Descripción de cómo Microsoft se defiende de los ataques DoS
La denegación de servicio (DoS) hace referencia a una categoría de ataques basados en la red en la que un atacante consume todos los recursos de un sistema víctima con el objetivo de impedir la actividad legítima. Dado que identificar y bloquear el tráfico desde un único origen del problema es trivial, la forma más amenazadora de ataques DoS es la denegación de servicio distribuido (DDoS). Los ataques DDoS usan muchos sistemas intermediarios comprometidos controlados por un atacante para sobrecargar el sistema objetivo. La variedad y el número de orígenes del ataque hacen que los ataques DDoS sean más difíciles de detectar y de bloquear.
Existen tres factores principales que determinan la eficacia de un sistema de defensa DDoS: la absorción, la detección y la mitigación. Para contar con tiempo suficiente para la detección y mitigación, es necesario la absorción del ataque DoS inicial sin sufrir ninguna pérdida de disponibilidad. Sin una capacidad de absorción adecuada, es posible que no haya tiempo suficiente para responder a un ataque DDoS antes de que el sistema se desborde. Por este motivo, el éxito de la defensa contra los ataques DDoS se basa en una combinación de mayor capacidad y de sistemas de supervisión sólidos para reducir el tiempo de detección.
Microsoft usa su escala masiva y su impacto global únicos para reforzar sus capacidades de absorción. Nuestra presencia en la red distribuida globalmente permite la implementación del enrutamiento de múltiples rutas de acceso (ECMP) de igual costo, lo que proporciona redundancia de rutas de red para el acceso a los servicios de Microsoft 365 y el aislamiento de ataques DDoS en la región en la que se producen. Además, los servicios y los datos de los clientes se replican entre los centros de datos con la capacidad de conmutación por error si el centro de datos principal deja de estar disponible. Este enfoque significa que los ataques DDoS individuales en un punto perimetral determinado no suponen un riesgo significativo para la disponibilidad de los servicios de Microsoft 365.
Para controlar mejor el riesgo de varios ataques DDoS simultáneos, Microsoft ha separado su sistema de detección de varios niveles de sus componentes de mitigación distribuidos globalmente en el perímetro de la red. Los datos de flujo y la información de rendimiento de varios puntos de la red de Microsoft se usan para desarrollar y mejorar los sistemas de correlación y detección de DDoS. El principio de denegación implícita de tráfico de red de Microsoft garantiza que la comunicación no deseada se interrumpa en el perímetro de la red, lo que reduce las superficies de ataque del servicio y la carga de análisis.
Una vez detectados, los ataques DDoS se controlan mediante técnicas de mitigación estándares, como las cookies SYN, la limitación de la velocidad y los límites de conexión. Los ataques DDoS suelen dirigirse a las capas de red (L3) y transporte (L4) del modelo de interconexión de sistema abierto (OSI), con lo que se saturan las líneas de red y los recursos del dispositivo. Microsoft diseñó una solución centrada en la protección de estas capas para garantizar que el tráfico de ataques no interfiera ni cause daños al tráfico legítimo de clientes. Los sistemas de supervisión de Microsoft ingieren y analizan los datos de muestreo de tráfico de los enrutadores del centro de datos, lo que proporciona mecanismos de defensa automatizados para activarlos si se detecta un ataque DDoS en estas capas de alto riesgo.
Como parte de un enfoque de varios niveles para la defensa contra DDoS, las aplicaciones como Exchange Online y SharePoint Online pueden limitar a los usuarios en función de los recursos que consumen. Un ejemplo común es limitar a un usuario o un servicio que realice demasiadas acciones en un breve período de tiempo. Esto proporciona una capa adicional de defensa contra los ataques DDoS.