Descripción de la protección contra DDoS de Azure

  • 4 minutos

Cualquier empresa, grande o pequeña, puede ser objeto de un grave ataque de red. La naturaleza de estos ataques podría ser para mostrar una postura o simplemente porque el atacante se había puesto un desafío.

Ataques de denegación de servicio distribuido

El objetivo de un ataque de denegación de servicio distribuido (DDoS) es sobrecargar los recursos en las aplicaciones y servidores, lo que les deja sin responder o ralentiza a los usuarios auténticos. Un ataque DDoS normalmente se dirige a cualquier dispositivo de acceso público al que se pueda acceder a través de Internet.

Los tres tipos más frecuentes de ataque DDoS son:

  • Ataques volumétricos: se tratan de ataques basados en volúmenes que inundan la capa de red con tráfico aparentemente legítimo, sobrepasando el ancho de banda disponible. El tráfico legítimo no logra comunicarse.
  • Ataques de protocolo: Los ataques de protocolo representan un destino inaccesible al agotar los recursos del servidor con solicitudes de protocolo falsas que aprovechan los puntos débiles de los protocolos de nivel 3 (red) y nivel 4 (transporte).
  • Ataques de nivel de recurso (aplicación) : estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts.

¿Qué es Azure DDoS Protection?

El servicio Azure DDoS Protection está diseñado para ayudar a proteger sus aplicaciones y servidores mediante el análisis del tráfico de red y el descarte de todo lo que parezca un ataque DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

El servicio Azure DDoS Protection protege en la capa 3 (capa de red) y en la capa 4 (capa de transporte). Los beneficios clave proporcionados incluyen:

  • Supervisión continua del tráfico: los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS. Azure DDoS Protection mitiga instantánea y automáticamente el ataque, una vez detectado. Como parte de la mitigación, el servicio Protección contra DDoS redirige el tráfico enviado al recurso protegido y realiza varias comprobaciones. Azure DDoS Protection anula el tráfico del ataque y reenvía el tráfico restante al destino previsto. En un intervalo de pocos minutos tras la detección del ataque, se recibe una notificación mediante métricas de Azure Monitor.
  • Optimización en tiempo real adaptable: la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio. El perfil se ajusta a medida que el tráfico cambia con el tiempo.
  • Telemetría, supervisión y alertas de DDoS Protection: Azure DDoS Protection expone telemetría enriquecida a través de Azure Monitor. También puede configurar alertas para todas las métricas de Azure Monitor que usa DDoS Protection. El registro se puede integrar con Azure Event Hubs, registros de Azure Monitor y Azure Storage para realizar análisis avanzados con la interfaz de diagnósticos de Azure Monitor.

Azure DDoS Protection admite dos tipos de niveles de servicio: Protección de IP contra DDoS y Protección de red contra DDoS. El nivel de servicio se configura en Azure Portal al configurar Azure DDoS Protection.

  • DDoS Network Protection: el servicio DDoS Network Protection (disponible como SKU), combinado con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS para defenderse frente a ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos.
  • Protección de IP contra DDoS: la Protección de IP contra DDoS es un modelo de IP de pago por protección. La protección de IP DDoS contiene las mismas características de ingeniería principales que la protección de red DDoS, pero difiere en que no incluye los servicios agregados de valor agregado, como la compatibilidad con respuesta rápida de DDoS, la protección de costes y los descuentos en Web Application Firewall (WAF) que forman parte de la protección de red DDoS. Para obtener una lista completa de las características y los niveles correspondientes, consulte Acerca de la comparación de niveles de Azure DDoS Protection

Una pregunta común que a menudo se plantea es por qué considerar la posibilidad de agregar servicios de protección DDos si los servicios que se ejecutan en Azure están intrínsecamente protegidos por la protección contra DDoS de nivel de infraestructura predeterminada? La razón es que la protección que protege la infraestructura tiene un umbral mayor que la mayoría de las aplicaciones tienen la capacidad de controlar y no proporciona telemetría ni alertas. Por lo tanto, aunque el volumen de tráfico puede percibirse como inofensivo por la plataforma, podría resultar devastador para la aplicación receptora. Al incorporar el servicio Azure DDoS Protection, la aplicación obtiene una supervisión dedicada para detectar ataques y umbrales específicos de la aplicación. Un servicio se protegerá con un perfil optimizado para el volumen de tráfico previsto, lo que proporciona una defensa más intensa contra los ataques DDoS.

Como se mencionó anteriormente, Azure DDos Protection protege en la capa 3 y la capa 4. Para la protección de aplicaciones web en la capa 7 (el nivel de aplicación), es necesario agregar protección en el nivel de aplicación mediante una oferta de Web Application Firewall (WAF), que se describe en una unidad posterior de este módulo.