Distribuire Protezione DDoS di Azure usando il portale di Azure
- 8 minuti
Un attacco Denial of Service (DoS) è un attacco che ha l'obiettivo di impedire l'accesso ai servizi o ai sistemi. Un attacco DoS ha origine da un'unica posizione. Un attacco Distributed Denial of Service (DDoS) ha origine da più reti e sistemi.
Gli attacchi DDoS sono uno dei problemi di sicurezza che riguardano i clienti che spostano le applicazioni nel cloud. Un attacco DDoS cerca di esaurire le risorse di un'API o un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint raggiungibile pubblicamente tramite Internet.
Protezione DDoS di Azure protegge le risorse in una rete virtuale. La protezione include indirizzi IP pubblici della macchina virtuale, servizi di bilanciamento del carico e gateway applicazione. Se abbinata a web application firewall del gateway applicazione, Protezione DDoS può fornire funzionalità di mitigazione complete dal livello 3 al livello 7.
Tipi di attacchi DDoS
Protezione DDoS contribuisce a mitigare i seguenti tipi di attacchi.
Attacchi volumetrici. Questi attacchi intasano il livello rete con una notevole quantità di traffico in apparenza legittimo. Includono UDP flood, flood di amplificazione e altri flood con pacchetti falsificati.
Attacchi al protocollo. Questi attacchi rendono inaccessibile una destinazione sfruttando una vulnerabilità nello stack di protocolli di livello 3 e di livello 4. Gli attacchi includono attacchi SYN flood, attacchi di reflection e altri attacchi ai protocolli.
Attacchi a livello di risorsa (applicazione). Questi attacchi prendono di mira i pacchetti delle applicazioni Web, per interrompere la trasmissione dei dati tra gli host. Gli attacchi includono violazioni del protocollo HTTP, attacchi di tipo SQL injection, scripting intersito e altri attacchi di livello 7.
Livelli di implementazione DDoS
Protezione DDoS di Azure offre due livelli: Protezione IP DDoS e Protezione di rete DDoS. Entrambi i livelli forniscono il monitoraggio del traffico attivo, il rilevamento sempre attivo e la mitigazione automatica degli attacchi. I livelli includono criteri di mitigazione basati su applicazioni, metriche e avvisi, report di mitigazione e integrazione con Gestione firewall. Ogni livello è progettato per soddisfare esigenze e scenari diversi.
Protezione IP DDoS. Questo livello è adatto per proteggere singoli indirizzi IP pubblici. È ideale per gli scenari in cui sono disponibili meno di 15 risorse IP pubbliche da proteggere.
Protezione di rete DDoS. Questo livello offre altri vantaggi, ad esempio il supporto rapido delle risposte e la protezione dei costi. Scegliere questo livello quando si ha una distribuzione più grande con più di 15 indirizzi IP pubblici.
Funzionalità di protezione DDoS di Azure
Ecco alcune delle funzionalità di protezione DDoS di Azure:
Integrazione della piattaforma nativa. Integrazione nativa in Azure e configurazione tramite il portale.
Protezione chiavi in mano. Configurazione semplificata per una protezione immediata di tutte le risorse.
Monitoraggio del traffico sempre attivo. I modelli di traffico dell'applicazione vengono monitorati 24 ore su 24, 7 giorni su 7, alla ricerca di indicatori di attacchi DDoS.
Ottimizzazione adattiva. Profilatura e regolazione del traffico del servizio.
Analisi degli attacchi. Ottenere report dettagliati con incrementi di cinque minuti durante un attacco e un riepilogo completo al termine dell'attacco.
Metriche e avvisi di attacco. Tramite Monitoraggio di Azure è possibile accedere al riepilogo delle metriche per ogni attacco. Gli avvisi possono essere configurati all'inizio e all'arresto di un attacco e per tutta la durata dell'attacco, usando le metriche di attacco predefinite.
Protezione a più livelli. Quando viene distribuito con un web application firewall, Protezione DDoS protegge sia a livello di rete che a livello di applicazione.