Azure DDOS для веб-роли?
Может ли Azure DDOS Standard защитить веб-роль облачной службы?
Насколько я понимаю, защита Azure DDOS осуществляется на основе виртуальной сети, и облачные службы могут быть развернуты только в виртуальной сети "Classic", а не на более новых типах групп ресурсов (если это не изменилось?). Я не могу найти информацию о том, может ли стандарт DDOS применяться к классическим виртуальным сетям.
Мы также можем перенести сайт в Службу приложений... но также мало информации о том, поддерживаются ли они. Любое просвещение будет приветствоваться.
(Это не корпоративное приложение, поэтому решения корпоративного масштаба не являются началом...)
2 ответа
DDOS Standard SKU недоступен для классических виртуальных сетей. К сожалению, политики применяются к общедоступным IP-адресам, связанным с ресурсами, развернутыми в виртуальных сетях, таких как экземпляры Azure Load Balancer, Azure Application Gateway и Azure Service Fabric, но эта защита не применяется к средам служб приложений.
Для веб-атак вы можете рассмотреть возможность использования Application Gateway WAF с модулем OWASP для защиты вашего веб-приложения от основных веб-атак.
Стандартная защита от DDoS является предложением ARM и, к сожалению, не может быть перенесена на ASM.
Будьте уверены, все виртуальные сети, развернутые в Azure, изначально будут обладать базовой защитой от DDoS. Поверх которого вы можете дополнительно добавить защиту через стандартный SKU.
Я бы порекомендовал вам перейти на ARM с классического. Предоставляя вам больший контроль над вашими развертываниями. Причина Существует множество метрик, которые доступны вместе со стандартным SKU, которые вы можете использовать и которые не будут доступны в ASM/Classic.
Но я бы порекомендовал вам также учитывать стоимость. Это довольно здоровенный ценник на стандартную защиту от DDoS. Если вы думаете иначе, вы можете думать о WAF, как предложено @Msrini, иначе разверните свой собственный брандмауэр и выполните фильтрацию, настроив маршруты.