Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al diseñar la arquitectura, equilibre los requisitos de seguridad con restricciones financieras al tiempo que mantiene la protección contra ataques de denegación de servicio distribuido (DDoS). Para obtener información general sobre las funcionalidades de protección contra DDoS, consulte Características de DDoS Protection. Las consideraciones clave incluyen:
- ¿Los presupuestos asignados le permiten cumplir los objetivos de seguridad y disponibilidad?
- ¿Cuál es el patrón de gasto para la protección contra DDoS en las cargas de trabajo?
- ¿Cómo maximizará la inversión de protección mediante una mejor selección y uso de recursos?
Una estrategia de protección contra DDoS optimizada para costos no siempre es la opción de costo más bajo. Debe equilibrar la eficacia de la seguridad con la eficiencia financiera. La reducción táctica de costos puede crear vulnerabilidades de seguridad. Para lograr la protección a largo plazo y la responsabilidad financiera, cree una estrategia con priorización basada en riesgos, supervisión continua y procesos repetibles.
Comience con los enfoques recomendados y justifica las ventajas de sus requisitos de seguridad. Después de establecer la estrategia, use estos principios mediante ciclos regulares de evaluación y optimización. Para obtener instrucciones completas sobre la administración de costos, consulte la documentación de Azure Cost Management y la calculadora de precios de Azure.
Desarrollar disciplina de protección
La optimización de costos para la protección contra DDoS requiere comprender el perfil de riesgo y alinear las inversiones de protección con las prioridades empresariales. Configure una gobernanza clara y la responsabilidad de las decisiones de protección. Para más información sobre los marcos de gobernanza, consulte la documentación de gobernanza de Azure.
| Recommendation | Benefit |
|---|---|
| Desarrolle un inventario completo de activos que cataloge todas las direcciones IP públicas y sus niveles de importancia empresarial. | Un inventario completo permite tomar decisiones de protección basadas en riesgos y evita tanto la provisión excesiva de protección costosa como dejar activos críticos sin proteger. Puede priorizar las inversiones de protección en función del impacto empresarial real. |
| Establezca una responsabilidad clara para las decisiones de protección con roles definidos para los equipos de seguridad, operaciones y finanzas. | Una responsabilidad clara garantiza que las decisiones de protección consideren los requisitos de seguridad y las restricciones presupuestarias. La toma de decisiones colaborativa evita las opciones siloadas que podrían poner en peligro la seguridad o superar los presupuestos. |
| Cree presupuestos realistas que tienen en cuenta tanto las necesidades de protección inmediata como el crecimiento planeado en los recursos orientados al público. | El presupuesto adecuado permite costos de protección predecibles y evita decisiones reactivas durante incidentes de seguridad. Puede planear la expansión de la protección a medida que crece la infraestructura. |
| Implemente marcos de evaluación de riesgos que definan niveles de protección mínimos y directivas estandarizadas para diferentes tipos de recursos. | Los marcos basados en riesgos proporcionan enfoques estructurados para evaluar los riesgos de ataque DDoS, a la vez que garantizan decisiones de protección coherentes. Ayudan a identificar recursos críticos, evaluar vulnerabilidades y determinar las medidas de protección adecuadas basadas en el impacto empresarial y la tolerancia a riesgos, lo que impide la protección insuficiente de los recursos críticos y la protección excesiva de los recursos de bajo riesgo. |
Elección del modelo de protección adecuado
Azure DDoS Protection ofrece dos modelos de precios con diferentes estructuras de costos y ámbitos de protección. Elija el modelo que se alinea con los requisitos de protección y distribución de recursos. Para obtener detalles sobre las SKU de protección DDoS y los precios, consulte Comparar SKU de protección DDoS y Precios de Azure DDoS Protection.
| Recommendation | Benefit |
|---|---|
| Elija Protección IP cuando necesite proteger recursos críticos específicos en lugar de redes virtuales completas. | Solo paga por direcciones IP públicas protegidas, lo que evita los costos de los recursos no críticos. Este enfoque dirigido proporciona un control de costos pormenorizado y permite la protección en varias redes virtuales sin cargos por red. Para configurar ip Protection, consulte Configuración de DDoS IP Protection. |
| Elija Protección de red cuando tenga muchas direcciones IP públicas (normalmente 10 o más) en una sola red virtual que requiera protección. | Protección de red ofrece un mejor valor para escenarios de protección integrales. Obtendrá una administración simplificada con protección automática para los nuevos recursos y costos mensuales predecibles por cada red virtual. Para configurar Network Protection, consulte Configuración de DDoS IP Protection. |
| Desarrolle planes de implementación de protección por fases que prioricen los recursos críticos para la empresa al considerar las restricciones presupuestarias y la distribución de recursos de red virtual. | Este enfoque sistemático garantiza la protección inmediata de los puntos de conexión esenciales al administrar los costos. Puede ampliar la protección en función de la evaluación de riesgos, el presupuesto disponible y optimizar los modelos de protección por red virtual para evitar gastos excesivos en redes de baja densidad. |
Diseño para la eficiencia de la arquitectura
Optimice la arquitectura para reducir el número de direcciones IP públicas que requieren protección al tiempo que se mantiene la seguridad y la funcionalidad. Sus decisiones arquitectónicas afectan directamente a los costos de protección. Para obtener instrucciones sobre la arquitectura, consulte Azure Well-Architected Framework y el Centro de arquitectura de Azure.
| Recommendation | Benefit |
|---|---|
| Use la segmentación de red, como Azure Private Link y el emparejamiento de redes virtuales para separar los recursos internos y públicos. | Puede centrar el gasto de protección en recursos orientados realmente al público mientras usa la conectividad privada para las comunicaciones internas. Esto elimina las necesidades de protección contra DDoS en rutas de acceso internas, lo que reduce los costos a la vez que mejora la seguridad. |
| Diseñe la arquitectura de aplicaciones para minimizar la exposición directa de direcciones IP públicas mediante el uso adecuado de redes de equilibrio de carga y entrega de contenido. | La eficiencia arquitectónica reduce el ámbito de protección y los costos asociados. A menudo, puede proteger toda una aplicación a través de un único o pocos puntos de conexión públicos en lugar de exponer varios servicios directamente. Menos direcciones IP públicas requieren protección, lo que reduce directamente los gastos. La consolidación también mejora la seguridad al reducir la superficie expuesta a ataques y simplifica la administración de la protección. |
Optimización del uso de recursos
Obtenga el máximo valor de las inversiones en protección mediante características incluidas y alineación de la protección con patrones de uso reales.
| Recommendation | Benefit |
|---|---|
| Aproveche la integración de Azure Monitor y la telemetría integrada sin cargos adicionales por la supervisión y el análisis de la protección. | Obtiene el valor máximo de la inversión de protección mediante funcionalidades de supervisión incluidas. Esto proporciona visibilidad de ataques y análisis de tráfico necesarios para la optimización continua sin costos adicionales. |
| Implemente el escalado automatizado para los recursos protegidos, de modo que la cobertura de protección se ajuste a los patrones reales de demanda. | El escalado dinámico garantiza la protección durante los picos de tráfico, a la vez que evita el aprovisionamiento excesivo durante períodos de baja demanda. Los gastos de protección se alinean con el valor empresarial real generado. |
Supervisar y optimizar a lo largo del tiempo
Las necesidades de protección cambian a medida que evoluciona la infraestructura. Configure la supervisión continua y los ciclos de optimización normales para mantener la eficiencia de los costos.
| Recommendation | Benefit |
|---|---|
| Configure alertas de costos cuando los gastos de protección contra DDoS se aproximan a los umbrales de presupuesto predefinidos. | Las notificaciones proactivas impiden saturaciones presupuestarias y permiten ajustes oportunos en la estrategia de protección. Puede responder a los aumentos de costos antes de que afecten a otras iniciativas. Para crear alertas de costos, consulte Supervisión del uso y el gasto con alertas de costos en Cost Management. |
| Realice revisiones trimestrales de los recursos protegidos y su importancia empresarial para identificar las oportunidades de optimización. | Las revisiones periódicas garantizan que las inversiones en protección permanezcan alineadas con las prioridades empresariales. Puede identificar los recursos que ya no necesitan protección o que requieren protección actualizada en función de la importancia cambiante. |
| Supervise los patrones de ataque y la eficacia de la protección para optimizar las decisiones de cobertura. Vea alertas en Microsoft Defender for Cloud y utilice registros de DDoS Protection en el área de trabajo de Log Analytics. | Comprender los patrones de amenazas reales permite tomar decisiones de protección controladas por datos. Puede ajustar los niveles de protección en función de los datos de ataque reales en lugar de los riesgos teóricos. |
| Realice un seguimiento de la rentabilidad de la protección de la inversión (ROI) e implemente la administración del ciclo de vida mediante los procedimientos recomendados de administración de costos para medir el valor y retirar la protección innecesaria. | La medición de ROI muestra el valor de protección y guía las decisiones futuras de la inversión. La limpieza regular de recursos inactivos o no críticos impide el crecimiento del gasto que no se alinea con el valor empresarial, al tiempo que libera presupuesto para recursos de mayor prioridad. |
Next steps
- Obtenga información sobre las características de Azure DDoS Protection.
- Compare las SKU de protección contra DDoS.
- Configurar la protección contra DDoS.
- Supervisar la protección contra DDoS.
- Documentación de Azure Cost Management.
- Precios de Azure DDoS Protection.
- Azure Well-Architected Framework.
- Azure Security Benchmark.