¿Qué es Azure DDoS Protection?

  • 12 minutos

Microsoft ofrece una protección de infraestructura contra DDoS a todos los clientes de Azure de forma gratuita. Microsoft también ofrece servicios adicionales en su servicio DDoS Protection.

Azure DDoS Infrastructure Protection o Azure DDoS Protection

Está investigando las ventajas para Contoso de actualizar a Azure DDoS Protection para los servicios que se ejecutan en Azure. La motivación para evaluar esta opción de actualización, en el consenso de los expertos en seguridad de DDoS, es la frecuencia y sofisticación en aumento de los ataques DDoS.

No es necesario que el tráfico de ataques esté en el intervalo de terabits por segundo para deshacer una aplicación. Cualquier ataque dirigido específico puede afectar a la disponibilidad de una aplicación que se ejecuta en Azure y que recibe tráfico de la red pública de Internet.

¿Qué es un ataque DDoS?

En un ataque DDoS, un atacante inunda intencionadamente el sistema, como un servidor, un sitio web u otro recurso de red, con tráfico falso. Los equipos están conectados en una red de comando y control coordinada, denominada red de robots (botnet)*. Un tercero malintencionado controla la red de robots (botnet) para iniciar el ataque DDoS. La actividad desencadena una denegación de servicios a usuarios legítimos al sobrecargar las funcionalidades del servicio. Los ataques DDoS pueden dirigirse a cualquier punto de conexión que sea accesible públicamente a través de Internet.

En la imagen siguiente se muestra un ataque DDoS típico de una red de robots (botnet)*.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Algunos ataques DDoS comunes son:

  • Ataques volumétricos. Estos ataques usan varios sistemas infectados para inundar el nivel de red con una gran cantidad de tráfico aparentemente legítimo. Los diversos sistemas en peligro suelen formar parte de una red de robots (botnet)* criminal. Los tipos de ataques DDoS volumétricos son:

    • Ataques "flood" UDP. El atacante envía paquetes UDP, normalmente grandes, a un solo destino o a puertos aleatorios. Los sistemas de ataque pueden suplantar electrónicamente su dirección IP de forma sencilla, ya que UDP no tiene conexión.
    • Ataques "flood" de amplificación. Un servidor DNS se sobrecarga con solicitudes de servicio aparentemente legítimas. El objetivo del atacante es saturar el servicio DNS agotando la capacidad de ancho de banda.
    • Otros ataques "flood" de paquetes suplantados electrónicamente. Envío de grandes cantidades de tráfico fantasma a un recurso.

  • Ataques de protocolo. Estos ataques tienen como destino los niveles 3 o 4 del modelo OSI. Aprovechan un punto débil de TCP. Un ejemplo de un ataque DDoS basado en protocolos es el ataque "flood" SYN de TCP, que aprovecha parte del protocolo de enlace tridireccional. El atacante envía una sucesión de solicitudes de SYN de TCP, omitiendo la respuesta SYN+ACK. Este ataque se dirige hacia un destino con el objetivo de saturar el objetivo y hacer que deje de responder.

  • Ataques de nivel de recurso (aplicación). Los ataques de recursos tienen como destino el nivel "superior" del modelo OSI para interrumpir la transmisión de datos entre hosts. Entre estos ataques de nivel 7 se incluyen el aprovechamiento del protocolo HTTP, los ataques por inyección de código SQL, el scripting entre sitios y otros ataques de la aplicación.

Ofertas de Azure DDoS Protection

La protección contra DDoS es similar a un sistema de copia de seguridad seguro y en funcionamiento. El valor de una copia de seguridad de su organización no es obvio hasta que es necesario. La protección contra DDoS, como una copia de seguridad, proporciona la mitigación de riesgos contra posibles amenazas.

DDoS Infrastructure Protection

Azure proporciona protección continua contra los ataques de DDoS. La protección contra DDoS no almacena los datos de los clientes. Sin costo adicional, Azure DDoS Infrastructure Protection protege todos los servicios de Azure que usan direcciones IPv4 e IPv6 públicas. Este servicio de protección contra DDoS ayuda a proteger todos los servicios de Azure, incluidos servicios de plataforma como servicio (PaaS) como Azure DNS. DDoS Infrastructure Protection no requiere ningún cambio en la configuración de usuarios ni en la aplicación.

Azure DDoS Infrastructure Protection proporciona:

  • Supervisión activa del tráfico y detección siempre activa. Supervisión de los patrones de tráfico de la aplicación todos los días, buscando indicadores de ataques DDoS.
  • Mitigación automática de ataques. Una vez que se detecta el ataque, se mitiga.
  • El Acuerdo de Nivel de Servicio (SLA), que se basa en la región de Azure con la mejor opción de soporte técnico.

Los servicios que se ejecutan en Azure están intrínsecamente protegidos mediante la protección contra DDoS predeterminada en el nivel de infraestructura. Sin embargo, la protección que se aplica a la infraestructura tiene un umbral mucho más alto del que la mayoría de las aplicaciones puede controlar y no proporciona telemetría ni alertas, por lo que, aunque la plataforma pueda percibir un volumen de tráfico como inofensivo, puede ser devastador para la aplicación que lo recibe.

Al incorporar el servicio Azure DDoS Protection, la aplicación obtiene una supervisión dedicada para detectar ataques y umbrales específicos de la aplicación. Un servicio se protegerá con un perfil optimizado para el volumen de tráfico previsto, lo que proporciona una defensa mucho más intensa contra los ataques DDoS.

Protección de red contra DDoS de Azure

DDoS Network Protection proporciona características de mitigación de DDoS mejoradas como defensa contra los ataques DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure de una red virtual.

En la lista siguiente se describen las características y ventajas de la Protección de red contra DDoS:

  • Protección para 100 recursos de IP pública.
  • Proporciona una generación de perfiles de tráfico inteligente, sobre la cual aprenderá en la siguiente unidad.
  • Proporciona una integración nativa en Azure Portal para la configuración y la implementación. Este nivel de integración permite que DDoS Protection identifique los recursos de Azure y sus configuraciones.
  • Cuando se habilita DDoS Network Protection para una red virtual, todos los recursos de dicha red se protegen automáticamente. No se necesita ningún otro procedimiento administrativo.
  • El tráfico de los recursos de red está bajo supervisión constante para las indicaciones de un ataque DDoS. Una vez detectado, DDoS Network Protection interviene y mitiga automáticamente el ataque.
  • Ayuda a proteger los niveles 3 y 4 del nivel de red. Además, proporciona protección de aplicación (nivel 7) con Azure Web Application Firewall, que se incluye con la puerta de enlace de Azure. Dado que la puerta de enlace de Azure y Web Application Firewall tienen conexión a Internet, DDoS Protection protege sus interfaces de red. Esta estrategia de protección es un ejemplo de protección de defensa en profundidad o varios niveles.
  • Proporciona informes analíticos de ataques detallados durante el ataque en intervalos de cinco minutos y un informe posterior a la acción para obtener un resumen completo del evento al finalizar el ataque.
  • Incluye compatibilidad con la integración de registros de mitigación con Microsoft Defender for Cloud, Microsoft Sentinel o un sistema de administración de eventos e información de seguridad (SIEM) sin conexión para la supervisión casi en tiempo real durante un ataque.
  • Azure Monitor recopila la telemetría de supervisión de la Protección de red contra DDoS para el acceso a métricas de ataque resumidas.

Protección de IP contra DDoS de Azure

Protección de IP contra DDoS es un modelo de IP de pago por protección. Protección de IP contra DDoS contiene las mismas características de ingeniería principales que Protección de red contra DDoS, pero variará en los siguientes servicios de valor añadido:

  • Compatibilidad con la respuesta rápida de DDoS
  • Protección de costos
  • Descuentos en WAF.

Servicios de valor añadido

La garantía de coste y la compatibilidad con la respuesta rápida de DDoS son dos de las otras características importantes de DDoS Network Protection.

Garantía de costo

Al principio de un ataque DDoS, el aumento del ancho de banda de red o el escalado vertical del número de máquinas virtuales a menudo desencadena el escalado horizontal automático del servicio que se ejecuta en Azure.

Nota:

Los clientes que se incorporan a DDoS Protection reciben crédito de servicio para el costo de ancho de banda de red y la escalabilidad horizontal de la aplicación en el que incurren durante un ataque DDoS documentado. Microsoft proporciona este crédito directamente.

Compatibilidad con la respuesta rápida de DDoS

Microsoft ha creado un equipo de respuesta rápida de DDoS Protection. Puede ponerse en contacto con este equipo para obtener ayuda durante un ataque DDoS y solicitar un análisis posterior al ataque. El equipo de respuesta rápida de DDoS Protection sigue el modelo de soporte técnico de Azure Rapid Response.

Puede notificar al equipo abriendo una solicitud de soporte técnico en Azure Portal. Póngase en contacto con el equipo si:

  • Su empresa planea un evento virtual que se espera que aumente significativamente el tráfico de red.
  • Existe un ataque que reduce gravemente el rendimiento de un sistema empresarial crítico protegido.
  • Su equipo de seguridad determina que los recursos protegidos están sufriendo ataques, pero DDoS Protection no está mitigando el ataque de forma eficaz.