Descreva a proteção contra DDoS do Azure

  • 4 minutos

Qualquer empresa, de pequeno ou grande porte, pode ser alvo de um grave ataque de rede. A natureza desses ataques pode ser fazer chamar atenção ou porque o invasor queria um desafio.

Ataques de negação de serviço distribuídos

O objetivo de um ataque de DDoS (negação de serviço distribuído) é sobrecarregar os recursos em seus aplicativos e servidores, tornando-os sem resposta ou lentos para usuários autênticos. Um ataque de DDoS geralmente visará qualquer dispositivo voltado ao público que possa ser acessado pela Internet.

Os três tipos mais frequentes de ataque de DDoS são:

  • Ataques volumétricos: são ataques baseados em volume que inundam a camada de rede com um tráfego aparentemente legítimo, sobrecarregando a largura de banda disponível. O tráfego legítimo não pode ser obtido.
  • Ataques de protocolo: os ataques de protocolo processam um destino inacessível esgotando os recursos do servidor com solicitações de protocolo falso que exploram os pontos fracos nos protocolos de camada 3 (rede) e camada 4 (transporte).
  • Ataques de camada de recursos (aplicativo): esses ataques são direcionados a pacotes de aplicativo Web para interromper a transmissão de dados entre os hosts.

O que é a Proteção contra DDoS do Azure?

O serviço de proteção contra DDoS do Azure foi projetado para ajudar a proteger seus aplicativos e servidores ao analisar o tráfego de rede e descartar qualquer coisa que pareça um ataque de DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

O serviço de Proteção contra DDoS do Azure protege na camada 3 (camada de rede) e na camada 4 (camada de transporte). Os principais benefícios incluem:

  • Monitoramento de tráfego sempre ativo: os padrões de tráfego de seus aplicativos são monitorados 24 horas por dia, 7 dias por semana, em busca de indicadores de ataques DDoS. A Proteção contra DDoS do Azure reduz o ataque de maneira instantânea e automática assim que ele é detectado. Como parte da mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de Proteção contra DDoS e várias verificações são executadas. A Proteção contra DDoS remove o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Dentro de alguns minutos após a detecção do ataque, você é notificado utilizando as métricas do Azure Monitor.
  • Ajuste adaptativo em tempo real: a criação inteligente de perfis de tráfego aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil se ajusta conforme o tráfego é alterado ao longo do tempo.
  • Telemetria, monitoramento e alerta da Proteção contra DDoS: a Proteção contra DDoS do Azure expõe uma telemetria avançada por meio do Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor que a Proteção contra DDoS utiliza. Você pode integrar o registro em log com os Hubs de Eventos do Azure, os logs do Azure Monitor e o Armazenamento do Microsoft Azure para análise avançada por meio da interface de Diagnóstico do Azure Monitor.

A Proteção contra DDoS do Azure dá suporte a dois tipos de camadas, a Proteção contra DDoS IP e a Proteção contra DDoS de Rede. A camada é configurada no portal do Microsoft Azure quando você configurar a Proteção contra DDoS do Azure.

  • Proteção de Rede contra DDoS: o serviço Proteção de Rede contra DDoS (disponível como um SKU), combinado com as melhores práticas de design de aplicativo, fornece recursos aprimorados de mitigação de DDoS para se defender contra ataques de negação de serviço distribuído. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos.
  • Proteção de IP contra DDoS: a Proteção de IP contra DDoS é um modelo de IP protegido por pagamento. A Proteção de IP contra DDoS contém os mesmos recursos principais de engenharia da Proteção de rede contra DDoS, mas difere por não incluir os serviços de valor agregado, como suporte de resposta rápida a DDoS, proteção de custos e descontos no Firewall de Aplicativo Web (WAF), que fazem parte da Proteção de Rede contra DDoS. Para obter uma lista completa dos recursos e das camadas correspondentes, consulte Sobre a comparação de camadas da Proteção contra DDoS do Azure

Uma pergunta comum frequentemente levantada é por que considerar a adição de serviços de proteção contra DDoS se os serviços executados no Microsoft Azure AD são inerentemente protegidos pela proteção contra DDoS padrão no nível do infraestrutura? O motivo é que a proteção que protege a infraestrutura tem um limite mais alto do que a maioria dos aplicativos tem capacidade de lidar e não fornece telemetria nem alertas. Portanto, embora o volume de tráfego possa ser considerado inofensivo pela plataforma, ele pode ser devastador para o aplicativo que o recebe. Ao realizar a integração com o serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detectar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil ajustado ao seu volume de tráfego esperado, proporcionando uma defesa mais rígida contra ataques de DDoS.

Conforme mencionado anteriormente, a Proteção contra DDoS do Azure protege nas camadas 3 e 4. Para a proteção de aplicativos Web na camada 7 (a camada de aplicativos), você deve adicionar proteção na camada de aplicativos utilizando uma oferta de Firewall de Aplicativo Web (WAF), descrita em uma unidade subsequente deste módulo.