O que é o Azure DDoS Protection?

  • 12 minutos

A Microsoft oferece proteção de infraestrutura DDoS a todos os clientes do Azure gratuitamente. A Microsoft também oferece serviços adicionais em seu serviço de Proteção contra DDoS.

Proteção de infraestrutura DDoS do Azure ou Proteção contra DDoS do Azure

Você está investigando os benefícios para a Contoso atualizar para a Proteção contra DDoS do Azure para seus serviços em execução no Azure. A motivação para avaliar esta opção de atualização, no consenso dos especialistas em segurança DDoS, é a crescente frequência e sofisticação dos ataques DDoS.

O tráfego de ataque não precisa estar na faixa de terabits por segundo para derrubar um aplicativo. Qualquer ataque direcionado específico pode afetar a disponibilidade de um aplicativo em execução no Azure, que está recebendo tráfego da Internet pública.

O que é um ataque DDoS?

Em um ataque DDoS, um perpetrador inunda intencionalmente o sistema, como um servidor, site ou outro recurso de rede, com tráfego falso. Os computadores são conectados em uma rede coordenada de comando e controle, chamada botnet. Um terceiro mal-intencionado controla a botnet para iniciar o ataque DDoS. A atividade desencadeia uma negação de serviços a usuários legítimos, sobrecarregando as capacidades do serviço. Os ataques DDoS podem ser direcionados a qualquer ponto final acessível publicamente através da Internet.

A imagem a seguir mostra um ataque DDoS típico de uma botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Alguns ataques DDoS comuns são:

  • Ataques volumétricos. Esses ataques usam vários sistemas infetados para inundar a camada de rede com uma quantidade substancial de tráfego aparentemente legítimo. Os vários sistemas comprometidos normalmente fazem parte de uma botnet criminosa. Os tipos de ataques DDoS volumétricos são:

    • Inundações UDP. O invasor envia pacotes UDP, geralmente grandes, para um único destino ou para portas aleatórias. Os sistemas invasores podem facilmente falsificar seu endereço IP, porque o UDP não tem conexão.
    • Inundações de amplificação. Um servidor DNS está sobrecarregado com solicitações de serviço aparentemente legítimas. O objetivo do atacante é saturar o serviço de DNS esgotando a capacidade de largura de banda.
    • Outras inundações de pacotes falsificados. Enviar grandes quantidades de tráfego falso para um recurso.

  • Ataques de protocolo. Esses ataques têm como alvo a Camada 3 ou a Camada 4 do modelo OSI. Eles exploram uma fraqueza no TCP. Um exemplo de um ataque DDoS baseado em protocolo é o TCP SYN flood, que explora parte do handshake de três vias. O invasor envia uma sucessão de solicitações TCP SYN, ignorando a resposta SYN+ACK. Este ataque é direcionado para um alvo com o objetivo de sobrecarregar o alvo e torná-lo sem resposta.

  • Ataques à camada do recurso (aplicação). Os ataques de recursos têm como alvo a camada "superior" no modelo OSI para interromper a transmissão de dados entre hosts. Esses ataques de camada 7 incluem a exploração do protocolo HTTP, ataques de injeção de SQL, scripts entre sites e outros ataques a aplicativos.

Ofertas de Proteção contra DDoS do Azure

A proteção contra DDoS é semelhante a um sistema de backup seguro e funcional. O valor de um backup para sua organização não é óbvio até que seja necessário. A proteção contra DDoS, como um backup, fornece mitigação de riscos contra ameaças potenciais.

Proteção de infraestrutura DDoS

O Azure fornece proteção contínua contra ataques DDoS. A proteção contra DDoS não armazena dados de clientes. Sem custos adicionais, a Proteção de Infraestrutura DDoS do Azure protege todos os serviços do Azure que utilizam endereços IPv4 e IPv6 públicos. Este serviço de proteção contra DDoS ajuda a proteger todos os serviços do Azure, incluindo serviços de plataforma como serviço (PaaS), como o DNS do Azure. O DDoS Infrastructure Protection não requer nenhuma configuração de usuário ou alterações de aplicativos.

A Proteção de Infraestrutura DDoS do Azure fornece:

  • Monitoramento ativo de tráfego e deteção sempre ativa. O DDoS Infrastructure Protection monitoriza os padrões de tráfego da sua aplicação durante todo o dia, todos os dias, procurando indicadores de ataques DDoS.
  • Mitigação automática de ataques. Uma vez detetado, o ataque é mitigado.
  • O SLA (contrato de nível de serviço) da Proteção de Infraestrutura DDoS, que se baseia na região do Azure com suporte de melhor esforço.

Os serviços em execução no Azure são inerentemente protegidos pela proteção DDoS padrão no nível da infraestrutura. No entanto, a proteção que protege a infraestrutura tem um limite muito maior do que a maioria dos aplicativos tem a capacidade de lidar, e não fornece telemetria ou alerta, portanto, embora um volume de tráfego possa ser percebido como inofensivo pela plataforma, pode ser devastador para o aplicativo que o recebe.

Ao integrar o serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detetar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil ajustado ao volume de tráfego esperado, proporcionando uma defesa muito mais apertada contra ataques DDoS.

Proteção de Rede DDoS do Azure

A Proteção de Rede DDoS fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual.

A lista a seguir descreve os recursos e benefícios da Proteção de Rede DDoS:

  • Proteção para 100 recursos IP públicos.
  • Ele fornece perfil de tráfego inteligente, que você aprenderá na próxima unidade.
  • Ele fornece integração nativa no portal do Azure para configuração e implantação. Esse nível de integração permite que a Proteção contra DDoS identifique seus recursos do Azure e suas configurações.
  • Quando a Proteção de Rede DDoS está habilitada para uma rede virtual, todos os recursos nessa rede são protegidos automaticamente. Não é necessário qualquer outro procedimento administrativo.
  • Seus recursos de rede estão sob monitoramento de tráfego constante para indicações de um ataque DDoS. Uma vez detetado, o DDoS Network Protection intervém e atenua automaticamente o ataque.
  • Ele ajuda a proteger as camadas 3 e 4 na camada de rede. Ele também fornece proteção de aplicativo (camada 7) com o Firewall de Aplicativo Web do Azure, que está incluído no Gateway do Azure. Como o Gateway do Azure e o Firewall de Aplicativo Web são voltados para a Internet, a Proteção contra DDoS protege suas interfaces de rede. Esta estratégia de proteção é um exemplo de proteção multicamadas ou de defesa profunda.
  • Ele fornece relatórios analíticos de ataque detalhados durante o ataque em intervalos de cinco minutos e um relatório pós-ação para um resumo completo do evento, quando o ataque termina.
  • Ele inclui suporte para a integração de logs de mitigação com o Microsoft Defender for Cloud, Microsoft Sentinel ou um sistema de gerenciamento de eventos e informações de segurança offline (SIEM) para monitoramento quase em tempo real durante um ataque.
  • O Azure Monitor coleta telemetria de monitoramento da Proteção de Rede DDoS para acesso a métricas de ataque resumidas.

Proteção de IP DDoS do Azure

DDoS IP Protection é um modelo de IP pago por protegido. O DDoS IP Protection contém os mesmos recursos principais de engenharia que o DDoS Network Protection, mas será diferente nos seguintes serviços de valor agregado:

  • Suporte de resposta rápida DDoS
  • Proteção de custos
  • Descontos no WAF.

Serviços de valor acrescentado

Garantia de custo e suporte de resposta rápida DDoS são dois dos outros recursos importantes de Proteção de Rede DDoS.

Garantia de custos

No início de um ataque DDoS, o aumento na largura de banda da rede e/ou o aumento da escala da contagem de máquinas virtuais geralmente aciona a expansão automática do serviço em execução no Azure.

Nota

Os clientes que estão integrados à Proteção contra DDoS recebem crédito de serviço pelo custo de expansão de aplicativos e largura de banda de rede que incorrem durante um ataque DDoS documentado. A Microsoft fornece diretamente esse crédito.

Suporte de resposta rápida DDoS

A Microsoft criou uma equipe de resposta rápida de proteção contra DDoS. Você pode entrar em contato com essa equipe para obter ajuda durante um ataque DDoS e solicitar uma análise pós-ataque. A equipe de resposta rápida da Proteção contra DDoS segue o modelo de suporte do Azure Rapid Response.

Você pode notificar a equipe abrindo uma solicitação de suporte no portal do Azure. Contacte a equipa se:

  • A sua empresa está a planear um evento virtual que deverá aumentar significativamente o tráfego da sua rede.
  • Há um ataque que está degradando gravemente o desempenho de um sistema de negócios crítico protegido.
  • Sua equipe de segurança determina que os recursos protegidos estão sob ataque, mas a Proteção contra DDoS não está atenuando o ataque de forma eficaz.