Implementación de Azure DDoS Protection mediante Azure Portal

  • 15 minutos

Denegación de servicio distribuido (DDoS)

Un ataque por denegación de servicio (DoS) es un ataque que tiene el objetivo de impedir el acceso a servicios o sistemas. Un ataque DoS se origina desde una ubicación. Un ataque por denegación de servicio distribuido (DDoS) se origina en varias redes y sistemas.

Los ataques DDoS son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una API o de una aplicación, haciendo que esta no esté disponible para los usuarios legítimos. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.

Implementación de DDoS

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS. Azure DDoS Protection proporciona los siguientes niveles de servicio:

  • Protección de red. Proporciona funcionalidades de mitigación además de la protección de la infraestructura contra DDoS que se ajustan específicamente a los recursos de Azure Virtual Network. Azure DDoS Protection es fácil de habilitar y no requiere ningún cambio en la aplicación. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales. La telemetría en tiempo real está disponible a través de las vistas de Azure Monitor durante un ataque y para el historial. En la configuración de diagnóstico, hay disponibles análisis avanzados de mitigación de ataques. Se puede agregar protección en la capa de aplicación mediante el firewall de aplicaciones web (WAF) de Azure Application Gateway. Se proporciona protección para direcciones IP públicas de Azure IPv4 e IPv6.

  • Protección de IP. Protección de IP contra DDoS es un modelo de IP de pago por protección. Protección de IP contra DDoS contiene las mismas características de ingeniería principales que Protección de red contra DDoS. Sin embargo, hay servicios de valor añadido, como la compatibilidad con la respuesta rápida ante DDoS, la protección de costos y los descuentos en WAF.

DDoS Protection protege los recursos de una red virtual. La protección incluye direcciones IP públicas de máquina virtual, equilibradores de carga y puertas de enlace de aplicaciones. Cuando se combina con el WAF de Application Gateway, DDoS Protection puede proporcionar funcionalidades completas de mitigación desde la capa 3 hasta la 7.

Tipos de ataques DDoS

DDoS Protection puede mitigar los tipos de ataques siguientes.

  • Ataques volumétricos. estos ataques desbordan la capa de la red con una gran cantidad de tráfico aparentemente legítimo. Incluyen ataques de tipo "flood" de UDP, de amplificación y otros ataques de tipo "flood" de paquetes falsificados.

  • Ataques de protocolo. Estos ataques vuelven un destino inaccesible al aprovechar una vulnerabilidad en la pila de protocolo de capa 3 y 4. Incluyen ataques de desbordamiento de SYN, ataques de reflejo y otros ataques de protocolo.

  • Ataques de la capa de recurso (aplicación). estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts. Los ataques incluyen infracciones del protocolo HTTP, inyección de código SQL, scripting entre sitios y otros ataques de capa 7.

Características de Azure DDoS Protection

Entre las características de Azure DDoS Protection se incluyen las siguientes:

  • Integración de plataforma nativa. Integrado de manera nativa en Azure y se configura mediante el portal.

  • Protección llave en mano. Configuración simplificada que protege todos los recursos de inmediato.

  • Supervisión continua del tráfico. los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS.

  • Ajuste adaptable. Generación de perfiles y ajuste al tráfico del servicio.

  • Análisis de ataques. ofrece informes detallados en incrementos de cinco minutos durante un ataque y un resumen completo después de que el ataque termine.

  • Métricas y alertas de ataques. con Azure Monitor se puede acceder a un resumen de métricas de cada ataque. las alertas se pueden configurar en el inicio y la detención de un ataque y a lo largo de la duración del ataque mediante métricas de ataque integradas.

  • Protección multicapa. Cuando se implementa con un WAF, DDoS Protection protege tanto en la capa de red como en la capa de aplicación.

Veamos con más detalle algunas características clave de DDoS Protection.

Supervisión continua del tráfico

DDoS Protection supervisa el uso de tráfico real y lo compara constantemente con los umbrales definidos en la directiva de DDoS. Cuando se supera el umbral de tráfico, se inicia automáticamente la mitigación de DDoS. Cuando el tráfico vuelve a estar por debajo del umbral, se detiene la mitigación.

Diagrama que ilustra la supervisión de tráfico siempre activa con la protección contra DDoS.

Durante la mitigación, se redirige el tráfico enviado al recurso protegido y se realizan varias comprobaciones.

  • Asegurarse de que los paquetes se ajustan a las especificaciones de Internet y no tienen un formato incorrecto.
  • Interactúe con el cliente para determinar si el tráfico es un posible paquete falsificado (por ejemplo, Autorización de SYN o Cookie de SYN o colocando un paquete para que el origen lo retransmita).
  • Limitar la velocidad de los paquetes si no se puede realizar ningún otro método de cumplimiento.

El servicio Protección contra DDoS elimina el tráfico del ataque y reenvía el tráfico restante al destino previsto. En un intervalo de pocos minutos tras la detección del ataque, se recibe una notificación mediante métricas de Azure Monitor. Si configura el registro de datos de telemetría de DDoS Protection, puede escribir los registros en opciones disponibles para su análisis posterior. Los datos métricos de Azure Monitor para DDoS Protection se conservan actualmente durante 30 días.

Ajuste adaptable en tiempo real

El servicio Azure DDoS Protection ayuda a proteger a los clientes y evitar impactos en otros clientes. Por ejemplo, si se aprovisiona un servicio para un volumen típico de tráfico de entrada legítimo que es inferior a la tasa desencadenante de la directiva de DDoS Protection para toda la infraestructura, un ataque de DDoS en los recursos de ese cliente podría pasar desapercibido. Por lo general, la complejidad de los ataques recientes (por ejemplo, DDoS multivector), así como los comportamientos de los inquilinos, específicos de cada aplicación, hacen necesarias directivas de protección personalizadas para cada cliente.

Diagrama que ilustra el ajuste adaptable en tiempo real en la protección contra DDoS.

Métricas, alertas y registros de ataques

DDoS Protection expone datos de telemetría detallados a través de la herramienta de Azure Monitor. También puede configurar alertas para todas las métricas de Azure Monitor que usa DDoS Protection. El registro se puede integrar con Splunk (Azure Event Hubs), registros de Azure Monitor y Azure Storage para realizar análisis avanzados con la interfaz de Azure Monitor Diagnostics.

En Azure Portal, seleccione Supervisar > Métricas. En el panel Métricas, seleccione el grupo de recursos, un tipo de recurso de Dirección IP pública y la dirección IP pública de Azure. Las métricas de DDoS estarán visibles en el panel Métricas disponibles.

DDoS Protection aplica tres directivas de mitigación de ajuste automático (SYN, TCP y UDP) a cada IP pública del recurso protegido, en la red virtual que tiene habilitada la protección contra DDoS. Para ver los umbrales de la directiva, seleccione las métricas de paquetes de entrada [SYN/TCP/UDP] para desencadenar la mitigación de DDoS.

Recorte de pantalla del gráfico que muestra las métricas de directiva de mitigación de DDoS Protection.

Los umbrales de las directivas se configuran automáticamente con el sistema de generación de perfiles de tráfico de red basado en aprendizaje automático. La mitigación de DDoS se produce para una dirección IP que está siendo atacada solo cuando se supera el umbral de la directiva.

Si la IP pública está bajo ataque, el valor de la métrica Under DDoS attack or not (Bajo ataque DDoS o no) cambia a 1, porque la protección contra DDoS mitiga el tráfico del ataque.

Recorte de pantalla de un gráfico que muestra la métrica

Protección en varios niveles

En el caso específico de los ataques a recursos en la capa de aplicación, debe configurar un WAF para ayudar a proteger las aplicaciones web. Un WAF inspecciona el tráfico web entrante para bloquear las inyecciones de SQL, los scripts entre sitios, DDoS y otros ataques al nivel 7. Azure ofrece WAF como una característica de Application Gateway para ofrecer una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad comunes. Hay otras ofertas de WAF disponibles de asociados de Azure en Azure Marketplace.

Diagrama que ilustra el firewall de aplicaciones web de Application Gateway.

Incluso los firewalls de aplicaciones web son susceptibles de sufrir ataques de agotamiento del estado y volumétricos. Por lo tanto, habilite DDoS Protection en la red virtual del WAF para ayudar a proteger frente a ataques volumétricos y de protocolo.

Implementación de un plan de protección contra DDoS

Las fases clave de la implementación de un plan de DDoS Protection son las siguientes:

  • Crear un grupo de recursos
  • Creación de un plan de protección contra DDoS
  • Habilitación de la protección contra DDoS en una red virtual o una dirección IP nueva o existente
  • Configuración de la telemetría de DDoS
  • Configuración de los registros de diagnóstico de DDoS
  • Configuración de las alertas de DDoS
  • Ejecute un ataque DDoS de prueba y supervise los resultados.

Comprobar los conocimientos

1.

¿Qué síntoma indica un ataque DDoS?

2.

¿Qué acción se debe realizar al estar bajo un ataque DDoS?