Что такое Защита от атак DDoS Azure?

  • 12 мин

Корпорация Майкрософт предоставляет защиту инфраструктуры DDoS всем клиентам Azure бесплатно. Корпорация Майкрософт также предлагает дополнительные службы в службе защиты от атак DDoS.

Защита инфраструктуры DDoS Azure или защита от атак DDoS Azure

Вы изучаете преимущества для компании Contoso для обновления до защиты от атак DDoS Azure для служб, работающих в Azure. Потребность оценить этот вариант обновления возникла из-за того, что эксперты по безопасности единодушно обратили внимание на увеличение частоты и сложности атак DDoS.

Чтобы остановить работу приложения, не нужно создавать много терабайтов трафика в секунду. Любая конкретная целевая атака может повлиять на доступность приложения, работающего в Azure, который получает трафик из общедоступного Интернета.

Что собой представляет атака DDoS?

Выполняя распределенную атаку типа "отказ в обслуживании" (атаку DDoS), злоумышленник намеренно перегружает фальшивым трафиком определенную систему, например сервер, веб-сайт или другой сетевой ресурс. Компьютеры для атаки объединяются в согласованную сеть управления, которая называется ботнетом. Третья сторона с вредоносными намерениями с помощью ботнета организует атаку DDoS. Действие активирует отказ в обслуживании для законных пользователей, подавляя возможности службы. Атаки DDoS могут быть нацелены на любую конечную точку, доступную через Интернет.

На приведенном ниже изображении демонстрируется типичная атака DDoS на основе ботнета.

Атака DDoS на основе ботнета, который отправляет с управляемых компьютеров вредоносный трафик на веб-сайт, что приводит к исчерпанию ресурсов сайта и не дает использовать его легальным пользователям.

Ниже перечислены некоторые распространенные типы атак DDoS.

  • Объемные атаки. При таких атаках используется несколько инфицированных систем, чтобы заполнить сетевой уровень значительным объемом трафика, который очень похож на обычный. Обычно эти скомпрометированные системы являются частью преступного ботнета. Подтипы объемных атак DDoS.

    • Переполнения UDP. Злоумышленник отправляет UDP-пакеты, обычно достаточно крупные, в одно место назначения или на случайные порты. Атакующие системы могут легко фальсифицировать свои IP-адреса, так как протокол UDP не предусматривает создание соединений.
    • Переполнения усиления. DNS-сервер перегружается большим числом запросов к службе, которые похожи на настоящие. Цель — перенасыщение службы DNS путем исчерпания пропускной способности.
    • Другие переполнения с поддельными пакетами. Отправка к ресурсу огромного объема фиктивного трафика.

  • Атаки протоколов. Эти атаки нацелены на уровни 3 и 4 в модели OSI и используют слабые места в TCP. Пример атаки DDoS на основе протокола — переполнение TCP SYN, для которого используется часть трехстороннего подтверждения. Злоумышленник отправляет последовательность запросов TCP SYN, игнорируя ответ SYN+ACK. Такая атака создается, чтобы перегрузить целевой объект и не позволить ему отвечать на запросы.

  • Атаки уровня ресурсов (приложения). Атаки уровня ресурсов нацелены на верхний уровень в модели OSI. Их цель — нарушить передачу данных между узлами. К атакам на уровень 7 относятся использование эксплойтов в протоколе HTTP, внедрения кода SQL, межсайтовые сценарии и другие атаки на приложения.

Предложения защиты от атак DDoS Azure

Защита от атак DDoS во многом похожа на безопасно и правильно функционирующую систему резервного копирования. Значение резервных копий для организации часто недооценивается, пока они не потребуются. Защита от атак DDoS, как и резервное копирование, устраняет риски, связанные с потенциальными угрозами.

Защита инфраструктуры DDoS

Azure предоставляет постоянную защиту от атак DDoS. Защита от атак DDoS не сохраняет данные клиента. Без дополнительной платы защита инфраструктуры DDoS Azure защищает каждую службу Azure, использующую общедоступные IPv4 и IPv6-адреса. Эта служба защиты от атак DDoS помогает защищать все службы Azure, в том числе в формате PaaS (платформа как услуга), например Azure DNS. Защита инфраструктуры DDoS не требует изменений в конфигурации пользователя или приложения.

Защита инфраструктуры DDoS Azure обеспечивает:

  • Активный мониторинг трафика и постоянно действующее обнаружение. Защита инфраструктуры DDoS отслеживает шаблоны трафика приложений каждый день, каждый день и ищет индикаторы атак DDoS.
  • Автоматическое устранение рисков атаки. Как только будет обнаружена атака, против нее принимаются необходимые меры защиты.
  • Соглашение об уровне обслуживания защиты инфраструктуры DDoS (SLA), основанное на регионе Azure с поддержкой лучших усилий.

Службы, работающие в Azure, по умолчанию защищены от атак DDoS на уровне инфраструктуры. Однако защита, которая защищает инфраструктуру, имеет гораздо более высокий порог, чем большинство приложений имеют емкость для обработки, и не предоставляет данные телеметрии или оповещения, поэтому в то время как объем трафика может рассматриваться как безвредный платформой, он может быть разрушительным для приложения, которое получает его.

При подключении к Защите от атак DDoS Azure приложение получает выделенную систему мониторинга для обнаружения атак и пороговые значения, настроенные конкретно для него. Служба будет защищена с помощью профиля, настроенного на ожидаемый объем трафика, что обеспечивает более эффективную защиту от атак DDoS.

Защита сети от атак DDoS Azure

Защита сети от атак DDoS обеспечивает расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети.

В следующем списке описаны функции и преимущества защиты сети от атак DDoS.

  • Защита от 100 общедоступных IP-ресурсов.
  • Интеллектуальное профилирование трафика, о котором вы узнаете в следующем уроке.
  • Встроенная интеграция на портале Azure для установки и развертывания. Этот уровень интеграции позволяет защите от атак DDoS определять ресурсы Azure и их конфигурации.
  • Если защита сети от атак DDoS включена для виртуальной сети, все ресурсы в этой сети автоматически защищены. Никаких других административных процедур не требуется.
  • Трафик сетевых ресурсов постоянно отслеживается для поиска признаков атак DDoS. После обнаружения защита сети DDoS вмешивается и автоматически устраняет атаку.
  • Это помогает защитить уровни 3 и 4 на сетевом уровне. Она также обеспечивает защиту приложений (уровня 7) с помощью Azure Брандмауэр веб-приложений, которая входит в состав шлюза Azure. Так как шлюз Azure и Брандмауэр веб-приложений доступны в Интернете, защита от атак DDoS защищает свои сетевые интерфейсы. Эта стратегия защиты является примером многослойной или глубокой защиты.
  • Служба предоставляет подробные аналитические отчеты прямо во время атаки с детализацией по пятиминутным интервалам, а также отчет по завершении атаки с полной сводкой обо всех ее событиях.
  • Решение поддерживает интеграцию журналов устранения рисков с Microsoft Defender для облака, Microsoft Sentinel или автономной системой управления информационной безопасностью и событиями безопасности (SIEM). Это позволяет во время атаки обеспечить мониторинг почти в реальном времени.
  • Azure Monitor собирает данные телеметрии мониторинга из защиты сети DDoS для доступа к сводным метрикам атак.

Защита IP-адресов от атак DDoS Azure

Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но будет отличаться в следующих дополнительных службах:

  • Поддержка быстрого реагирования на атаки DDoS
  • защита от затрат;
  • Скидки на WAF.

Службы добавочной стоимости

Гарантия затрат и поддержка быстрого реагирования DDoS являются двумя другими важными функциями защиты сети DDoS.

Гарантия кредита на затраты

В начале атаки DDoS увеличение пропускной способности сети и (или) масштабирование количества виртуальных машин часто активирует автоматическое горизонтальное масштабирование службы, работающей в Azure.

Примечание.

Клиенты, которые входят в службу защиты от атак DDoS, получают кредит на обслуживание для горизонтального масштабирования приложений и затрат на пропускную способность сети, которые они несут во время задокументированного атаки DDoS. Этот кредит напрямую предоставляет корпорация Майкрософт.

Поддержка быстрого реагирования на атаки DDoS

Корпорация Майкрософт создала группу быстрого реагирования для службы "Защита от атак DDoS". Вы можете обратиться к этой команде за помощью в случае атаки DDoS или за анализом уже прошедшей атаки. Группа быстрого реагирования службы "Защита от атак DDoS" использует модель поддержки Azure Rapid Response.

Чтобы передать этой команде информацию, создайте запрос в службу поддержки на портале Azure. К ней следует обращаться в следующих случаях:

  • если компания планирует провести виртуальное мероприятие, которое значительно увеличит сетевой трафик;
  • если выполняется атака, которая значительно ухудшает производительность важной защищенной бизнес-системы;
  • Ваша команда безопасности определяет, что защищенные ресурсы находятся под атакой, но защита от атак DDoS не эффективно смягчает атаки.