Descrivere la protezione DDoS di Azure

  • 4 minuti

Qualsiasi azienda, di qualsiasi dimensione, può diventare il bersaglio di un grave attacco alla rete. Questi attacchi possono avere lo scopo di lanciare un messaggio o essere sferrati per il desiderio di sfida dell'autore dell'attacco.

Attacchi DDoS (Distributed Denial of Service)

L'obiettivo di un attacco DDoS (Distributed Denial of Service) è sovraccaricare le risorse nelle applicazioni e nei server, in modo che smettano di rispondere o siano lenti per gli utenti autorizzati. Un attacco DDoS in genere è destinato a qualsiasi dispositivo pubblico accessibile tramite Internet.

I tre tipi di attacco DDoS più frequenti sono:

  • Attacchi volumetrici: si tratta di attacchi basati sul volume che inondano il livello rete con traffico apparentemente legittimo, sovraccaricando la larghezza di banda disponibile. Il flusso del traffico legittimo viene così interrotto.
  • Attacchi che sfruttano i protocolli: questi attacchi rendono inaccessibile una destinazione esaurendo le risorse del server con richieste di protocollo false che sfruttano i punti deboli nei protocolli di livello 3 (rete) e di livello 4 (trasporto).
  • Attacchi a livello di risorsa (applicazione): questi attacchi colpiscono i pacchetti di applicazioni Web per interrompere la trasmissione dei dati tra host.

Che cos'è Protezione DDoS di Azure?

Il servizio Protezione DDoS di Azure è progettato per aiutare a proteggere le applicazioni e i server analizzando il traffico di rete ed eliminando qualsiasi elemento simile a un attacco DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Il servizio Protezione DDoS di Azure protegge a livello 3 (livello rete) e livello 4 (livello trasporto). I vantaggi chiave offerti includono:

  • Monitoraggio del traffico sempre attivo: i modelli di traffico dell'applicazione vengono monitorati 24 ore su 24, 7 giorni su 7, alla ricerca di indicatori di attacchi DDoS. Il servizio Protezione DDoS di Azure mitiga istantaneamente e automaticamente gli attacchi non appena vengono rilevati. Nel quadro della mitigazione, il traffico verso la risorsa protetta viene reindirizzato dal servizio Protezione DDoS e vengono eseguiti diversi controlli. Protezione DDoS di Azure rimuove il traffico degli attacchi e inoltra il traffico rimanente alla destinazione prevista. Entro pochi minuti dal rilevamento degli attacchi si riceve una notifica in base alle metriche di Monitoraggio di Azure.
  • Ottimizzazione adattiva in tempo reale: la profilatura intelligente del traffico apprende il modello di traffico dell'applicazione nel tempo e seleziona e aggiorna il profilo più adatto per il servizio. Il profilo viene modificato in base ai cambiamenti del traffico nel tempo.
  • Dati di telemetria, monitoraggio e avvisi di protezione DDoS: Protezione DDoS di Azure espone dati di telemetria avanzati tramite Monitoraggio di Azure. È possibile configurare gli avvisi per qualsiasi metrica di Monitoraggio di Azure usata da Protezione DDoS. È possibile integrare la registrazione con Hub eventi di Azure, log di Monitoraggio di Azure e Archiviazione di Azure per l'analisi avanzata tramite l'interfaccia di diagnostica di Monitoraggio di Azure.

Protezione DDoS di Azure supporta due tipi di livello, protezione IP DDoS e Protezione di rete DDoS. Il livello è configurato nel portale di Azure quando si configura Protezione DDoS di Azure.

  • Protezione della rete DDoS: il servizio Protezione della rete DDoS (disponibile come SKU), combinato con le procedure consigliate per la progettazione dell'applicazione, offre funzionalità di mitigazione DDoS avanzate dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente e non richiede alcuna modifica di applicazioni o risorse.
  • Protezione IP DDoS: un modello IP con pagamento in base al consumo. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione della rete DDoS, ma differisce in quanto non include servizi a valore aggiunto, ad esempio il supporto rapido di risposta DDoS, la protezione dei costi e gli sconti su Web application firewall (WAF) che fanno parte di Protezione della rete DDoS. Per un elenco completo delle funzionalità e dei livelli corrispondenti, vedere Informazioni sul livello protezione DDoS di Azure

Una domanda comune riguarda il perché è consigliabile aggiungere servizi di Protezione DDoS se i servizi in esecuzione in Azure sono intrinsecamente protetti dalla protezione DDoS a livello di infrastruttura predefinita. Il motivo è che la protezione dell'infrastruttura ha una soglia superiore rispetto alla maggior parte delle applicazioni e non fornisce dati di telemetria o avvisi. Quindi, mentre il volume di traffico può essere percepito come innocuo dalla piattaforma, può essere devastante per l'applicazione che lo riceve. Tramite l'onboarding nel servizio Protezione DDoS di Azure, l'applicazione ottiene un monitoraggio dedicato per rilevare gli attacchi e le soglie specifiche dell'applicazione. Un servizio verrà protetto con un profilo ottimizzato per il volume di traffico previsto, offrendo una difesa più efficiente contro gli attacchi DDoS.

Come accennato in precedenza, Protezione DDos di Azure protegge a livello 3 e livello 4. Per la protezione delle applicazioni Web al livello 7 (livello applicazione), è necessario aggiungere la protezione al livello applicazione usando un'offerta di Web application firewall (WAF), descritta in un'unità successiva di questo modulo.