Comprendre comment Microsoft se défend contre les attaques DoS.
Le déni de service (DoS) désigne une catégorie d'attaques basées sur le réseau dans laquelle un attaquant consomme toutes les ressources d'un système victime dans le but d'empêcher toute activité légitime. Comme il est trivial d'identifier et de bloquer le trafic provenant d'une seule source de problèmes, la forme la plus menaçante d'attaques DoS est le déni de service distribué (DDoS). Les attaques DDoS utilisent de nombreux systèmes intermédiaires compromis contrôlés par un attaquant pour submerger le système cible. La variété et le nombre de sources d'attaque rendent les attaques DDoS plus difficiles à détecter et à bloquer.
Trois facteurs principaux déterminent l'efficacité d'un système de défense DDoS : l'absorption, la détection et l'atténuation. L'absorption de l'attaque DoS initiale sans perte de disponibilité est nécessaire pour laisser suffisamment de temps à la détection et à l'atténuation. Sans une capacité d'absorption appropriée, il se peut qu'il n'y ait pas assez de temps pour répondre à une attaque DDoS avant que le système ne soit submergé. C'est pourquoi une défense efficace contre les attaques DDoS repose sur une combinaison de capacités accrues et de systèmes de surveillance robustes pour réduire le temps de détection.
Microsoft utilise son échelle massive unique et son empreinte mondiale pour renforcer ses capacités d'absorption. La présence de notre réseau distribué à l'échelle mondiale permet la mise en œuvre du routage ECMP (equal-cost multi-path), qui assure la redondance des chemins de réseau pour l'accès aux services Microsoft 365 et l'isolement des attaques DDoS dans la région où elles se produisent. De plus, les services et les données des clients sont répliqués entre les centres de données avec la possibilité de basculer si le centre de données principal devient indisponible. Cette approche signifie que les attaques DDoS individuelles au niveau d'un point périphérique particulier ne représentent pas un risque important pour la disponibilité des services Microsoft 365.
Pour mieux gérer le risque de multiples attaques DDoS simultanées, Microsoft a séparé son système de détection à plusieurs niveaux de ses composants d'atténuation distribués à l'échelle mondiale à la périphérie du réseau. Les données de flux et les informations sur les performances provenant de divers points du réseau Microsoft sont utilisées pour développer et améliorer les systèmes de corrélation et de détection des DDoS. Le principe de refus implicite de Microsoft pour le trafic réseau garantit que les communications indésirables sont abandonnées à la périphérie du réseau, ce qui réduit les surfaces d'attaque des services et la charge d'analyse.
Une fois détectées, les attaques DDoS sont traitées à l'aide de techniques d'atténuation standard telles que les témoins SYN, la limitation du débit et les limites de connexion. Les attaques DDoS visent le plus souvent les couches réseau (L3) et transport (L4) du modèle OSI (Open System Interconnection), saturant les lignes du réseau et les ressources des appareils. Microsoft a conçu une solution axée sur la protection de ces couches afin de garantir que le trafic d'attaque n'interfère pas avec le trafic légitime des clients et ne leur cause pas de dommages. Les données d'échantillonnage du trafic provenant des routeurs des centres de données sont ingérées et analysées par les systèmes de surveillance de Microsoft, ce qui permet d'équiper des mécanismes de défense automatisés qui s'activent si une attaque DDoS sur ces couches à haut risque est détectée.
Dans le cadre d'une approche à plusieurs niveaux de la défense contre les attaques DDoS, des applications telles que Exchange Online et SharePoint Online peuvent limiter les utilisateurs en fonction des ressources qu'ils consomment. Un exemple courant est la limitation d'un utilisateur ou d'un service effectuant trop d'actions dans un court laps de temps. Cela constitue une couche de défense supplémentaire contre les attaques DDoS.