Che cos'è Protezione DDoS di Azure?

  • 12 minuti

Microsoft offre gratuitamente la protezione dell'infrastruttura DDoS a tutti i clienti di Azure. Microsoft offre anche servizi aggiuntivi in Protezione DDoS.

Protezione dell'infrastruttura DDoS di Azure o Protezione DDoS di Azure

Si stanno esaminando i vantaggi di Contoso per eseguire l'aggiornamento a Protezione DDoS di Azure per i servizi in esecuzione in Azure. La motivazione della valutazione di questa opzione di aggiornamento, con il consenso degli esperti di protezione DDoS, risiede nella la frequenza e complessità crescente degli attacchi DDoS.

Il traffico di attacco non deve essere compreso in un intervallo di terabit al secondo per arrestare un'applicazione. Gli attacchi mirati specifici possono avere un effetto sulla disponibilità di un'applicazione in esecuzione in Azure che riceve traffico dalla rete Internet pubblica.

Che cos'è un attacco DDoS?

In un attacco DDoS, un esecutore inonda intenzionalmente il sistema, ad esempio un server, un sito Web o un'altra risorsa di rete, con traffico fasullo. I computer sono connessi in una rete coordinata di comando e controllo, denominata botnet. Una terza parte malintenzionata controlla la botnet per avviare l'attacco DDoS. L'attività attiva un attacco DDoS agli utenti legittimi sovraccaricando le funzionalità del servizio. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint raggiungibile pubblicamente tramite Internet.

L'immagine seguente illustra un tipico attacco DDoS da una botnet.

DDoS attack from a botnet that's controlling computers and sending malicious traffic to a website, which exhausts its resources and makes it unavailable to legitimate users.

Alcuni attacchi DDoS comuni sono:

  • Attacchi volumetrici. Questi attacchi usano sistemi multipli infetti per intasare il livello di rete con una notevole quantità di traffico in apparenza legittimo. I sistemi multipli compromessi fanno in genere parte di una botnet criminale. I tipi di attacchi DDoS volumetrici sono:

    • Attacchi UDP flood. L'utente malintenzionato invia pacchetti UDP, in genere di grandi dimensioni, a una singola destinazione o a porte casuali. I sistemi di attacco possono facilmente falsificare il proprio indirizzo IP, perché il protocollo UDP è senza connessione.
    • Amplification attack. Un server DNS è inondato da richieste apparentemente legittime per il servizio. L'obiettivo dell'utente malintenzionato è quello di saturare il servizio DNS esaurendo la capacità della larghezza di banda.
    • Altri attacchi flood con pacchetti falsificati. Invio di grandi quantità di traffico fasullo a una risorsa.

  • Attacchi ai protocolli. Questi attacchi hanno come destinazione il livello 3 o il livello 4 del modello OSI sfruttando un punto debole in TCP. Un esempio di attacco DDoS basato su protocollo è un attacco flood SYN TCP, che sfrutta parte dell'handshake a tre vie. L'utente malintenzionato invia una sequenza di richieste SYN TCP, ignorando la risposta SYN+ACK. Questo attacco viene indirizzato verso una destinazione con l'obiettivo di sovraccaricarla e renderla incapace di rispondere.

  • Attacchi a livello di risorsa (applicazione). Gli attacchi a livello di risorsa hanno come destinazione il livello "superiore" del modello OSI per compromettere la trasmissione dei dati tra host. Questi attacchi di livello 7 includono lo sfruttamento del protocollo HTTP, attacchi SQL injection, scripting intersito e altri attacchi a livello di applicazione.

Offerte di Protezione DDoS di Azure

Protezione DDoS somiglia a un sistema di backup sicuro e funzionante. Il valore di un backup per l'organizzazione non è ovvio finché non è necessario. Protezione DDoS, come un backup, offre una mitigazione dei rischi contro potenziali minacce.

Protezione dell'infrastruttura DDoS

Azure offre una protezione continua contro gli attacchi DDoS. Protezione DDoS non archivia i dati dei clienti. Protezione DDoS di Azure livello Basic protegge senza costi aggiuntivi tutti i servizi di Azure che usano indirizzi IPv4 e IPv6 pubblici. Questo servizio di Protezione DDoS aiuta a proteggere tutti i servizi di Azure, inclusi i servizi PaaS (Platform as a service), ad esempio DNS di Azure. La protezione dell'infrastruttura DDoS non richiede modifiche alla configurazione utente o all'applicazione.

La protezione dell'infrastruttura DDoS di Azure offre:

  • Monitoraggio del traffico attivo e rilevamento always on. La protezione dell'infrastruttura DDoS monitora tutti i giorni i modelli di traffico dell'applicazione, ogni giorno, cercando indicatori di attacchi DDoS.
  • Mitigazione automatica degli attacchi. Una volta rilevato, l'attacco viene mitigato.
  • Contratto di servizio di protezione dell'infrastruttura DDoS, basato sull'area di Azure con il supporto ottimale.

I servizi in esecuzione in Azure sono intrinsecamente protetti dalla protezione DDoS predefinita a livello di infrastruttura. Tuttavia, la protezione che protegge l'infrastruttura ha una soglia molto più elevata di quella che la maggior parte delle applicazioni può gestire e non offre dati di telemetria o avvisi, pertanto, anche se un volume di traffico può essere percepito come innocuo dalla piattaforma, può essere dannoso per l'applicazione che lo riceve.

Tramite l'onboarding nel servizio Protezione DDoS di Azure, l'applicazione ottiene un monitoraggio dedicato per rilevare gli attacchi e le soglie specifiche dell'applicazione. Un servizio verrà protetto con un profilo ottimizzato per il volume di traffico previsto, offrendo una difesa molto più efficiente contro gli attacchi DDoS.

Protezione della rete Azure DDoS

Protezione di rete DDoS offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzata automaticamente per proteggere le specifiche risorse di Azure in una rete virtuale.

L'elenco seguente descrive le funzionalità e i vantaggi della protezione di rete DDoS:

  • Protezione per 100 risorse IP pubbliche.
  • Una profilatura intelligente del traffico, che verrà illustrata nell'unità successiva.
  • Integrazione nativa nel portale di Azure per l'installazione e la distribuzione. Questo livello di integrazione consente a Protezione DDoS di identificare le risorse di Azure e le relative configurazioni.
  • Quando protezione di rete DDoS è abilitata per una rete virtuale, tutte le risorse in tale rete vengono protette automaticamente. Non è necessaria alcuna procedura amministrativa aggiuntiva.
  • Le risorse di rete sono soggette a monitoraggio costante del traffico alla ricerca di eventuali indizi di un attacco DDoS. Una volta rilevata, Protezione di rete DDoS interviene e attenua automaticamente l'attacco.
  • Consente di proteggere i livelli 3 e 4 a livello di rete. Garantisce anche la protezione dell'applicazione (livello 7) con Web application firewall di Azure, incluso con il gateway di Azure. Poiché il gateway di Azure e Web Application Firewall sono connessi a Internet, Protezione DDoS protegge le interfacce di rete. Questa strategia di protezione è un esempio di protezione a più livelli o di protezione avanzata.
  • Offre report analitici dettagliati sugli attacchi durante l'attacco a intervalli di cinque minuti e un report dopo l'azione per un riepilogo completo dell'evento al termine dell'attacco.
  • Include il supporto per l'integrazione dei log di mitigazione con Microsoft Defender per il cloud, Microsoft Sentinel o un sistema SIEM (Security Information and Event Management) offline per il monitoraggio near real-time durante un attacco.
  • Monitoraggio di Azure raccoglie i dati di telemetria di monitoraggio da Protezione di rete DDoS per l'accesso alle metriche di attacco riepilogate.

Protezione IP Azure DDoS

Protezione IP DDoS è un modello IP è un modello IP con pagamento in base al consumo. Protezione IP DDoS contiene le stesse funzionalità di progettazione di base di Protezione di rete DDoS, ma differiscono nei servizi a valore aggiunto seguenti:

  • Supporto DDoS Rapid Response
  • Protezione dei costi
  • Sconti su WAF.

Servizi a valore aggiunto

La garanzia dei costi e il supporto di risposta rapida DDoS sono due delle altre importanti funzionalità di Protezione di rete DDoS.

Garanzia sui costi

All'inizio di un attacco DDoS, l'aumento della larghezza di banda di rete e/o il ridimensionamento del numero di macchine virtuali, spesso attiva la scalabilità automatica del servizio in esecuzione in Azure.

Nota

I clienti che eseguono l'onboarding a Protezione DDoS ricevono un credito del servizio per il costo di scale-out dell'applicazione e larghezza di banda di rete che subiscono durante un attacco DDoS documentato. Questo credito è rilasciato direttamente da Microsoft.

Supporto DDoS Rapid Response

Microsoft ha creato un team Rapid Response per Protezione DDoS. È possibile contattare questo team per ricevere assistenza durante un attacco DDoS e richiedere un'analisi post-attacco. Il team Rapid Response di Protezione DDoS segue il modello di supporto Azure Rapid Response.

È possibile inviare una notifica al team aprendo una richiesta di supporto nel portale di Azure. Contattare il team se:

  • La società sta pianificando un evento virtuale che sin prevede possa aumentare significativamente il traffico di rete.
  • È in corso un attacco che sta gravemente degradando le prestazioni di un sistema aziendale critico protetto.
  • Il team di sicurezza ritiene che alcune risorse protette siano sotto attacco, ma Protezione DDoS non mitiga l'attacco in modo efficace.