Partager via


Stratégie de défense contre le déni de service Microsoft

Stratégie de refus d’attaque de service

La stratégie de Microsoft pour se défendre contre les attaques par déni de service distribué (DDoS) basées sur le réseau est unique en raison d’une grande empreinte mondiale, ce qui permet à Microsoft d’utiliser des stratégies et des techniques qui ne sont pas disponibles pour la plupart des autres organisations. En outre, Microsoft contribue et s’appuie sur les connaissances collectives agrégées par un vaste réseau de renseignement sur les menaces, qui inclut des partenaires Microsoft et la communauté de sécurité Internet plus large. Cette intelligence, ainsi que les informations collectées à partir des services en ligne et de la base de clients mondiale de Microsoft, améliore en permanence le système de défense DDoS de Microsoft qui protège tous les actifs des services en ligne Microsoft.

La pierre angulaire de la stratégie DDoS de Microsoft est la présence mondiale. Microsoft collabore avec des fournisseurs Internet, des fournisseurs de peering (publics et privés) et des sociétés privées dans le monde entier. Cet engagement donne à Microsoft une présence importante sur Internet et permet à Microsoft d’absorber les attaques sur une grande surface

À mesure que la capacité de périphérie de Microsoft a augmenté au fil du temps, l’importance des attaques contre des arêtes individuelles a considérablement diminué. En raison de cette diminution, Microsoft a séparé les composants de détection et d’atténuation de son système de prévention DDoS. Microsoft déploie des systèmes de détection multiniveau dans les centres de données régionaux pour détecter les attaques plus près de leurs points de saturation tout en maintenant une atténuation globale sur les nœuds de périphérie. Cette stratégie garantit que les services Microsoft peuvent gérer plusieurs attaques simultanées.

L’une des défenses les plus efficaces et les moins coûteuses utilisées par Microsoft contre les attaques DDoS est la réduction des surfaces d’attaque de service. Le trafic indésirable est supprimé à la périphérie du réseau au lieu d’analyser, de traiter et de nettoyer les données inline.

À l’interface avec le réseau public, Microsoft utilise des dispositifs de sécurité spéciaux pour les fonctions de pare-feu, de traduction d’adresses réseau et de filtrage IP. Microsoft utilise également le routage ECMP (Global Equal-Cost Multi-Path). Le routage ECMP global est une infrastructure réseau qui permet de s’assurer qu’il existe plusieurs chemins globaux pour atteindre un service. Avec plusieurs chemins d’accès à chaque service, les attaques DDoS sont limitées à la région d’où provient l’attaque. Les autres régions ne doivent pas être affectées par l’attaque, car les utilisateurs finaux utiliseraient d’autres chemins d’accès pour atteindre le service dans ces régions. Microsoft a également développé des systèmes internes de corrélation et de détection DDoS qui utilisent des données de flux, des métriques de performances et d’autres informations pour détecter rapidement les attaques DDoS.

Pour protéger davantage les services cloud, Microsoft utilise Azure DDoS Protection, un système de défense DDoS intégré aux processus de surveillance et de test d’intrusion continus de Microsoft Azure. Azure DDoS Protection est conçu non seulement pour résister aux attaques externes, mais également aux attaques d’autres locataires Azure. Azure utilise des techniques standard de détection et d’atténuation, telles que les cookies SYN, la limitation de débit et les limites de connexion pour se protéger contre les attaques DDoS. Pour prendre en charge les protections automatisées, une équipe de réponse aux incidents DDoS inter-charges de travail identifie les rôles et les responsabilités entre les équipes, les critères pour les escalades et les protocoles de gestion des incidents entre les équipes concernées.

La plupart des attaques DDoS lancées sur des cibles se trouvent dans les couches Réseau (L3) et Transport (L4) du modèle OSI ( Open Systems Interconnexion ). Les attaques dirigées contre les couches L3 et L4 sont conçues pour inonder une interface réseau ou un service de trafic d’attaque pour surcharger les ressources et refuser la capacité de répondre au trafic légitime. Pour vous protéger contre les attaques L3 et L4, les solutions DDoS de Microsoft utilisent des données d’échantillonnage du trafic provenant de routeurs de centre de données pour protéger l’infrastructure et les cibles client. Les données d’échantillonnage du trafic sont analysées par un service de surveillance réseau pour détecter les attaques. Lorsqu’une attaque est détectée, des mécanismes de défense automatisés sont mis en place pour atténuer l’attaque et garantir que le trafic d’attaque dirigé vers un client n’entraîne pas de dommages collatéraux ou une diminution de la qualité du service réseau pour les autres clients.

Microsoft adopte également une approche offensive de la défense DDoS. Les botnets sont une source courante de commande et de contrôle pour mener des attaques DDoS afin d’amplifier les attaques et de maintenir l’anonymat. La DCU (Microsoft Digital Crimes Unit) se concentre sur l’identification, l’investigation et la perturbation de l’infrastructure de distribution et de communication des programmes malveillants afin de réduire l’échelle et l’impact des botnets.

Défenses au niveau de l’application

Les services cloud de Microsoft sont intentionnellement conçus pour prendre en charge des charges élevées, ce qui permet de se protéger contre les attaques DDoS au niveau de l’application. L’architecture avec scale-out de Microsoft distribue les services entre plusieurs centres de données globaux avec une isolation régionale et des fonctionnalités de limitation spécifiques à la charge de travail pour les charges de travail pertinentes.

Le pays ou la région de chaque client, que l’administrateur du client identifie lors de la configuration initiale des services, détermine l’emplacement de stockage principal des données de ce client. Les données client sont répliquées entre les centres de données redondants en fonction d’une stratégie principale/de sauvegarde. Un centre de données principal héberge le logiciel d’application ainsi que toutes les données client principales exécutées sur le logiciel. Un centre de données de sauvegarde fournit un basculement automatique. Si le centre de données principal cesse de fonctionner pour une raison quelconque, les demandes sont redirigées vers la copie du logiciel et des données client dans le centre de données de sauvegarde. À tout moment, les données client peuvent être traitées dans le centre de données principal ou de sauvegarde. La distribution de données entre plusieurs centres de données réduit la surface d’exposition affectée en cas d’attaque d’un centre de données. En outre, les services du centre de données affecté peuvent être rapidement redirigés vers le centre de données secondaire pour maintenir la disponibilité pendant une attaque et redirigés vers le centre de données principal une fois qu’une attaque a été atténuée.

En guise d’atténuation contre les attaques DDoS, les charges de travail individuelles incluent des fonctionnalités intégrées qui gèrent l’utilisation des ressources. Par exemple, les mécanismes de limitation dans Exchange Online et SharePoint Online font partie d’une approche multicouche pour la défense contre les attaques DDoS.

Azure SQL Database dispose d’une couche de sécurité supplémentaire sous la forme d’un service de passerelle appelé DoSGuard qui effectue le suivi des tentatives de connexion ayant échoué en fonction de l’adresse IP. Si le seuil de tentatives de connexion ayant échoué à partir de la même adresse IP est atteint, DoSGuard bloque l’adresse pendant une durée prédéterminée.

Ressources