Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Strategie für den Schutz vor Denial of Service-Angriffen
Die Strategie von Microsoft zum Schutz vor netzwerkbasierten verteilten Denial-of-Service-Angriffen (DDoS) ist aufgrund ihrer großen globalen Präsenz einzigartig. Dieser Fußabdruck ermöglicht Es Microsoft, Strategien und Techniken zu verwenden, auf die die meisten anderen Organisationen nicht zugreifen können. Darüber hinaus trägt Microsoft zu kollektivem Wissen bei, das von einem umfangreichen Threat Intelligence-Netzwerk aggregiert wird, das Microsoft-Partner und die breitere Internetsicherheitscommunity umfasst. Diese Informationen sowie informationen, die von Onlinedienste und dem globalen Kundenstamm von Microsoft gesammelt wurden, verbessern kontinuierlich das DDoS-Verteidigungssystem von Microsoft, das alle Ressourcen von Microsoft Onlinedienste schützt.
Der Eckpfeiler der DDoS-Strategie von Microsoft ist die globale Präsenz. Microsoft engagiert sich mit Internetanbietern, Peeringanbietern (öffentlich und privat) und privaten Unternehmen auf der ganzen Welt. Dieses Engagement bietet Microsoft eine bedeutende Internetpräsenz und ermöglicht es, Angriffe auf einer großen Oberfläche zu absorbieren.
Da die Edgekapazität von Microsoft im Laufe der Zeit gewachsen ist, hat sich die Bedeutung von Angriffen auf einzelne Edges erheblich verringert. Aufgrund dieses Rückgangs hat Microsoft die Erkennungs- und Entschärfungskomponenten seines DDoS-Präventionssystems getrennt. Microsoft stellt Erkennungssysteme mit mehreren Ebenen in regionalen Rechenzentren bereit, um Angriffe in der Nähe ihrer Sättigungspunkte zu erkennen und gleichzeitig die globale Entschärfung auf den Edgeknoten aufrechtzuerhalten. Diese Strategie stellt sicher, dass Microsoft-Dienste mehrere gleichzeitige Angriffe verarbeiten können.
Eine der effektivsten und kostengünstigsten Schutzmaßnahmen, die Microsoft gegen DDoS-Angriffe verwendet, ist die Verringerung der Angriffsflächen für Dienste. Unerwünschter Datenverkehr wird am Netzwerkrand abgelegt, anstatt die Daten inline zu analysieren, zu verarbeiten und zu bereinigen.
An der Schnittstelle mit dem öffentlichen Netzwerk verwendet Microsoft spezielle Sicherheitsgeräte für Firewall, Netzwerkadressenübersetzung und IP-Filterfunktionen. Microsoft verwendet auch das globale ECMP-Routing (Equal-Cost Multi-Path). Globales ECMP-Routing ist ein Netzwerkframework, das sicherstellt, dass mehrere globale Pfade einen Dienst erreichen. Mit mehreren Pfaden zu jedem Dienst sind DDoS-Angriffe auf die Region beschränkt, aus der der Angriff stammt. Andere Regionen sind von dem Angriff nicht betroffen, da Endbenutzer andere Pfade verwenden, um den Dienst in diesen Regionen zu erreichen. Microsoft hat auch interne DDoS-Korrelations- und Erkennungssysteme entwickelt, die Datenflussdaten, Leistungsmetriken und andere Informationen verwenden, um DDoS-Angriffe schnell zu erkennen.
Um Clouddienste weiter zu schützen, verwendet Microsoft Azure DDoS Protection, ein DDoS-Verteidigungssystem, das in die kontinuierlichen Überwachungs- und Penetrationstests von Microsoft Azure integriert ist. Azure DDoS Protection ist nicht nur darauf ausgelegt, externen Angriffen, sondern auch Angriffen von anderen Azure-Mandanten standzuhalten. Azure verwendet Standardmäßige Erkennungs- und Entschärfungstechniken wie SYN-Cookies, Ratenbegrenzung und Verbindungsgrenzwerte zum Schutz vor DDoS-Angriffen. Zur Unterstützung automatisierter Schutzmaßnahmen identifiziert ein workloadübergreifendes DDoS-Team für die Reaktion auf Vorfälle die Rollen und Zuständigkeiten teamsübergreifend, die Kriterien für Eskalationen und die Protokolle für die Behandlung von Incidents in den betroffenen Teams.
Die meisten DDoS-Angriffe gegen Ziele erfolgen auf den Ebenen Netzwerk (L3) und Transport (L4) des Open Systems Interconnection-Modells (OSI). Angriffe, die auf die L3- und L4-Ebenen gerichtet sind, überfluten eine Netzwerkschnittstelle oder einen Dienst mit Angriffsdatenverkehr, um Ressourcen zu überlasten und die Möglichkeit zu verweigern, auf legitimen Datenverkehr zu reagieren. Um sich vor L3- und L4-Angriffen zu schützen, verwenden die DDoS-Lösungen von Microsoft Datenverkehrsstichproben von Rechenzentrumsroutern, um die Infrastruktur und die Kundenziele zu schützen. Ein Netzwerküberwachungsdienst analysiert Stichprobendaten des Datenverkehrs, um Angriffe zu erkennen. Wenn ein Angriff erkannt wird, treten automatisierte Verteidigungsmechanismen ein, um den Angriff abzumildern und sicherzustellen, dass der an einen Kunden gerichtete Angriffsverkehr nicht zu Kollateralschäden oder einer verringerten Netzwerkqualität für andere Kunden führt.
Microsoft verfolgt auch einen offensiven Ansatz für die DDoS-Verteidigung. Botnets sind eine häufige Befehls- und Kontrollquelle für die Durchführung von DDoS-Angriffen, um Angriffe zu verstärken und die Anonymität aufrechtzuerhalten. Die Microsoft Digital Crimes Unit (DCU) konzentriert sich auf die Identifizierung, Untersuchung und Unterbrechung der Verteilungs- und Kommunikationsinfrastruktur von Schadsoftware, um die Größe und Auswirkungen von Botnets zu reduzieren.
Schutzmaßnahmen auf Anwendungsebene
Die Clouddienste von Microsoft sind absichtlich so aufgebaut, dass sie hohe Auslastungen unterstützen, was zum Schutz vor DDoS-Angriffen auf Anwendungsebene beiträgt. Die horizontal skalierte Architektur von Microsoft verteilt Dienste auf mehrere globale Rechenzentren mit regionaler Isolation und workloadspezifischen Drosselungsfeatures für relevante Workloads.
Das Land oder die Region jedes Kunden, das bzw. die der Administrator des Kunden bei der erstkonfiguration der Dienste identifiziert, bestimmt den primären Speicherort für die Daten des Kunden. Kundendaten werden gemäß einer primären/Sicherungsstrategie zwischen redundanten Rechenzentren repliziert. Ein primäres Rechenzentrum hostet die Anwendungssoftware zusammen mit allen primären Kundendaten, die auf der Software ausgeführt werden. Ein Sicherungsrechencenter ermöglicht ein automatisches Failover. Wenn das primäre Rechenzentrum aus irgendeinem Grund nicht mehr funktioniert, werden Anforderungen an die Kopie der Software und der Kundendaten im Sicherungsdatencenter umgeleitet. Kundendaten können jederzeit im primären oder im Sicherungsrechenzentrum verarbeitet werden. Durch die Verteilung von Daten über mehrere Rechenzentren wird die betroffene Fläche reduziert, falls ein Rechenzentrum angegriffen wird. Darüber hinaus können die Dienste im betroffenen Rechenzentrum schnell an das sekundäre Rechenzentrum umgeleitet werden, um die Verfügbarkeit während eines Angriffs aufrechtzuerhalten, und wieder an das primäre Rechenzentrum umgeleitet werden, sobald ein Angriff abgeschwächt wurde.
Als weitere Gegenmaßnahme gegen DDoS-Angriffe enthalten einzelne Workloads integrierte Features, die die Ressourcennutzung verwalten. Beispielsweise sind die Drosselungsmechanismen in Exchange Online und SharePoint Online Teil eines mehrschichtigen Ansatzes zum Schutz vor DDoS-Angriffen.
Azure SQL Datenbank verfügt über eine zusätzliche Sicherheitsebene in Form eines Gatewaydiensts namens DoSGuard, der fehlgeschlagene Anmeldeversuche basierend auf der IP-Adresse nachverfolgt. Wenn der Schwellenwert für fehlgeschlagene Anmeldeversuche von derselben IP-Adresse erreicht wird, blockiert DoSGuard die Adresse für einen vordefinierten Zeitraum.