Recomendar cuándo usar Azure DDoS Protection Standard

  • 7 minutos

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos.

Diagrama que muestra un ejemplo de arquitectura de protección contra la denegación de servicio distribuido de Azure.

Azure DDoS Protection protege en capas de red de capa 3 y 4. Para la protección de aplicaciones web en el nivel 7, deberá agregar protección en el nivel de aplicación mediante una oferta de WAF.

Niveles

Protección de red contra DDoS

Protección de red contra DDoS de Azure, junto con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación DDoS para protegerse de los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual.

Protección de IP contra DDoS

Protección de IP contra DDoS es un modelo de IP de pago por protección. Protección de IP contra DDoS contiene las mismas características de ingeniería principales que Protección de red contra DDoS, pero variará en los siguientes servicios de valor añadido: compatibilidad con respuesta rápida de DDoS, protección de costos y descuentos en WAF.

Principales características

  • Supervisión continua del tráfico: los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS. Azure DDoS Protection mitiga instantánea y automáticamente el ataque, una vez detectado.

  • Optimización en tiempo real adaptable: la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio. El perfil se ajusta a medida que el tráfico cambia con el tiempo.

  • Análisis, métricas y alertas de DDoS Protection: Azure DDoS Protection aplica tres políticas de mitigación autoajustadas (TCP SYN, TCP y UDP) para cada IP pública del recurso protegido en la red virtual que tiene habilitado el DDoS. Los umbrales de las directivas se configuran automáticamente con el sistema de generación de perfiles de tráfico de red basado en aprendizaje automático. La mitigación de DDoS se produce para una dirección IP que está siendo atacada solo cuando se supera el umbral de la directiva.

    • Análisis de ataques: ofrece informes detallados en incrementos de cinco minutos durante un ataque y un resumen completo después de que el ataque termine. Transmita los registros del flujo de mitigación a Microsoft Sentinel o a un sistema de administración de eventos e información de seguridad (SIEM) sin conexión para supervisar el sistema casi en tiempo real durante un ataque.
    • Métricas de ataques: con Azure Monitor se puede acceder a un resumen de métricas de cada ataque.
    • Alertas de ataques: las alertas se pueden configurar en el inicio y la detención de un ataque y a lo largo de la duración del ataque mediante métricas de ataque integradas. Las alertas se integran en el software operativo, como los registros de Microsoft Azure Monitor, Splunk, Azure Storage, el correo electrónico y Azure Portal.

  • Respuesta rápida de Azure DDoS: Durante un ataque activo, los clientes tienen acceso al equipo de Respuesta rápida de DDoS (DRR), que puede ayudar con la investigación de ataques durante un ataque y con el análisis posterior al ataque.

  • Integración de plataforma nativa: integrado de forma nativa en Azure. Incluye la configuración a través de Azure Portal. Azure DDoS Protection entiende sus recursos y la configuración de los mismos.

  • Protección inmediata: La configuración simplificada protege de inmediato todos los recursos de una red virtual desde el momento en que se habilita la Protección de red de DDoS. No se requiere intervención ni definición del usuario. De forma similar, la configuración simplificada protege inmediatamente un recurso de DIRECCIÓN IP pública cuando DDoS IP Protection está habilitado para él.

  • Protección de varias capas: Cuando se implementa con un firewall de aplicaciones web (WAF), Azure DDoS Protection protege tanto en la capa de red (Capas 3 y 4, que ofrece Azure DDoS Protection) como en la capa de la aplicación (Capa 7, que ofrece un WAF).

  • Escala de mitigación amplia: Se pueden mitigar todos los vectores de ataque L3/L4 con capacidad global para protegerse contra los ataques DDoS más conocidos.

  • Garantía de costo: reciba crédito de servicio de escalabilidad horizontal de aplicaciones y transferencia de datos para los costos de recursos en los que se incurre como resultado de ataques DDoS documentados.

Architecture

Azure DDoS Protection se ha diseñado para los servicios que se implementan en una red virtual. Para otros servicios, se aplica la protección contra DDoS de nivel de infraestructura predeterminada, que se defenderá frente a ataques comunes de nivel de red.

Precios

En el caso de la protección de redes DDoS, bajo un inquilino, un único plan de protección DDoS puede utilizarse en varias suscripciones, por lo que no es necesario crear más de un plan de protección DDoS. Para DDoS IP Protection, no es necesario crear un plan de protección contra DDoS. Los clientes pueden habilitar Protección de IP contra DDoS en cualquier recurso de IP pública.

Procedimientos recomendados

Maximice la eficacia de la estrategia de protección contra DDoS y mitigación siguiendo estos procedimientos recomendados:

  • Diseñe las aplicaciones y la infraestructura teniendo en cuenta la redundancia y la resistencia.
  • Implemente un enfoque de seguridad multicapa, incluida la red, la aplicación y la protección de datos.
  • Prepare un plan de respuesta a incidentes para garantizar una respuesta coordinada a los ataques DDoS.