Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Strategia di difesa da attacchi Denial of Service
La strategia di Microsoft per la difesa dagli attacchi DDoS (Distributed Denial of Service) basati sulla rete è unica a causa di un footprint globale elevato, che consente a Microsoft di utilizzare strategie e tecniche non disponibili per la maggior parte delle altre organizzazioni. Inoltre, Microsoft contribuisce e attinge da conoscenze collettive aggregate da un'ampia rete di intelligence sulle minacce, che include partner Microsoft e la più ampia community di sicurezza Internet. Questa intelligence, insieme alle informazioni raccolte da Servizi online e dalla base clienti globale di Microsoft, migliora continuamente il sistema di difesa DDoS di Microsoft che protegge tutti gli asset di Microsoft Servizi online.
La chiave di volta della strategia DDoS di Microsoft è la presenza globale. Microsoft interagisce con provider Internet, provider di peering (pubblici e privati) e società private in tutto il mondo. Questo coinvolgimento offre a Microsoft una significativa presenza su Internet e consente a Microsoft di assorbire gli attacchi in un'ampia area di superficie
Man mano che la capacità perimetrale di Microsoft è cresciuta nel tempo, l'importanza degli attacchi contro i singoli bordi è notevolmente diminuita. A causa di questa diminuzione, Microsoft ha separato i componenti di rilevamento e mitigazione del sistema di prevenzione DDoS. Microsoft distribuisce sistemi di rilevamento a più livelli nei data center regionali per rilevare gli attacchi più vicini ai punti di saturazione, mantenendo al tempo stesso la mitigazione globale nei nodi perimetrali. Questa strategia garantisce che i servizi Microsoft possano gestire più attacchi simultanei.
Una delle difese più efficaci e a basso costo usate da Microsoft contro gli attacchi DDoS è la riduzione delle superfici di attacco del servizio. Il traffico indesiderato viene eliminato nel perimetro di rete invece di analizzare, elaborare e pulire i dati inline.
Nell'interfaccia con la rete pubblica, Microsoft usa dispositivi di sicurezza per scopi speciali per le funzioni firewall, di conversione degli indirizzi di rete e di filtro IP. Microsoft usa anche il routing ECMP (Equal Cost Multi-Path) globale. Il routing ECMP globale è un framework di rete per garantire che siano presenti più percorsi globali per raggiungere un servizio. Con più percorsi per ogni servizio, gli attacchi DDoS sono limitati all'area da cui ha origine l'attacco. Altre aree non devono essere interessate dall'attacco, in quanto gli utenti finali userebbero altri percorsi per raggiungere il servizio in tali aree. Microsoft ha anche sviluppato sistemi di correlazione e rilevamento DDoS interni che usano dati di flusso, metriche delle prestazioni e altre informazioni per rilevare rapidamente gli attacchi DDoS.
Per proteggere ulteriormente i servizi cloud, Microsoft usa Protezione DDoS di Azure, un sistema di difesa DDoS integrato nei processi continui di monitoraggio e test di penetrazione di Microsoft Azure. La protezione DDoS di Azure è progettata non solo per resistere agli attacchi esterni, ma anche agli attacchi di altri tenant di Azure. Azure usa tecniche di rilevamento e mitigazione standard come i cookie SYN, la limitazione della frequenza e i limiti di connessione per la protezione dagli attacchi DDoS. Per supportare le protezioni automatizzate, un team di risposta agli eventi imprevisti DDoS tra carichi di lavoro identifica i ruoli e le responsabilità tra i team, i criteri per le escalation e i protocolli per la gestione degli eventi imprevisti tra i team interessati.
La maggior parte degli attacchi DDoS lanciati contro gli obiettivi sono ai livelli Rete (L3) e Trasporto (L4) del modello Open Systems Interconnection (OSI). Gli attacchi diretti ai livelli L3 e L4 sono progettati per inondare un'interfaccia di rete o un servizio con traffico di attacco per sovraccaricare le risorse e negare la capacità di rispondere al traffico legittimo. Per proteggersi dagli attacchi L3 e L4, le soluzioni DDoS di Microsoft usano i dati di campionamento del traffico dai router dei data center per proteggere l'infrastruttura e gli obiettivi dei clienti. I dati di campionamento del traffico sono analizzati da un servizio di monitoraggio di rete per rilevare gli attacchi. Quando viene rilevato un attacco, entrano in gioco meccanismi di difesa automatizzati per mitigare l'attacco e garantire che il traffico di attacco diretto a un cliente non comporti danni collaterali o una riduzione della qualità del servizio di rete per altri clienti.
Microsoft adotta anche un approccio offensivo alla difesa DDoS. Le botnet sono una fonte comune di comando e controllo per condurre attacchi DDoS per amplificare gli attacchi e mantenere l'anonimato. Microsoft Digital Crimes Unit (DCU) si concentra sull'identificazione, l'analisi e l'interruzione dell'infrastruttura di distribuzione e comunicazione di malware per ridurre la scalabilità e l'impatto delle botnet.
Difese a livello di applicazione
I servizi cloud microsoft sono creati intenzionalmente per supportare carichi elevati, che consentono di proteggere dagli attacchi DDoS a livello di applicazione. L'architettura con scalabilità orizzontale di Microsoft distribuisce i servizi tra più data center globali con isolamento a livello di area e funzionalità di limitazione specifiche del carico di lavoro per i carichi di lavoro pertinenti.
Il paese o l'area geografica di ogni cliente, identificato dall'amministratore del cliente durante la configurazione iniziale dei servizi, determina la posizione di archiviazione primaria per i dati del cliente. I dati dei clienti vengono replicati tra data center ridondanti in base a una strategia primaria/di backup. Un data center primario ospita il software dell'applicazione insieme a tutti i dati dei clienti primari in esecuzione nel software. Un data center di backup fornisce il failover automatico. Se il data center primario smette di funzionare per qualsiasi motivo, le richieste vengono reindirizzate alla copia dei dati del software e dei clienti nel data center di backup. In qualsiasi momento, i dati dei clienti possono essere elaborati nel data center primario o di backup. La distribuzione dei dati tra più data center riduce la superficie interessata nel caso in cui venga attaccato un data center. Inoltre, i servizi nel data center interessato possono essere reindirizzati rapidamente al data center secondario per mantenere la disponibilità durante un attacco e reindirizzati al data center primario dopo che un attacco è stato mitigato.
Come un'altra mitigazione contro gli attacchi DDoS, i singoli carichi di lavoro includono funzionalità predefinite che gestiscono l'utilizzo delle risorse. Ad esempio, i meccanismi di limitazione delle richieste in Exchange Online e SharePoint Online fanno parte di un approccio multilivello per la difesa dagli attacchi DDoS.
Azure SQL database ha un livello di sicurezza aggiuntivo sotto forma di servizio gateway denominato DoSGuard che tiene traccia dei tentativi di accesso non riusciti in base all'indirizzo IP. Se viene raggiunta la soglia per i tentativi di accesso non riusciti dallo stesso IP, DoSGuard blocca l'indirizzo per un periodo di tempo predeterminato.