Qu’est-ce qu’Azure DDoS Protection ?

  • 12 minutes

Microsoft offre gratuitement la protection d’infrastructure DDoS à tous les clients Azure. Microsoft offre également d’autres services dans son service DDoS Protection.

Protection de l’infrastructure Azure DDoS ou Azure DDoS Protection

Pour Contoso, vous étudiez les avantages de passer à Azure DDoS Protection pour vos services s’exécutant dans Azure. La motivation de l’évaluation de cette option de mise à niveau, dans le consensus des experts en sécurité DDoS, est la fréquence croissante et la sophistication des attaques DDoS.

Le trafic d’attaque ne doit pas nécessairement se trouver dans la plage de térabits par seconde pour démanteler une application. Toute attaque ciblée spécifique peut avoir une incidence sur la disponibilité d’une application s’exécutant dans Azure, qui reçoit le trafic à partir de l’Internet public.

Qu’est-ce qu’une attaque DDoS ?

Dans une attaque DDoS, un pirate sature intentionnellement le système, comme un serveur, un site web ou une autre ressource réseau, avec un trafic factice. Les ordinateurs sont connectés à un réseau de commande et de contrôle coordonné, appelé botnet. Un tiers malveillant contrôle le botnet pour lancer l’attaque DDoS. L’activité déclenche un déni de service pour les utilisateurs légitimes en surchargeant les fonctionnalités du service. Les attaques DDoS peuvent cibler n’importe quel point de terminaison publiquement accessible via Internet.

L’image suivante illustre une attaque DDoS type à partir d’un botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Les attaques DDoS courantes sont les suivantes, entre autres :

  • Attaques volumétriques. Ces attaques utilisent plusieurs systèmes infectés pour submerger la couche réseau avec une grande quantité de trafic apparemment légitime. Tous les systèmes compromis font généralement partie d’un botnet criminel. Les types d’attaques volumétriques sont les suivantes :

    • Saturations d’UDP. L’attaquant envoie des paquets UDP, généralement volumineux, vers une seule destination ou à des ports aléatoires. Les systèmes attaquants peuvent facilement usurper leur adresse IP, car le protocole UDP est sans connexion.
    • Saturations d'amplification. Un serveur DNS est submergé de requêtes apparemment légitimes pour le service. L’objectif de l’attaquant est de saturer le service DNS en épuisant la capacité de la bande passante.
    • Saturations d’autres paquets falsifiés. Envoi d’importants volumes de trafic erroné à une ressource.

  • Attaques de protocole. Ces attaques ciblent la couche 3 ou la couche 4 du modèle OSI. Ils exploitent une faiblesse dans le protocole TCP. Un exemple d’attaque DDoS basée sur un protocole est la saturation TCP SYN, qui exploite une partie de l’établissement d'une liaison triple. L’attaquant envoie une succession de requêtes TCP SYN, en ignorant la réponse SYN + ACK. Cette attaque est dirigée vers une cible qui a pour objectif de surcharger la cible et de la rendre inactive.

  • Attaques de la couche Ressource (application). Les attaques de ressources ciblent la couche « supérieure » dans le modèle OSI pour interrompre la transmission des données entre les hôtes. Ces attaques de couche 7 incluent l’exploitation du protocole HTTP, les attaques par injection de code SQL, les scripts inter-sites et d’autres attaques d’application.

Offres Azure DDoS Protection

La protection DDoS est similaire à un système de sauvegarde sécurisé et fonctionnel. La valeur d’une sauvegarde pour votre organisation n’est pas évidente tant qu’elle n’est pas nécessaire. La protection DDoS, à l’instar d’une sauvegarde, permet d’atténuer les risques contre les menaces potentielles.

Protection de l’infrastructure DDoS

Azure fournit une protection contre les attaques DDoS. DDoS Protection ne stocke pas les données client. Sans frais supplémentaires, la Protection de l’infrastructure Azure DDoS protège chaque service Azure qui utilise des adresses IPv4 et IPv6 publiques. Ce service de protection DDoS permet de protéger tous les services Azure, y compris les services PaaS (Platform as a service) tels que Azure DNS. La Protection de l’infrastructure DDoS ne demande aucun changement dans la configuration utilisateur ni dans l’application.

La Protection de l’infrastructure Azure DDoS fournit :

  • une analyse active du trafic et une détection Always on. La Protection de l’infrastructure DDoS surveille vos modèles de trafic d’application toute la journée, tous les jours, en recherchant des indicateurs d’attaques DDoS.
  • Atténuation automatique des attaques. Une fois l’attaque détectée, elle est atténuée.
  • Le contrat de niveau de service (SLA) de la Protection de l’infrastructure DDoS, qui est basé sur la région Azure avec support assuré du mieux possible.

Les services exécutés sur Azure sont intrinsèquement protégés par la protection DDoS par défaut au niveau de l’infrastructure. Toutefois, la protection qui préserve l’infrastructure a un seuil sensiblement supérieur à celui que la plupart des applications sont capables de gérer, et ne fournit pas de télémétrie ou d’alertes. Ainsi, si un volume de trafic peut être considéré comme inoffensif par la plateforme, il peut s’avérer dévastateur pour l’application qui le reçoit.

Avec l’intégration au service Azure DDoS Protection, l’application bénéficie d’une surveillance dédiée pour détecter les attaques et les seuils spécifiques des applications. Un service est protégé à l’aide d’un profil réglé sur le volume de trafic attendu, ce qui offre une protection plus rigoureuse contre les attaques DDoS.

Azure DDoS Network Protection

DDoS Network Protection offre des fonctionnalités améliorées d’atténuation de DDoS pour la défense contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel.

La liste suivante décrit les fonctionnalités et avantages de la Protection réseau DDoS :

  • Protection pour 100 ressources d’IP publiques.
  • Elle fournit un profilage du trafic intelligent, que vous allez découvrir dans l’unité suivante.
  • Elle offre une intégration native dans le Portail Azure pour l’installation et le déploiement. Ce niveau d’intégration permet à DDoS Protection d’identifier vos ressources Azure et leurs configurations.
  • Quand DDoS Network Protection est activé pour un réseau virtuel, toutes les ressources présentes sur ce réseau sont automatiquement protégées. Aucune autre procédure administrative n’est nécessaire.
  • Vos ressources réseau sont sous l’analyse constante du trafic pour les indications d’une attaque DDoS. La Protection réseau DDoS intervient et atténue automatiquement l’attaque une fois qu’elle est détectée.
  • Elle contribue à sécuriser les couches 3 et 4 au niveau de la couche réseau. Elle fournir également une protection de l’application (couche 7) avec Azure Web Application Firewall (fourni avec la passerelle Azure). Étant donné qu’Azure Gateway et Web Application Firewall sont orientés Internet, DDoS Protection protège leur interface réseau. Cette stratégie constitue un exemple de protection multicouche ou de défense en profondeur.
  • Il fournit des rapports d’analyse d’attaques détaillés au cours de l’attaque à intervalles de cinq minutes et un rapport après action pour obtenir un résumé complet de l’événement, lorsque l’attaque se termine.
  • Il inclut la prise en charge de l’intégration des journaux d’atténuation à Microsoft Defender pour le cloud, Microsoft Sentinel ou un système SIEM (Security Information and Event Management) hors connexion pour un monitoring en quasi-temps réel durant une attaque.
  • Azure Monitor collecte la télémétrie de surveillance de la Protection réseau DDoS pour accéder à la synthèse des métriques d’attaque.

Protection IP Azure DDoS

La référence SKU Protection IP DDoS est un modèle de paiement par adresse IP protégée. Elle présente les mêmes caractéristiques techniques de base que la Protection réseau DDoS, mais se distingue par les services à valeur ajoutée suivants :

  • Support de la réponse rapide DDoS
  • Protection contre les coûts
  • Remises sur WAF.

Services à valeur ajoutée

La garantie des coûts et la prise en charge rapide de la réponse à DDoS sont deux des autres fonctionnalités importantes de DDoS Network Protection.

Garantie des coûts

Au début d’une attaque DDoS, l’augmentation de la bande passante réseau et le scale-up du nombre de machines virtuelles déclenchent souvent le scale-out automatique du service exécuté dans Azure.

Notes

Les clients intégrés à DDoS Protection reçoivent un crédit de service pour le coût du scale-out des applications et de la bande passante réseau qu’ils génèrent pendant une attaque DDoS documentée. Microsoft fournit directement ce crédit.

Support de la réponse rapide DDoS

Microsoft a créé une équipe de réponse rapide à la protection DDoS. Vous pouvez contacter cette équipe pour obtenir de l’aide lors d’une attaque DDoS et demander une analyse après attaque. L’équipe de réponse rapide de la protection DDoS suit le modèle de support Azure Rapid Response.

Vous pouvez informer l’équipe en ouvrant une demande de support sur le Portail Azure. Contactez l’équipe si :

  • votre entreprise planifie un événement virtuel qui devrait augmenter considérablement votre trafic réseau,
  • une attaque dégrade gravement les performances d’un système métier critique protégé,
  • votre équipe de sécurité détermine que les ressources protégées sont attaquées, mais DDoS Protection n’atténue pas efficacement l’attaque.