Comprendere in che modo Microsoft si protegge dagli attacchi DoS
Denial of Service (DoS) si riferisce a una categoria di attacchi basati sulla rete in cui un utente malintenzionato utilizza tutte le risorse di un sistema vittima con l'obiettivo di impedire attività legittime. Poiché l'identificazione e il blocco del traffico da una singola origine di problemi è semplice, la forma più pericolosa di attacchi DoS è la DDoS (Distributed Denial of Service). Gli attacchi DDoS usano molti sistemi intermedi compromessi controllati da un utente malintenzionato per sovraccaricare il sistema di destinazione. La varietà e il numero di origini degli attacchi rendono gli attacchi DDoS più difficili da rilevare e bloccare.
Tre fattori principali determinano l'efficacia di un sistema di difesa DDoS: assorbimento, rilevamento e mitigazione. L'eliminazione dell'attacco DoS iniziale senza perdita di disponibilità è necessaria per consentire un tempo sufficiente per il rilevamento e la mitigazione. Senza la capacità di assorbimento appropriata, potrebbe non esserci tempo sufficiente per rispondere a un attacco DDoS prima che il sistema venga sovraccaricato. Per questo motivo, la corretta difesa DDoS si basa su una combinazione di maggiore capacità e sistemi di monitoraggio affidabili per ridurre i tempi di rilevamento.
Microsoft usa la scalabilità e il footprint globale in modo univoco per rafforzare le funzionalità di assorbimento. La presenza di rete distribuita a livello globale consente l'implementazione del routing ecmp (Equal-Cost Multi-Path), fornendo la ridondanza del percorso di rete per l'accesso ai servizi Microsoft 365 e l'isolamento degli attacchi DDoS nell'area in cui si verificano. Inoltre, i servizi e i dati dei clienti vengono replicati tra i data center con la possibilità di eseguire il failover se il data center primario diventa non disponibile. Questo approccio significa che i singoli attacchi DDoS in un determinato punto perimetrale non rappresentano un rischio significativo per la disponibilità dei servizi Microsoft 365.
Per gestire meglio il rischio di più attacchi DDoS simultanei, Microsoft ha separato il sistema di rilevamento a più livelli dai componenti di mitigazione distribuiti a livello globale nella rete perimetrale. I dati del flusso e le informazioni sulle prestazioni provenienti da vari punti della rete Microsoft vengono usati per sviluppare e migliorare i sistemi di correlazione e rilevamento DDoS. Il principio di negazione implicita di Microsoft per il traffico di rete garantisce che le comunicazioni indesiderate vengano eliminate nella rete perimetrale, riducendo le superfici di attacco del servizio e il carico di analisi.
Una volta rilevati, gli attacchi DDoS vengono gestiti usando tecniche di mitigazione standard come cookie SYN, limitazione della velocità e limiti di connessione. Gli attacchi DDoS spesso puntano ai livelli Rete (L3) e Trasporto (L4) del modello OSI (Open System Interconnection), saturando le linee di rete e le risorse del dispositivo. Microsoft ha progettato una soluzione incentrata sulla protezione di questi livelli per garantire che il traffico degli attacchi non interferisca o causi danni al traffico legittimo dei clienti. I dati di campionamento del traffico dai router dei data center vengono inseriti e analizzati dai sistemi di monitoraggio di Microsoft, fornendo meccanismi di difesa automatizzati da attivare se viene rilevato un attacco DDoS a questi livelli ad alto rischio.
Nell'ambito di un approccio a più livelli alla difesa DDoS, le applicazioni come Exchange Online e SharePoint Online possono limitare gli utenti in base alle risorse utilizzate. Un esempio comune è la limitazione di un utente o di un servizio che esegue troppe azioni in un breve periodo di tempo. In questo modo viene fornito un ulteriore livello di difesa dagli attacchi DDoS.