Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DDoS Protection protege los recursos orientados al público frente a ataques de denegación de servicio distribuidos. Las siguientes recomendaciones le ayudan a comprobar que la protección contra DDoS está habilitada y supervisada correctamente en todo el entorno.
Para obtener un resumen de todas las recomendaciones de confianza cero de seguridad de red de Azure, consulte Recomendaciones de confianza cero de seguridad de red de Azure.
Recomendaciones
La protección contra DDoS está habilitada para todas las direcciones IP públicas en redes virtuales.
Los ataques de denegación de servicio distribuido (DDoS) tienen como objetivo sobrecargar los recursos de cómputo, red o memoria de la aplicación, dejando los servicios inaccesibles para los usuarios legítimos. Cualquier punto de conexión público expuesto a Internet es un destino potencial. Azure DDoS Protection proporciona supervisión siempre activa y mitigación automática frente a ataques de capa de red destinados a direcciones IP públicas. La protección se puede habilitar a través de DDoS IP Protection directamente en direcciones IP públicas individuales o a través de DDoS Network Protection en el nivel de red virtual a través de un plan de protección contra DDoS. Sin DDoS Protection, las direcciones IP públicas para servicios como Application Gateways, Load Balancers, Azure Firewalls, Azure Bastion, Puertas de enlace de red virtual y máquinas virtuales permanecen expuestas a ataques que pueden agotar el ancho de banda y los recursos del sistema, lo que provoca interrupciones en cascada en los servicios dependientes. Esta comprobación comprueba que todas las direcciones IP públicas están cubiertas por la protección contra DDoS mediante cualquiera de los enfoques.
Acción de corrección
- Introducción a Azure DDoS Protection
- Creación y configuración de Azure DDoS Network Protection mediante Azure Portal
- Creación y configuración de Azure DDoS IP Protection mediante Azure Portal
- Comparación de SKU de Azure DDoS Protection
Las métricas están habilitadas para direcciones IP públicas protegidas por DDoS
Azure DDoS Protection proporciona funcionalidades de mitigación avanzadas para direcciones IP públicas, detectando y mitigando automáticamente los ataques por denegación de servicio distribuido (DDoS) en las capas 3 y 4. Para la protección contra DDoS de capa de aplicación (nivel 7), use Azure DDoS Protection en combinación con un firewall de aplicaciones web (WAF). La protección contra DDoS sin métricas habilitadas crea una brecha de visibilidad en la que los equipos de seguridad no pueden observar patrones de tráfico de ataque, acciones de mitigación o la eficacia de las directivas de protección. Cuando se produce un ataque DDoS contra una dirección IP pública no supervisada, los respondedores de incidentes carecen de telemetría crítica, incluidos los recuentos de paquetes entrantes, los bytes eliminados durante la mitigación, los vectores de ataque identificados y los eventos de desencadenador de mitigación. Esto retrasa la detección a medida que los ataques pueden pasar desapercibidos hasta que se produzca la degradación del servicio. También evita la correlación de eventos DDoS con problemas de rendimiento de la aplicación y elimina la capacidad de analizar patrones de ataque para mejorar la defensa proactiva. La habilitación de métricas de DDoS proporciona visibilidad en tiempo real del estado de ataque, paquetes y bytes procesados y eliminados, y las métricas de inundación TCP/UDP/SYN esenciales para la respuesta a incidentes activas y el análisis posterior al incidente.
Acción de corrección
- Configuración de métricas y registros de diagnóstico de Azure DDoS Protection
- Configuración de las opciones de diagnóstico para los recursos de Azure
- Introducción a Azure DDoS Protection
- Creación y configuración de Azure DDoS Network Protection mediante Azure Portal
El registro de diagnóstico está habilitado para direcciones IP públicas protegidas por DDoS
Cuando Azure DDoS Protection está habilitado para direcciones IP públicas, el registro de diagnóstico proporciona visibilidad crítica de los patrones de ataque por denegación de servicio distribuido (DDoS), acciones de mitigación y datos de flujo de tráfico. Sin registros de diagnóstico, los equipos de seguridad carecen de la observabilidad necesaria para comprender las características de ataque, validar la eficacia de la mitigación y realizar análisis posteriores a incidentes. Azure DDoS Protection genera tres categorías de registros de diagnóstico: DDoSProtectionNotifications para eventos de detección y mitigación de ataques, DDoSMitigationFlowLogs para obtener información detallada de nivel de flujo durante la mitigación activa y DDoSMitigationReports para resúmenes completos de ataques. Estos registros son esenciales para detectar ataques en curso, investigar incidentes, cumplir los requisitos de cumplimiento y ajustar las directivas de protección.
Acción de corrección
- Visualización y configuración de registros de diagnóstico de DDoS Protection
- Supervisión de Azure DDoS Protection