Recursos da Proteção contra DDoS do Azure

  • Artigo

As seções a seguir descrevem os principais recursos do serviço Proteção contra DDoS do Azure.

Monitoramento de tráfego sempre ativo

A Proteção contra DDoS do Azure monitoriza a utilização real do tráfego e compara-a constantemente com os limites definidos na Política de DDoS. Quando o limite de tráfego é excedido, a mitigação de DDoS é iniciada automaticamente. Quando o tráfego retorna abaixo dos limites, a mitigação é interrompida.

Screenshot of Azure DDoS Protection Mitigation.

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de proteção contra DDoS e várias verificações são realizadas, como:

  • Certifique-se de que os pacotes estão em conformidade com as especificações da Internet e não estão malformados.
  • Interaja com o cliente para determinar se o tráfego é potencialmente um pacote falsificado (por exemplo: SYN Auth ou SYN Cookie ou soltando um pacote para a fonte retransmiti-lo).
  • Pacotes de limite de taxa, se nenhum outro método de imposição puder ser executado.

A Proteção contra DDoS do Azure descarta o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Em poucos minutos após a deteção do ataque, vai ser notificado através das métricas do Azure Monitor. Ao configurar o registro em log na telemetria de Proteção contra DDoS, você pode gravar os logs nas opções disponíveis para análise futura. Os dados métricos no Azure Monitor for DDoS Protection são retidos por 30 dias.

Ajuste adaptativo em tempo real

A complexidade dos ataques (por exemplo, ataques DDoS multivetoriais) e os comportamentos específicos do aplicativo dos locatários exigem políticas de proteção personalizadas por cliente. O serviço faz isso usando dois insights:

  • Aprendizagem automática de padrões de tráfego por cliente (por IP público) para as Camadas 3 e 4.

  • Minimizando falsos positivos, considerando que a escala do Azure permite absorver uma quantidade significativa de tráfego.

Diagram of how DDoS Protection works.

Telemetria, monitoramento e alertas de proteção contra DDoS

A Proteção contra DDoS do Azure expõe telemetria avançada por meio do Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor usadas pela Proteção contra DDoS. Pode integrar o registo com o Splunk (Hubs de Eventos do Azure), os registos do Azure Monitor e o Armazenamento do Azure para análise avançada através da interface de Diagnóstico do Azure Monitor.

Políticas de mitigação da Proteção contra DDoS do Azure

No portal do Azure, selecione Monitorar>métricas. No painel Métricas, selecione o grupo de recursos, selecione um tipo de recurso de Endereço IP Público e selecione seu endereço IP público do Azure. As métricas DDoS são visíveis no painel Métricas disponíveis.

A Proteção contra DDoS aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) para cada IP público do recurso protegido, na rede virtual que tem DDoS habilitado. Você pode exibir os limites de política selecionando a métrica Pacotes de entrada para acionar a mitigação de DDoS.

Screenshot of available metrics and metrics chart.

Os limites de política são configurados automaticamente por meio do perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política é excedido.

Para obter mais informações, consulte Exibir e configurar a telemetria de proteção contra DDoS.

Métrica para um endereço IP sob ataque DDoS

Se o endereço IP público estiver sob ataque, o valor da métrica Sob ataque DDoS ou não muda para 1 à medida que a Proteção contra DDoS executa a mitigação do tráfego de ataque.

Screenshot of Under DDoS attack or not metric and chart.

Recomendamos configurar um alerta nessa métrica. Você será notificado quando houver uma mitigação de DDoS ativa executada em seu endereço IP público.

Para obter mais informações, consulte Gerenciar a Proteção contra DDoS do Azure usando o portal do Azure.

Firewall de aplicativo Web para ataques de recursos

Específico para ataques de recursos na camada de aplicativos, você deve configurar um firewall de aplicativo Web (WAF) para ajudar a proteger aplicativos Web. Um WAF inspeciona o tráfego da Web de entrada para bloquear injeções de SQL, scripts entre sites, DDoS e outros ataques de Camada 7. O Azure fornece o WAF como um recurso do Application Gateway para proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns. Existem outras ofertas WAF disponíveis de parceiros do Azure que podem ser mais adequadas às suas necessidades através do Azure Marketplace.

Até mesmo firewalls de aplicativos da Web são suscetíveis a ataques volumétricos e de esgotamento de estado. É altamente recomendável habilitar a Proteção contra DDoS na rede virtual WAF para ajudar a proteger contra ataques volumétricos e de protocolo. Para obter mais informações, consulte a seção Arquiteturas de referência da Proteção contra DDoS do Azure.

Planeamento de Proteção

O planejamento e a preparação são cruciais para entender como um sistema se comportará durante um ataque DDoS. A conceção de um plano de resposta à gestão de incidentes faz parte deste esforço.

Se você tiver a Proteção contra DDoS, verifique se ela está habilitada na rede virtual de pontos de extremidade voltados para a Internet. A configuração de alertas DDoS ajuda-o a estar constantemente atento a potenciais ataques à sua infraestrutura.

Monitorize as suas aplicações de forma independente. Compreender o comportamento normal de uma aplicação. Prepare-se para agir se o aplicativo não estiver se comportando como esperado durante um ataque DDoS.

Saiba como seus serviços responderão a um ataque testando por meio de simulações DDoS.

Próximos passos