Proteção contra DDoS do aplicativo (Camada 7)

O Azure Front Door tem vários recursos e características que podem ajudar a evitar ataques de negação de serviço distribuído (DDoS). Os ataques de DDoS podem ser direcionados à camada de rede (C3/C4) ou à camada de aplicativo (C7). O DDoS do Azure protege o cliente contra ataques volumétricos de camada de rede grandes. O WAF do Azure que opera na camada 7 protege os aplicativos Web contra ataques de DDoS C7, como inundações HTTP. Essas defesas podem impedir que os invasores cheguem ao aplicativo e afetem a disponibilidade e o desempenho dele.

Como você pode proteger seus serviços?

Esses ataques podem ser mitigados adicionando Firewall de Aplicativo Web (WAF) ou colocando o DDoS na frente do serviço para filtrar solicitações incorretas. O Azure oferece execução de WAF na borda da rede com o Azure Front Door e nos data centers com o Gateway de Aplicativo. Essas etapas são uma lista generalizada e precisam ser ajustadas para atender ao serviço de requisitos de aplicativo.

• Implante o Azure Firewall de Aplicativo Web (WAF) ( com o Azure Front Door Premium ou com o SKU v2 do WAF do Gateway de Aplicativo para proteger contra ataques de camada de aplicativo C7.
• Escale verticalmente o número de instâncias de origem para que haja capacidade sobressalente suficiente.
• Habilite a Proteção contra DDoS do Azure nos IPs públicos de origem para proteger seus IPs públicos contra ataques de DDoS na camada 3(C3) e na camada 4(C4). As ofertas de DDoS do Azure podem proteger automaticamente a maioria dos sites contra ataques volumétricos C3 e C4 que enviam um grande número de pacotes para um site. O Azure também oferece proteção em nível de infraestrutura para todos os sites hospedados no Azure por padrão.

WAF do Azure com o Azure Front Door

O WAF do Azure tem muitos recursos que podem ser usados para atenuar diferentes tipos de ataques, como inundações de HTTP, bypass de cache e ataques iniciados por botnets.

• Use o conjunto de regras gerenciadas de proteção contra bots para se proteger contra bots nocivos conhecidos. Para obter mais informações, consulte Configurar proteção contra bots.

• Aplique limites de taxa para impedir que os endereços IP chamem seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.

• Os endereços IP e os intervalos identificados como mal-intencionados podem ser bloqueados. Para obter mais informações, consulte Restrições de IP.

• Bloqueie ou redirecione para uma página da Web estática qualquer tráfego de fora de uma região geográfica definida ou dentro de uma região definida que não se ajuste ao padrão de tráfego do aplicativo. Para saber mais, veja Filtragem geográfica.

• Crie regras do WAF personalizadas para bloquear automaticamente e limitar a taxa de ataques HTTP ou HTTPS que tenham assinaturas conhecidas. Assinatura, como um agente de usuário específico ou um padrão de tráfego específico, incluindo cabeçalhos, cookies, parâmetros de cadeias de consulta ou uma combinação de várias assinaturas.

Além do WAF, o Azure Front Door também oferece proteção padrão contra DDoS da Infraestrutura do Azure para proteger contra ataques de DDoS C3/4. A habilitação do armazenamento em cache no Azure Front Door pode ajudar a absorver o volume de tráfego de pico repentino na borda e também proteger as origens de back-end contra ataques.

Para obter mais informações sobre recursos e proteção contra DDoS no Azure Front Door, consulte Proteção contra DDoS no Azure Front Door.

WAF do Azure com o Gateway de Aplicativo do Azure

É recomendável usar o SKU v2 do WAF do Gateway de Aplicativo, que vem com os recursos mais recentes, incluindo os recursos de mitigação de DDoS L7, para se defender contra ataques de negação de serviço distribuído L7.

SKUs do WAF do Gateway de Aplicativo podem ser usados para atenuar muitos ataques de DDoS C7:

• Configure o Gateway de Aplicativo para escalar verticalmente automaticamente e não impor o número máximo de instâncias.

• O uso de conjunto de regras gerenciadas de proteção contra bots fornece proteção contra bots nocivos conhecidos. Para obter mais informações, consulte Configurar proteção contra bots.

• Aplique limites de taxa para impedir que os endereços IP chamem seu serviço com muita frequência. Para obter mais informações, confira Configurar regras personalizadas de limite de taxa.

• Os endereços IP e os intervalos identificados como mal-intencionados podem ser bloqueados. Para obter mais informações, veja exemplos em Criar e usar regras personalizadas v2.

• Bloqueie ou redirecione para uma página da Web estática qualquer tráfego de fora de uma região geográfica definida ou dentro de uma região definida que não se ajuste ao padrão de tráfego do aplicativo. Para obter mais informações, veja exemplos em Criar e usar regras personalizadas v2.

• Crie regras do WAF personalizadas para bloquear automaticamente e limitar a taxa de ataques HTTP ou HTTPS que tenham assinaturas conhecidas. Assinaturas, como um agente de usuário específico ou um padrão de tráfego específico, incluindo cabeçalhos, cookies, parâmetros de string de consulta ou uma combinação de várias assinaturas.

Outras considerações

• Bloqueie o acesso a IPs públicos na origem e restrinja o tráfego de entrada para permitir apenas o tráfego do Azure Front Door ou do Gateway de Aplicativo para a origem. Consulte as diretrizes no Azure Front Door. Os Gateways de Aplicativos são implantados em uma rede virtual, garantindo que não haja IPs expostos publicamente.

• Alterne a política do WAF para o modo de prevenção. A implantação da política no modo de detecção opera apenas no registro e não bloqueia o tráfego. Depois de verificar e testar sua política de WAF com tráfego de produção e ajuste fino para reduzir os falsos positivos, você deve transformar a política no modo de prevenção (modo bloquear/defender).

• Monitore o tráfego por meio de logs do WAF do Azure para quaisquer anomalias. Você pode criar regras personalizadas para bloquear qualquer tráfego ofensivo: IPs suspeitos que enviam um número extraordinariamente alto de solicitações, cadeia de caracteres incomum de agente de usuário, padrões de cadeia de caracteres de consulta anômalas etc.

• Você pode ignorar o WAF para tráfego legítimo conhecido criando Regras Personalizadas de Correspondência com a ação Permitir para reduzir falsos positivos. Essas regras devem ser configuradas com uma prioridade mais alta (valor numérico mais baixo) do que outras regras de limite de bloco e taxa.

• No mínimo, você deve ter uma regra de limite de taxa que bloqueie uma alta taxa de solicitações de qualquer endereço IP único. Por exemplo, você pode configurar uma regra de limite de taxa para não permitir que nenhum endereço IP do cliente único envie mais de XXX tráfego por janela para seu site. O WAF do Azure dá suporte a duas janelas para acompanhamento de solicitações, 1 e 5 minutos. É recomendável usar a janela de cinco minutos para uma melhor mitigação de ataques de inundação HTTP. Essa regra deve ser a regra de prioridade mais baixa (a prioridade é ordenada com 1 sendo a prioridade mais alta), de modo que regras mais específicas de limite de taxa ou de regras de correspondência possam ser criadas para corresponder antes dessa regra. Se você estiver usando o WAF do Gateway de Aplicativo v2, poderá usar configurações adicionais de limitação de taxa para rastrear e bloquear clientes por métodos diferentes do IP do cliente. Encontre mais informações sobre os Limites de Taxa no WAF do Gateway de Aplicativo em Visão geral dos Limites de Taxa.

  A consulta do Log Analytics a seguir pode ser útil para determinar o limite que você deve usar para a regra acima. Para uma consulta semelhante, mas com o Gateway de Aplicativo, substitua "FrontdoorAccessLog" por "ApplicationGatewayAccessLog".

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• As regras gerenciadas, embora não sejam diretamente direcionadas para defesas contra ataques de negação de serviço distribuído, oferecem proteção contra outros ataques comuns. Para obter mais informações, confira Regras gerenciadas (Azure Front Door) ou Regras gerenciadas (Gateway de Aplicativo) para saber mais sobre os vários tipos de ataque contra os quais essas regras podem ajudar a proteger.

Análise de log do WAF

Você pode analisar os logs do WAF na Análise de Logs com a seguinte consulta.

Porta da frente do Azure

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Para obter mais informações, consulte WAF do Azure com o Azure Front Door.

Gateway de Aplicativo do Azure

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Para obter mais informações, consulte WAF do Azure com o Gateway de Aplicativo do Azure.

Próximas etapas

• Criar uma política de WAF para o Azure Front Door.

• Criar um Gateway de Aplicativo com um Firewall de Aplicativo Web.

• Saiba como o Azure Front Door pode ajudar a proteger contra ataques de DDoS.

• Proteja o gateway de aplicativo com a Proteção de Rede contra DDoS do Azure.

• Saiba mais sobre a Proteção contra DDoS do Azure.