O que é a Proteção contra DDoS do Azure?

  • 12 minutos

A Microsoft oferece a proteção contra DDoS da infraestrutura a todos os clientes do Azure gratuitamente. A Microsoft também oferece serviços adicionais o serviço Proteção contra DDoS.

Proteção da Infraestrutura contra DDoS do Azure ou Proteção contra DDoS do Azure

Você está investigando os benefícios da Contoso em atualizar para a Proteção contra DDoS do Azure para seus serviços em execução no Azure. A motivação para avaliar essa opção de atualização, no consenso de especialistas em segurança de DDoS, são a frequência e a sofisticação cada vez maiores dos ataques de DDoS.

O tráfego do ataque não precisa estar no intervalo de terabits por segundo para derrubar um aplicativo. Qualquer ataque direcionado específico pode afetar a disponibilidade de um aplicativo em execução no Azure, que está recebendo tráfego da Internet pública.

O que é um ataque de DDoS?

Em um ataque de DDoS, um hacker intencionalmente inunda o sistema, como um servidor, um site ou outro recurso de rede, com tráfego falso. Os computadores são conectados em uma rede de comando e controle coordenada chamada de botnet. Um terceiro mal-intencionado controla a botnet para iniciar o ataque de DDoS. A atividade dispara uma negação de serviços a usuários legítimos sobrecarregando os recursos do serviço. Os ataques de DDoS podem ser direcionados a qualquer ponto de extremidade publicamente acessível pela Internet.

A imagem a seguir descreve um ataque típico de DDoS de uma botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Alguns ataques de DDoS comuns são:

  • Ataques volumétricos. Esses ataques usam vários sistemas infectados para inundar a camada de rede com uma quantidade significativa de tráfego aparentemente legítimo. Os vários sistemas comprometidos normalmente fazem parte de uma botnet criminosa. Os tipos de ataques de DDoS volumétricos são:

    • Inundações de UDP. O invasor envia pacotes UDP, normalmente grandes, para um destino ou para portas aleatórias. Os sistemas de ataque podem facilmente falsificar seu endereço IP, pois o UDP é sem conexão.
    • Inundações de amplificação. Um servidor DNS é sobrecarregado com solicitações aparentemente legítimas para o serviço. A meta do invasor é saturar o serviço DNS esgotando a capacidade da largura de banda.
    • Outras inundações de pacote falsificado. Enviar grandes quantidades de tráfego falso para um recurso.

  • Ataques de protocolo. Esses ataques visam a camada 3 ou 4 do modelo OSI. Eles exploram um ponto fraco no TCP. Um exemplo de ataque de DDoS baseado em protocolo é a inundação TCP SYN, que explora parte do handshake de três vias. O invasor envia uma sucessão de solicitações TCP SYN, ignorando a resposta SYN+ACK. Esse ataque é direcionado para um alvo com a meta de sobrecarregá-lo e fazer com que ele não responda.

  • Ataques de camada de recursos (aplicativo). Os ataques de recursos visam a camada "superior" no modelo OSI para interromper a transmissão de dados entre hosts. Esses ataques de camada 7 incluem a exploração do protocolo HTTP, ataques de injeção de SQL, cross-site scripting e outros ataques de aplicativos.

Ofertas da Proteção contra DDoS do Azure

A proteção contra DDoS é semelhante a um sistema de backup seguro e funcional. O valor de um backup para sua organização não é óbvio até que o backup seja necessário. A proteção contra DDoS, como um backup, fornece mitigação de risco contra possíveis ameaças.

Proteção da Infraestrutura contra DDoS

O Azure fornece proteção contínua contra ataques de DDoS. A Proteção contra DDoS não armazena os dados do cliente. Sem custo adicional, a Proteção de Infraestrutura contra DDoS do Azure protege todos os serviços do Azure que usam endereços IPv4 e IPv6 públicos. Esse serviço de proteção contra DDoS ajuda a proteger todos os serviços do Azure, incluindo serviços de PaaS (plataforma como serviço), como o DNS do Azure. A Proteção da Infraestrutura contra DDoS não exige nenhuma alteração nas configurações do usuário ou no aplicativo do usuário.

A Proteção da Infraestrutura de DDoS do Azure fornece:

  • Monitoramento de tráfego ativo e detecção sempre ativada. A Proteção da Infraestrutura contra DDoS monitora os padrões de tráfego do aplicativo o dia todo, todos os dias, procurando indicadores de DDoS.
  • Mitigação automática de ataque. Depois que o ataque é detectado, ele é mitigado.
  • O SLA (contrato de nível de serviço) da Proteção da Infraestrutura contra DDoS, que se baseia na região do Azure com suporte de maior empenho.

Os serviços em execução no Azure são inerentemente protegidos pela proteção contra DDoS no nível da infraestrutura padrão. No entanto, como a proteção da infraestrutura tem um limite muito maior do que é suportado pela maioria dos aplicativos e não fornece telemetria nem alertas, embora a plataforma talvez perceba um volume de tráfego como inofensivo, ele pode ser devastador para o aplicativo que o recebe.

Ao realizar a integração com o serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detectar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil que é ajustado para seu volume de tráfego esperado, fornecendo uma defesa muito mais rígida contra ataques de DDoS.

Proteção de Rede contra DDoS do Azure

A Proteção de Rede contra DDoS fornece recursos aprimorados de mitigação de DDoS para a defesa contra DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.

A seguinte lista descreve os recursos e os benefícios da Proteção de Rede contra DDoS:

  • Proteção para 100 recursos de IP públicos.
  • Ela oferece a criação de perfil de tráfego inteligente, sobre a qual você aprenderá na próxima unidade.
  • Ela fornece integração nativa com o portal do Azure para instalação e implantação. Esse nível de integração permite que a Proteção contra DDoS identifique os recursos do Azure e suas configurações.
  • Quando a Proteção de Rede contra DDoS Standard está habilitada para uma rede virtual, todos os recursos nessa rede são protegidos automaticamente. Não é necessário realizar nenhum procedimento administrativo adicional.
  • Os recursos de rede estão sob o monitoramento constante do tráfego quanto a indícios de um ataque de DDoS. Ao detectar um ataque, a Proteção de Rede contra DDoS Standard intervém para mitigá-lo automaticamente.
  • Ela ajuda a proteger as camadas 3 e 4 da camada de rede. Além disso, ela também fornece proteção de aplicativo (camada 7) com o Firewall de Aplicativo Web do Azure, que está incluso com o Gateway do Azure. Como o Gateway do Azure e o Firewall de Aplicativo Web são voltados para a Internet, a Proteção contra DDoS protege os adaptadores de rede desses recursos. Essa estratégia de proteção é um exemplo de proteção de várias camadas ou de defesa profunda.
  • Ela fornece relatórios analíticos detalhados sobre o ataque durante o ataque a intervalos de cinco minutos e um relatório após a ação para um resumo completo do evento quando o ataque termina.
  • Ela inclui suporte para a integração de logs de mitigação com o Microsoft Defender para Nuvem, o Microsoft Sentinel ou um sistema de SIEM (gerenciamento de evento e informações de segurança) offline para monitoramento quase em tempo real durante um ataque.
  • O Azure Monitor coleta a telemetria de monitoramento da Proteção de Rede contra DDoS para acesso às métricas de ataque resumidas.

Proteção de IP contra DDoS do Azure

A Proteção de IP contra DDoS é um modelo de pagamento por IP protegido. A Proteção de IP contra DDoS contém os mesmos recursos principais de engenharia da Proteção de Rede contra DDoS, mas se diferencia nos seguintes serviços de valor agregado:

  • Suporte para resposta rápida a DDoS
  • Proteção de custo
  • Descontos no WAF.

Serviços de valor agregado

A garantia de custo e o suporte para resposta rápida a DDoS são outros dois recursos importantes da Proteção de Rede contra DDoS Standard.

Garantia de custo

No início de um ataque de DDoS, o aumento da largura de banda da rede e/ou o dimensionamento da contagem de máquinas virtuais, em geral, dispara a expansão automática do serviço em execução no Azure.

Observação

Os clientes que estão integrados à Proteção contra DDoS recebem um crédito de serviço para a expansão do aplicativo e o custo de largura de banda da rede gerado durante um DDoS documentado. A Microsoft fornece esse crédito diretamente.

Suporte para resposta rápida a DDoS

A Microsoft criou uma equipe de resposta rápida da Proteção contra DDoS. Você pode entrar em contato com essa equipe para obter ajuda durante um ataque de DDoS e solicitar uma análise após o ataque. A equipe de resposta rápida da Proteção contra DDoS segue o modelo de suporte do Azure Rapid Response.

Você pode notificar a equipe abrindo uma solicitação de suporte no portal do Azure. Entre em contato com a equipe se:

  • Sua empresa está planejando um evento virtual que deve aumentar significativamente o tráfego de rede.
  • Há um ataque que está degradando seriamente o desempenho de um sistema de negócios crítico protegido.
  • Sua equipe de segurança determina que os recursos protegidos estão sob ataque, mas a Proteção contra DDoS não está atenuando o ataque com eficiência.