Implantar a Proteção contra DDoS do Azure usando o portal do Azure

15 minutos

Negação de serviço distribuída (DDoS)

Um ataque de negação de serviço (DoS) é um ataque que tem o objetivo de impedir o acesso a serviços ou sistemas. Um ataque DoS tem origem em um local. Um ataque distribuído de negação de serviço (DDoS) tem origem em várias redes e sistemas.

Os ataques DDoS são algumas das maiores preocupações de disponibilidade e segurança enfrentadas pelos clientes que estão movendo seus aplicativos para a nuvem. Um ataque DDoS tenta drenar as APIs ou os recursos de um aplicativo, tornando esse aplicativo indisponível para usuários legítimos. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.

Implementação de DDoS

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece defesa contra ataques DDoS. O Azure DDoS Protection fornece os seguintes escalões de serviço:

Proteção de rede. Fornece recursos de mitigação sobre a Proteção de infraestrutura DDoS que são ajustados especificamente aos recursos da Rede Virtual do Azure. A Proteção contra DDoS do Azure é simples de habilitar e não requer alterações no aplicativo. As políticas são aplicadas aos endereços IP públicos associados aos recursos implementados nas redes virtuais. A telemetria em tempo real está disponível através das vistas do Azure Monitor durante um ataque e para o histórico. Análises avançadas de mitigação de ataques estão disponíveis por meio de configurações de diagnóstico. A proteção da camada de aplicativo pode ser adicionada por meio do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure (WAF). A proteção é fornecida para endereços IP públicos do Azure IPv4 e IPv6.
Proteção de PI. DDoS IP Protection é um modelo de IP pago por protegido. A Proteção IP DDoS contém os mesmos recursos principais de engenharia que a Proteção de Rede DDoS. No entanto, existem serviços de valor agregado, como suporte de resposta rápida DDoS, proteção de custos e descontos no WAF.

A Proteção contra DDoS protege recursos em uma rede virtual. A proteção inclui endereços IP públicos de máquinas virtuais, balanceadores de carga e gateways de aplicativos. Quando acoplada ao WAF do Application Gateway, a Proteção contra DDoS pode fornecer recursos completos de mitigação de camada 3 a camada 7.

Tipos de ataques DDoS

A Proteção contra DDoS pode atenuar os seguintes tipos de ataques.

Ataques volumétricos. Esses ataques inundam a camada de rede com uma quantidade substancial de tráfego aparentemente legítimo. Eles incluem inundações UDP, inundações de amplificação e outras inundações de pacotes falsificados.
Ataques de protocolo. Estes ataques tornam o seu alvo inacessível ao explorar pontos fracos nas camadas 3 e 4 da pilha de protocolos. Os ataques incluem ataques de inundação SYN, ataques de reflexão e outros ataques de protocolo.
Ataques de camada de recurso (aplicativo). Esses ataques têm como alvo pacotes de aplicativos da Web, para interromper a transmissão de dados entre hosts. Os ataques incluem violações do protocolo HTTP, injeção de SQL, scripts entre sites e outros ataques de camada 7.

Recursos de proteção contra DDoS do Azure

Alguns dos recursos de proteção contra DDoS do Azure incluem:

Integração de plataforma nativa. Integrado nativamente no Azure e configurado através do portal.
Proteção chave na mão. Configuração simplificada protegendo todos os recursos imediatamente.
Monitoramento de tráfego sempre ativo. Os padrões de tráfego da sua aplicação são monitorizados 24 horas por dia, 7 dias por semana, procurando indicadores de ataques DDoS.
Afinação adaptativa. Definição de perfis e ajuste ao tráfego do seu serviço.
Análise de ataques. Obtenha relatórios detalhados, em incrementos de cinco minutos durante um ataque, bem como um resumo completo após o ataque.
Métricas e alertas de ataque. As métricas resumidas de cada ataque podem ser acessadas por meio do Azure Monitor. Os alertas podem ser configurados no início e na interrupção de um ataque e ao longo da duração do ataque, usando métricas de ataque integradas.
Proteção multicamadas. Quando implantada com um WAF, a Proteção contra DDoS protege tanto na camada de rede quanto na camada de aplicativo.

Vamos examinar com um pouco mais de detalhes alguns dos principais recursos da Proteção contra DDoS.

Monitoramento de tráfego sempre ativo

A Proteção contra DDoS monitora a utilização real do tráfego e a compara constantemente com os limites definidos na Política de DDoS. Quando o limite de tráfego é excedido, a mitigação de DDoS é iniciada automaticamente. Quando o tráfego retorna abaixo dos limites, a mitigação é interrompida.

Diagrama ilustrando o monitoramento de tráfego sempre ativo com proteção contra DDoS.

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado e várias verificações são executadas.

Certifique-se de que os pacotes estão em conformidade com as especificações da Internet e não estão malformados.
Interaja com o cliente para determinar se o tráfego é potencialmente um pacote falsificado (por exemplo: SYN Auth ou SYN Cookie ou soltando um pacote para a fonte retransmiti-lo).
Pacotes de limite de taxa se nenhum outro método de imposição puder ser executado.

A proteção contra DDoS descarta o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Dentro de alguns minutos após a deteção de ataque, você será notificado usando as métricas do Azure Monitor. Ao configurar o registro em log na telemetria de Proteção contra DDoS, você pode gravar os logs nas opções disponíveis para análise futura. Os dados métricos no Azure Monitor for DDoS Protection são retidos por 30 dias.

Ajuste adaptativo em tempo real

O serviço Proteção contra DDoS do Azure ajuda a proteger os clientes e a evitar impactos para outros clientes. Por exemplo, se um serviço for provisionado para um volume típico de tráfego de entrada legítimo menor do que a taxa de gatilho da política de Proteção contra DDoS em toda a infraestrutura, um ataque DDoS aos recursos desse cliente poderá passar despercebido. De um modo mais geral, a complexidade dos ataques recentes (por exemplo, DDoS multivetoriais) e os comportamentos específicos da aplicação dos inquilinos exigem políticas de proteção personalizadas por cliente.

Diagrama ilustrando o ajuste adaptativo em tempo real na proteção contra DDoS.

Métricas, alertas e logs de ataque

A Proteção contra DDoS expõe telemetria avançada por meio da ferramenta Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor usadas pela Proteção contra DDoS. Pode integrar o registo com o Splunk (Hubs de Eventos do Azure), os registos do Azure Monitor e o Armazenamento do Azure para análise avançada através da interface de Diagnóstico do Azure Monitor.

No portal do Azure, selecione Monitorar > métricas. No painel Métricas, selecione o grupo de recursos, selecione um tipo de recurso de Endereço IP Público e selecione seu endereço IP público do Azure. As métricas DDoS são visíveis no painel Métricas disponíveis.

A Proteção contra DDoS aplica três políticas de mitigação autotuned (SYN, TCP e UDP) para cada IP público do recurso protegido, na rede virtual que tem DDoS habilitado. Você pode exibir os limites de política selecionando os pacotes de entrada [SYN/TCP/UDP] para acionar métricas de mitigação de DDoS.

Captura de tela do gráfico que exibe as métricas da política de mitigação da Proteção contra DDoS.

Os limites de política são configurados automaticamente por meio do perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política é excedido.

Se o endereço IP público estiver sob ataque, o valor da métrica Sob ataque DDoS ou não muda para 1 à medida que a Proteção contra DDoS executa a mitigação do tráfego de ataque.

Captura de tela de um gráfico que exibe a métrica para 'Sob ataque DDoS ou não'.

Proteção de várias camadas

Específico para ataques de recursos na camada de aplicativo, você deve configurar um WAF para ajudar a proteger aplicativos Web. Um WAF inspeciona o tráfego da Web de entrada para bloquear injeções de SQL, scripts entre sites, DDoS e outros ataques de Camada 7. O Azure fornece o WAF como um recurso do Application Gateway para proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns. Existem outras ofertas WAF disponíveis de parceiros do Azure no Azure Marketplace.

Diagrama ilustrando o Web Application Firewall Application Gateway.

Até mesmo firewalls de aplicativos da Web são suscetíveis a ataques volumétricos e de esgotamento de estado. Portanto, habilite a Proteção contra DDoS na rede virtual WAF para ajudar a proteger contra ataques volumétricos e de protocolo.

Implantando um plano de proteção contra DDoS

Os principais estágios da implantação de um plano de proteção contra DDoS são os seguintes:

Criar um grupo de recursos
Criar um plano de proteção contra DDoS
Habilite a proteção contra DDoS em uma rede virtual ou endereço IP novo ou existente
Configurar telemetria DDoS
Configurar logs de diagnóstico de DDoS
Configurar alertas DDoS
Execute um ataque DDoS de teste e monitore os resultados.

Verifique o seu conhecimento

Qual sintoma indica um ataque DDoS?

Um aumento inexplicável de pedidos.

Aplicação em execução lenta.

HTTP 400 Solicitação incorreta

Que ação devemos tomar quando estamos sob ataque DDoS?

Monitore alertas e analise o perfil de ataque.

Expanda seus recursos do Azure para manter os sistemas em execução.

Envie um e-mail para sua equipe de TI.

Tem de responder a todas as questões antes de verificar o seu trabalho.