Mitigazione DDOS basata su Azure, Firewall basato su Azure?

Si potrebbe pensare che Microsoft possa aiutare a mitigare DDos nel proprio ambiente. Bene, Microsoft ha il proprio sistema di difesa DDos, ma è progettato per il solo attacco di volume livello alto a livello di rete per proteggere i titolari dei clienti di Azure. Fondamentalmente significa che Microsoft non garantisce da un attacco di volume più piccolo che potresti essere il bersaglio. Microsoft inoltre non ha informazioni ufficiali su quanto sia alto l'attacco del volume di rete. Azure inoltre non fornisce attenuazione o blocca attivamente il traffico di rete alla distribuzione dei clienti a livello di attacco a livello di applicazione.

Per mitigare l'attacco diretto alla tua macchina virtuale, non dovresti avere il suo indirizzo IP pubblico su Internet. Invece, dovresti costruire un host bastion davanti alla tua macchina virtuale principale. La connessione tra l'host del bastione e la macchina virtuale dovrebbe essere la VPN P2S (point-to-site). Significa che non esiste alcun traffico legato a Internet diretto alla tua macchina virtuale. Se questa macchina virtuale è ospitata in un'applicazione Web, è possibile utilizzare semplicemente Azure Application Gateway o firewall open source.

Successivamente, abilita la protezione DDo di Azure che è documentata qui ( link ). Non hai altro che abilitare questo servizio.

Più avanzato, se il budget non è un problema, guarda la 3a appliance virtuale per esempio Barracuda , F5 o così via per proteggere l'attacco volumetrico.

Microsoft mi ha fornito una pagina web con la risposta. In sintesi, il cloud di Azure ha un firewall cloud che subirà il colpo DDOS, in modo che nessun traffico DDOS raggiunga il mio guest vm. Ecco l' URL della pagina web .