraggio di Azure è possibile accedere al riepilogo delle metriche per ogni attacco. Per altre informazioni, vedere Visualizzare e configurare i dati di telemetria di protezione DDoS.

  • Avvisi di attacco: gli avvisi possono essere configurati all'inizio e all'arresto di un attacco e per tutta la durata dell'attacco, usando le metriche di attacco predefinite. Gli avvisi si integrano nel software operativo, ad esempio log di Monitoraggio di Microsoft Azure, Splunk, Archiviazione di Azure, Posta elettronica e portale di Azure. Per altre informazioni, vedere Visualizzare e configurare gli avvisi di protezione DDoS.

• Risposta rapida DDoS di Azure: durante un attacco attivo, i clienti hanno accesso al team DDoS Rapid Response (DRR), che può aiutare con l'analisi degli attacchi durante un attacco e un'analisi post-attacco. Per altre informazioni, vedere Risposta rapida DDoS di Azure.

• Integrazione di piattaforma nativa: integrato in modo nativo in Azure. Include la configurazione tramite il portale di Azure. Protezione DDoS di Azure comprende le risorse e la configurazione delle risorse.

• Protezione chiavi in mano: la configurazione semplificata protegge immediatamente tutte le risorse in una rete virtuale non appena la protezione di rete DDoS è abilitata. Non è necessaria alcuna definizione dell'utente o intervento. Analogamente, la configurazione semplificata protegge immediatamente una risorsa IP pubblica quando è abilitata la protezione IP DDoS.

• Protezione a più livelli: quando viene distribuita con un web application firewall (WAF), Protezione DDoS di Azure protegge sia a livello di rete (livello 3 che 4, offerto da Protezione DDoS di Azure) e a livello di applicazione (livello 7, offerto da un WAF). Le offerte WAF includono azure gateway applicazione SKU WAF e offerte web application firewall di terze parti disponibili in Azure Marketplace.

• Scalabilità estesa di mitigazione: tutti i vettori di attacco L3/L4 possono essere mitigati, con capacità globale, per proteggersi dagli attacchi DDoS noti più grandi.

• Garanzia dei costi: ricevere il credito del servizio di trasferimento dati e scalabilità orizzontale delle applicazioni per i costi delle risorse sostenuti a seguito di attacchi DDoS documentati.

Architettura

Protezione DDoS di Azure è progettata per i servizi distribuiti in una rete virtuale. Per altri servizi, si applica la protezione DDoS predefinita a livello di infrastruttura, che si difende dagli attacchi comuni a livello di rete. Per altre informazioni sulle architetture supportate, vedere Architetture di riferimento di Protezione DDoS.

Prezzo

Per Protezione di rete DDoS, in un tenant, è possibile usare un singolo piano di protezione DDoS tra più sottoscrizioni, quindi non è necessario creare più di un piano di protezione DDoS. Per la protezione IP DDoS, non è necessario creare un piano di protezione DDoS. I clienti possono abilitare la protezione IP DDoS in qualsiasi risorsa IP pubblica.

Per informazioni sui prezzi di Protezione DDoS di Azure, vedere Prezzi di Protezione DDoS di Azure.

Consigli per iniziare

Ottimizzare l'efficacia della strategia di protezione e mitigazione DDoS seguendo queste procedure consigliate:

• Progettare le applicazioni e l'infrastruttura tenendo conto della ridondanza e della resilienza.
• Implementare un approccio di sicurezza a più livelli, tra cui rete, applicazione e protezione dei dati.
• Preparare un piano di risposta agli eventi imprevisti per garantire una risposta coordinata agli attacchi DDoS.

Per altre informazioni sulle procedure consigliate, vedere Procedure consigliate fondamentali.

Domande frequenti

Per domande frequenti, vedere Domande frequenti sulla protezione DDoS.

Passaggi successivi

• Avvio rapido: Creare un piano di protezione DDoS
• Modulo Learn: Introduzione alla protezione DDoS di Azure
• Altre informazioni sulla sicurezza di rete di Azure