Стратегия защиты от отказа в обслуживании (Майкрософт)
Стратегия защиты от атак типа "отказ в обслуживании"
Стратегия Майкрософт по защите от распределенных атак типа "отказ в обслуживании" (DDoS) на основе сети уникальна из-за большого глобального пространства, что позволяет корпорации Майкрософт использовать стратегии и методы, недоступные большинству других организаций. Кроме того, корпорация Майкрософт вносит свой вклад в создание и использование коллективных знаний, объединенных обширной сетью аналитики угроз, в которую входят партнеры Майкрософт и более широкое сообщество по безопасности в Интернете. Эта аналитика, наряду с информацией, полученной из веб-служб и глобальной клиентской базы Майкрософт, постоянно улучшает систему защиты от атак DDoS Майкрософт, которая защищает все ресурсы веб-служб Майкрософт.
Краеугольным камнем стратегии DDoS Корпорации Майкрософт является глобальное присутствие. Корпорация Майкрософт взаимодействует с поставщиками Интернета, поставщиками пиринга (государственными и частными) и частными корпорациями по всему миру. Такое взаимодействие обеспечивает значительное присутствие корпорации Майкрософт в Интернете и позволяет корпорации Майкрософт поглощать атаки на большой площади
По мере того как емкость пограничных вычислений Майкрософт с течением времени росла, значение атак на отдельные ребра значительно уменьшилось. Из-за этого сокращения корпорация Майкрософт отделила компоненты обнаружения и устранения рисков в своей системе защиты от атак DDoS. Корпорация Майкрософт развертывает многоуровневые системы обнаружения в региональных центрах обработки данных для обнаружения атак ближе к точкам их насыщенности, сохраняя при этом глобальное устранение рисков на пограничных узлах. Эта стратегия гарантирует, что службы Майкрософт могут обрабатывать несколько одновременных атак.
Одним из наиболее эффективных и недорогих средств защиты, используемых корпорацией Майкрософт от атак DDoS, является сокращение направлений атак служб. Нежелательный трафик удаляется на границе сети вместо анализа, обработки и очистки встроенных данных.
В интерфейсе с общедоступной сетью корпорация Майкрософт использует специальные устройства безопасности для брандмауэра, преобразования сетевых адресов и функций фильтрации IP-адресов. Корпорация Майкрософт также использует глобальную маршрутизацию с одинаковыми затратами с несколькими путями (ECMP). Глобальная маршрутизация ECMP — это сетевая платформа, обеспечивающая наличие нескольких глобальных путей для доступа к службе. При наличии нескольких путей к каждой службе атаки DDoS ограничиваются регионом, из которого происходит атака. Другие регионы не должны быть затронуты атакой, так как конечные пользователи будут использовать другие пути для доступа к службе в этих регионах. Корпорация Майкрософт также разработала внутренние системы корреляции и обнаружения DDoS, которые используют данные потока, метрики производительности и другую информацию для быстрого обнаружения атак DDoS.
Для дальнейшей защиты облачных служб корпорация Майкрософт использует защиту от атак DDoS Azure — систему защиты от атак DDoS, встроенную в процессы непрерывного мониторинга и тестирования на проникновение Microsoft Azure. Защита от атак DDoS Azure предназначена не только для того, чтобы противостоять внешним атакам, но и атакам со стороны других клиентов Azure. Azure использует стандартные методы обнаружения и устранения рисков, такие как файлы cookie SYN, ограничение скорости и ограничения подключений для защиты от атак DDoS. Для поддержки автоматической защиты группа реагирования на инциденты DDoS между рабочими нагрузками определяет роли и обязанности между командами, критерии эскалации и протоколы для обработки инцидентов в затронутых командах.
Большинство атак DDoS, запущенных на целевые объекты, выполняются на уровнях Сеть (L3) и Транспорт (L4) модели взаимодействия с открытыми системами (OSI). Атаки, направленные на уровни L3 и L4, предназначены для переполнения сетевого интерфейса или службы трафиком атаки, чтобы перегружать ресурсы и лишать возможности реагировать на законный трафик. Чтобы защититься от атак уровня 3 и L4, решения DDoS Корпорации Майкрософт используют данные выборки трафика с маршрутизаторов центров обработки данных для защиты инфраструктуры и целевых объектов клиентов. Данные выборки трафика анализируются службой мониторинга сети для обнаружения атак. При обнаружении атаки автоматические механизмы защиты запускаются для устранения атаки и обеспечения того, чтобы трафик атаки, направленный на одного клиента, не приводил к дополнительному ущербу или снижению качества обслуживания сети для других клиентов.
Корпорация Майкрософт также использует оскорбительный подход к защите от атак DDoS. Ботнеты — это распространенный источник команд и управления для проведения атак DDoS для усиления атак и сохранения анонимности. Группа майкрософт по цифровым преступлениям (DCU) сосредоточена на выявлении, расследовании и прерывании работы инфраструктуры распространения вредоносных программ и коммуникаций, чтобы уменьшить масштаб и влияние ботсетей.
Защита на уровне приложения
Облачные службы Майкрософт специально созданы для поддержки высокой нагрузки, которая помогает защититься от атак DDoS уровня приложения. Масштабируемая архитектура Майкрософт распределяет службы между несколькими глобальными центрами обработки данных с региональной изоляцией и функциями регулирования для соответствующих рабочих нагрузок.
Каждая страна или регион клиента, которые администратор клиента определяет во время начальной настройки служб, определяет основное расположение хранилища данных этого клиента. Данные клиентов реплицируются между избыточными центрами обработки данных в соответствии с основной стратегией резервного копирования. В основном центре обработки данных размещается прикладное программное обеспечение вместе со всеми основными данными клиентов, запущенными в программном обеспечении. Центр обработки данных резервного копирования обеспечивает автоматическую отработку отказа. Если основной центр обработки данных по какой-либо причине перестает функционировать, запросы перенаправляются на копию данных программного обеспечения и клиента в резервном центре обработки данных. В любой момент данные клиента могут обрабатываться в основном или резервном центре обработки данных. Распределение данных между несколькими центрами обработки данных сокращает затронутую поверхность в случае атаки на один центр обработки данных. Кроме того, службы в затронутом центре обработки данных можно быстро перенаправить в дополнительный центр обработки данных, чтобы обеспечить доступность во время атаки, и перенаправить обратно в основной центр обработки данных после устранения атаки.
В качестве еще одного средства защиты от атак DDoS отдельные рабочие нагрузки включают встроенные функции, управляющие использованием ресурсов. Например, механизмы регулирования в Exchange Online и SharePoint Online являются частью многоуровневого подхода к защите от атак DDoS.
База данных SQL Azure имеет дополнительный уровень безопасности в виде службы шлюза Под названием DoSGuard, которая отслеживает неудачные попытки входа на основе IP-адреса. Если достигнуто пороговое значение для неудачных попыток входа с того же IP-адреса, DoSGuard блокирует адрес на предопределенное время.