DDoS 공격으로부터 Azure API Management 인스턴스 방어

적용 대상: 개발자 | 프리미엄

이 문서에서는 Azure DDoS Protection을 사용하여 DDoS(Distributed Denial of Service) 공격으로부터 Azure API Management 인스턴스를 방어하는 방법을 보여 줍니다. Azure DDoS Protection은 볼륨 및 프로토콜 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다.

참고 항목

웹 워크로드의 경우 Azure DDoS Protection 및 웹 애플리케이션 방화벽을 활용하여 새로운 DDoS 공격으로부터 보호하는 것이 좋습니다. 또 다른 옵션은 웹 애플리케이션 방화벽과 함께 Azure Front Door를 사용하는 것입니다. Azure Front Door는 네트워크 수준 DDoS 공격에 대한 플랫폼 수준 보호를 제공합니다. 자세한 내용은 Azure 서비스에 대한 보안 기준을 참조하세요.

지원되는 구성

API Management에 대해 Azure DDoS Protection을 사용하도록 설정하는 기능은 외부 모드 또는 내부 모드에서 VNet에 배포(삽입)된 인스턴스에만 지원됩니다.

• 외부 모드 - 모든 API Management 엔드포인트가 보호됩니다.
• 내부 모드 - 포트 3443에서 액세스할 수 있는 관리 엔드포인트만 보호됩니다.

지원되지 않는 구성

• VNet이 삽입되지 않은 인스턴스
• 프라이빗 엔드포인트로 구성된 인스턴스

필수 조건

• API Management 인스턴스
  • 이 인스턴스는 외부 모드 또는 내부 모드에서 Azure VNet에 배포되어야 합니다.
  • 이 인스턴스는 API Management stv2컴퓨팅 플랫폼에서만 지원되는 Azure 공용 IP 주소 리소스로 구성되어야 합니다.

    참고 항목

    인스턴스가 stv1 플랫폼에서 호스트되는 경우 stv2 플랫폼으로 마이그레이션해야 합니다.

• Azure DDoS Protection 플랜

  • 선택한 플랜은 가상 네트워크 및 API Management 인스턴스와 동일하거나 다른 구독에 있을 수 있습니다. 구독이 다른 경우 동일한 Microsoft Entra 테넌트에 연결되어야 합니다.

  • 네트워크 DDoS 보호 SKU 또는 IP DDoS 보호 SKU를 사용하여 만든 플랜을 사용할 수 있습니다. Azure DDoS Protection SKU 비교를 참조하세요.

    참고 항목

    Azure DDoS Protection 플랜에는 추가 요금이 발생합니다. 자세한 내용은 가격 책정을 참조하세요.

DDoS Protection 사용

사용하는 DDoS Protection 플랜에 따라 API Management 인스턴스에 사용되는 가상 네트워크 또는 가상 네트워크에 대해 구성된 IP 주소 리소스에서 DDoS Protection을 사용하도록 설정합니다.

API Management 인스턴스에 사용되는 가상 네트워크에서 DDoS Protection 사용

1. Azure Portal에서 API Management가 삽입되는 VNet으로 이동합니다.

2. 왼쪽 메뉴의 설정에서 DDoS Protection을 선택합니다.

3. 사용을 선택한 다음, DDoS Protection 플랜을 선택합니다.

4. 저장을 선택합니다.

   

API Management 공용 IP 주소에서 DDoS Protection 사용

플랜에서 DDoS Protection SKU를 사용하는 경우 공용 IP 주소에 대해 DDoS IP 보호를 사용하도록 설정을 참조하세요.

다음 단계

• 시뮬레이션 파트너와 테스트하여 API Management 인스턴스의DDoS Protection을 확인하는 방법 알아보기
• Azure DDoS Protection을 보고 구성하는 방법 알아보기