Estratégia de defesa denial-of-service da Microsoft
Estratégia de defesa de negação de serviço
A estratégia da Microsoft para se defender contra ataques denial-of-service distribuídos (DDoS) com base na rede é exclusiva devido a uma grande quantidade global, permitindo à Microsoft utilizar estratégias e técnicas que não estão disponíveis para a maioria das outras organizações. Além disso, a Microsoft contribui e baseia-se em conhecimentos coletivos agregados por uma extensa rede de informações sobre ameaças, que inclui parceiros da Microsoft e a comunidade de segurança de Internet mais ampla. Estas informações, juntamente com informações recolhidas a partir de serviços online e da base de clientes global da Microsoft, melhoram continuamente o sistema de defesa DDoS da Microsoft que protege todos os recursos dos serviços online da Microsoft.
A pedra angular da estratégia de DDoS da Microsoft é a presença global. A Microsoft interage com fornecedores de Internet, fornecedores de peering (públicos e privados) e empresas privadas em todo o mundo. Este compromisso proporciona à Microsoft uma presença significativa na Internet e permite que a Microsoft absorva ataques numa grande área de superfície
À medida que a capacidade de limite da Microsoft tem crescido ao longo do tempo, a importância dos ataques contra arestas individuais diminuiu substancialmente. Devido a esta diminuição, a Microsoft separou os componentes de deteção e mitigação do respetivo sistema de prevenção de DDoS. A Microsoft implementa sistemas de deteção multicamadas em datacenters regionais para detetar ataques mais próximos dos seus pontos de saturação, mantendo a mitigação global nos nós perifés. Esta estratégia garante que os serviços Microsoft conseguem lidar com vários ataques simultâneos.
Uma das defesas mais eficazes e de baixo custo utilizadas pela Microsoft contra ataques DDoS é a redução das superfícies de ataque de serviço. O tráfego indesejado é removido na margem da rede em vez de analisar, processar e limpar os dados inline.
Na interface com a rede pública, a Microsoft utiliza dispositivos de segurança para fins especiais para firewall, tradução de endereços de rede e funções de filtragem de IP. A Microsoft também utiliza o encaminhamento global de vários caminhos de custo igual (ECMP). O encaminhamento ECMP global é uma arquitetura de rede para garantir que existem vários caminhos globais para chegar a um serviço. Com vários caminhos para cada serviço, os ataques DDoS estão limitados à região a partir da qual o ataque tem origem. As outras regiões não devem ser afetadas pelo ataque, uma vez que os utilizadores finais utilizariam outros caminhos para aceder ao serviço nessas regiões. A Microsoft também desenvolveu sistemas de deteção e correlação DDoS internos que utilizam dados de fluxo, métricas de desempenho e outras informações para detetar rapidamente ataques DDoS.
Para proteger ainda mais os serviços cloud, a Microsoft utiliza o Azure DDoS Protection, um sistema de defesa DDoS incorporado nos processos contínuos de monitorização e teste de penetração do Microsoft Azure. O Azure DDoS Protection foi concebido não só para suportar ataques externos, mas também ataques de outros inquilinos do Azure. O Azure utiliza técnicas de deteção e mitigação padrão, como cookies SYN, limitação de taxa e limites de ligação para proteger contra ataques DDoS. Para suportar proteções automatizadas, uma equipa de resposta a incidentes DDoS entre cargas de trabalho identifica as funções e responsabilidades entre equipas, os critérios para escalamentos e os protocolos de processamento de incidentes entre as equipas afetadas.
A maioria dos ataques DDoS lançados contra destinos encontra-se nas camadas Rede (L3) e Transporte (L4) do modelo Open Systems Interconnection (OSI). Os ataques direcionados para as camadas L3 e L4 foram concebidos para inundar uma interface ou serviço de rede com tráfego de ataque para sobrecarregar os recursos e negar a capacidade de responder a tráfego legítimo. Para proteger contra ataques L3 e L4, as soluções DDoS da Microsoft utilizam dados de amostragem de tráfego de routers de datacenter para salvaguardar a infraestrutura e os destinos dos clientes. Os dados de amostragem de tráfego são analisados por um serviço de monitorização de rede para detetar ataques. Quando um ataque é detetado, os mecanismos de defesa automatizados entram em ação para mitigar o ataque e garantir que o tráfego de ataque direcionado para um cliente não resulta em danos colaterais ou na diminuição da qualidade de serviço da rede para outros clientes.
A Microsoft também tem uma abordagem ofensiva à defesa contra DDoS. Os botnets são uma fonte comum de comando e controlo para realizar ataques DDoS para ampliar ataques e manter o anonimato. A Unidade de Crimes Digitais (DCU) da Microsoft centra-se na identificação, investigação e interrupção da infraestrutura de distribuição e comunicações de software maligno para reduzir o dimensionamento e o impacto das botnets.
Defesas ao nível da aplicação
Os serviços cloud da Microsoft são criados intencionalmente para suportar cargas elevadas, que ajudam a proteger contra ataques DDoS ao nível da aplicação. A arquitetura de escalamento horizontal da Microsoft distribui serviços por vários datacenters globais com isolamento regional e funcionalidades de limitação específicas da carga de trabalho para cargas de trabalho relevantes.
O país ou região de cada cliente, que o administrador do cliente identifica durante a configuração inicial dos serviços, determina a localização de armazenamento primária para os dados desse cliente. Os dados do cliente são replicados entre datacenters redundantes de acordo com uma estratégia primária/de cópia de segurança. Um datacenter principal aloja o software da aplicação juntamente com todos os dados principais do cliente em execução no software. Um datacenter de cópia de segurança fornece ativação pós-falha automática. Se o datacenter primário deixar de funcionar por qualquer motivo, os pedidos são redirecionados para a cópia do software e dos dados do cliente no datacenter de cópia de segurança. A qualquer momento, os dados do cliente podem ser processados no datacenter primário ou de cópia de segurança. A distribuição de dados por vários datacenters reduz a área de superfície afetada no caso de um datacenter ser atacado. Além disso, os serviços no datacenter afetado podem ser rapidamente redirecionados para o datacenter secundário para manter a disponibilidade durante um ataque e redirecionados de volta para o datacenter primário assim que um ataque tiver sido mitigado.
Como outra mitigação contra ataques DDoS, as cargas de trabalho individuais incluem funcionalidades incorporadas que gerem a utilização de recursos. Por exemplo, os mecanismos de limitação no Exchange Online e no SharePoint Online fazem parte de uma abordagem de várias camadas para defender contra ataques DDoS.
A Base de Dados SQL do Azure tem uma camada extra de segurança sob a forma de um serviço de gateway chamado DoSGuard que monitoriza tentativas de início de sessão falhadas com base no endereço IP. Se o limiar para tentativas de início de sessão falhados a partir do mesmo IP for atingido, o DoSGuard bloqueia o endereço durante um período de tempo pré-determinado.