Compartilhar via

Recursos de Proteção contra DDoS do Azure

  • Artigo

As seções a seguir descrevem os principais recursos do serviço de Proteção contra DDoS do Azure.

Monitoramento de tráfego Always On

A Proteção contra DDoS monitora a utilização de tráfego real e compara-a constantemente com os limites definidos na Política de DDoS. Quando esse limite de tráfego for excedido, a mitigação de DDoS será iniciada automaticamente. Quando o tráfego retorna para baixo do limite, a mitigação é interrompida.

Captura de tela da Mitigação da Proteção contra DDoS do Azure.

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de Proteção contra DDoS e diversas verificações são executadas, como:

  • Assegure que os pacotes estejam em conformidade com as especificações de Internet e não estejam malformados.
  • Interaja com o cliente para determinar se o tráfego é potencialmente um pacote falsificado (por exemplo: Autenticação SYN ou Cookie SYN ou descartando um pacote para que a origem o retransmita).
  • Estabelecer limites de taxa para pacotes se nenhum outro método de imposição puder ser executado.

A Proteção contra DDoS remove o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Dentro de alguns minutos após a detecção do ataque, você é notificado utilizando as métricas do Azure Monitor. Configurando o registro em log na telemetria da Proteção contra DDoS, você pode gravar os logs de opções disponíveis para análise futura. Os dados de métrica no Azure Monitor para a Proteção contra DDoS são mantidos por 30 dias.

Ajuste adaptável em tempo real

A complexidade dos ataques (por exemplo, ataque de negação de serviço distribuído de múltiplos vetores) e os comportamentos específicos de aplicativos dos locatários necessitam de políticas de proteção personalizadas por cliente. O serviço realiza isso usando dois insights:

  • Aprendizado automático de padrões de tráfego por cliente (por IP público) das camadas 3 e 4.

  • Minimizando falsos positivos, considerando que a escala do Azure permite que absorva uma quantidade significativa de tráfego.

Diagrama de como funciona a Proteção contra DDoS.

Telemetria, monitoramento e alertas da Proteção contra DDoS

A Proteção contra DDoS expõe telemetria avançada por meio do Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor que a Proteção contra DDoS utiliza. Você pode integrar o log com Splunk (Hubs de Eventos do Azure), com os logs do Azure Monitor e o Armazenamento do Azure para análise avançada por meio da interface de diagnóstico do Azure Monitor.

Políticas de mitigação da Proteção contra DDoS do Azure

No portal do Azure, selecione Monitor>Métricas. No painel Métricas, selecione o grupo de recursos, o tipo de recurso do Endereço IP Público e o endereço IP público do Azure. As métricas de DDoS estão visíveis no painel de Métricas disponíveis.

A Proteção contra DDoS aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) em cada IP público do recurso protegido na rede virtual que tem o DDoS habilitado. Exiba os limites da política selecionando a métrica Pacotes de entrada para disparar a mitigação de DDoS.

Captura de tela de métricas disponíveis e gráfico de métricas.

Os limites da política são configurados automaticamente por meio da criação de perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política for excedido.

Para obter mais informações, consulte Exibir e configurar a telemetria da Proteção contra DDoS.

Métrica para um endereço IP sob ataque de DDoS

Se o endereço IP público estiver sob ataque, o valor da métrica Sob ataque de DDoS ou não mudará para 1 conforme a Proteção contra DDoS executa a mitigação do tráfego do ataque.

Captura de tela de gráfico e métrica

É recomendável configurar um alerta nessa métrica. Você será notificado quando houver uma mitigação de DDoS ativa executada no seu endereço IP público.

Para ver mais informações, consulte Gerenciar a Proteção contra DDoS do Azure usando o portal do Azure.

Firewall do aplicativo Web para ataques de recurso

Especificamente para ataques de recursos na camada de aplicativo, você deve configurar o WAF (Firewall do Aplicativo Web) para ajudar a proteger os aplicativos Web. O WAF inspeciona o tráfego de entrada da Web para bloquear injeções de SQL, scripts intersites, DDoS e outros ataques da camada 7. O Azure fornece o WAF como um recurso do Gateway de Aplicativo para proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. Há outras ofertas de WAF disponíveis de parceiros do Azure que podem ser mais adequadas às suas necessidades no Microsoft Azure Marketplace.

Mesmo os firewalls do aplicativo Web estão suscetíveis a ataques de esgotamento volumétrico e de estado. Nós recomendamos habilitar a Proteção contra DDoS em uma rede virtual WAF para ajudar a protegê-la contra ataques volumétricos e de protocolo. Para obter mais informações, consulte a seção Arquiteturas de referência da Proteção contra DDoS.

Planejamento da proteção

Planejamento e preparação são cruciais para entender como será o desempenho de um sistema durante um ataque de DDoS. Criar um plano de resposta de gerenciamento de incidentes faz parte desse esforço.

Caso tenha a Proteção contra DDoS Standard, certifique-se de que ela esteja habilitada na rede virtual dos pontos de extremidade voltados para a Internet. Configurar alertas de DDoS ajuda a manter um olhar constante sobre qualquer possível ataque à sua infraestrutura.

Monitore seus aplicativos de forma independente. Entenda o comportamento normal do aplicativo. Prepare-se para agir caso o aplicativo não esteja se comportando conforme o esperado durante um ataque de DDoS.

Saiba como seus serviços responderão a um ataque testando por meio de simulações de DDoS.

Próximas etapas