Azure DDoS Protection 계층 비교 정보
이 문서의 섹션에서는 Azure DDoS Protection에 대한 리소스 및 설정을 설명합니다.
계층
Azure DDoS Protection은 DDoS IP 보호와 DDoS 네트워크 보호라는 두 가지 계층 형식을 지원합니다. 계층은 Azure DDoS Protection을 구성할 때 워크플로 중에 Azure Portal에서 구성됩니다.
다음 표에서는 기능 및 해당 계층을 보여 줍니다.
| 기능 | DDoS IP Protection | DDoS Network Protection |
|---|---|---|
| 활성 트래픽 모니터링 및 무중단 감지 | 예 | 예 |
| L3/L4 자동 공격 완화 | 예 | 예 |
| 자동 공격 완화 | 예 | 예 |
| 애플리케이션 기반 완화 정책 | 예 | 예 |
| 메트릭 및 알림 | 예 | 예 |
| 완화 보고서 | 예 | 예 |
| 완화 흐름 로그 | 예 | 예 |
| 고객 애플리케이션에 맞게 튜닝된 완화 정책 | 예 | 예 |
| Firewall Manager와 통합 | 예 | 예 |
| Microsoft Sentinel 데이터 커넥터 및 통합 문서 | 예 | 예 |
| 테넌트에서 구독 간 리소스 보호 | 예 | 예 |
| 공용 IP 표준 계층 보호 | 예 | 예 |
| 공용 IP 기본 계층 보호 | 예 | 예 |
| DDoS 빠른 응답 지원 | 사용할 수 없음 | 예 |
| 비용 보호 | 사용할 수 없음 | 예 |
| WAF 할인 | 사용할 수 없음 | 예 |
| 가격 | 보호된 IP당 | 보호된 IP 주소 100개당 |
참고 항목
Azure DDoS Infrastructure Protection 기본은 추가 비용 없이 공용 IPv4 및 IPv6 주소를 사용하는 모든 Azure 서비스를 보호합니다. 이 DDoS 보호 서비스는 Azure DNS와 같은 PaaS(Platform as a Service) 서비스를 포함한 모든 Azure 서비스 보호를 지원합니다. 지원되는 PaaS 서비스에 대한 자세한 내용은 DDoS Protection 참조 아키텍처를 참조하세요. DDoS Infrastructure Protection은 사용자 구성 또는 애플리케이션 변경이 필요 없습니다. Azure는 DDoS 공격으로부터 지속적으로 보호하는 기능을 제공합니다. DDoS Protection은 고객 데이터를 저장하지 않습니다.
제한 사항
DDoS 네트워크 보호 및 DDoS IP 보호에는 다음과 같은 제한 사항이 있습니다.
- Power Apps용 Azure App Service Environment, 가상 네트워크 통합이 포함된 APIM 이외의 배포 모드의 Azure API Management 및 Azure Virtual WAN을 포함하는 PaaS 서비스(다중 테넌트)는 현재 지원되지 않습니다. 자세한 내용은 VNET 통합의 Azure DDoS Protection APIM을 참조하세요.
- NAT Gateway에 연결된 공용 IP 리소스를 보호하는 것은 지원되지 않습니다.
- Classic/RDFE 배포의 가상 머신은 지원되지 않습니다.
- VPN Gateway 또는 가상 네트워크 게이트웨이는 DDoS 정책으로 보호됩니다. 이 단계에서는 적응형 튜닝이 지원되지 않습니다.
- Azure DDoS Protection 서비스는 프런트 엔드에 연결된 공용 IP 주소 접두사를 사용하여 공용 부하 분산 장치를 보호할 수 있습니다. 이는 DDoS 네트워크 보호 SKU에 대해 지원됩니다.
- Virtual Machine Scale Sets의 개별 가상 머신 인스턴스에 대한 DDoS 원격 분석은 유연한 오케스트레이션 모드에서 사용할 수 있습니다.
DDoS IP 보호는 네트워크 보호와 유사하지만 다음과 같은 추가 제한 사항이 있습니다.
- 공용 IP 기본 계층 보호는 지원되지 않습니다.
참고 항목
단일 VM이 공용 IP 뒤에서 실행되는 시나리오는 지원되지만 권장되지는 않습니다. 자세한 내용은 기본 모범 사례를 참조하세요.
자세한 내용은 Azure DDoS Protection 참조 아키텍처를 참조하세요.