Implantar a Proteção contra DDoS do Azure usando o portal do Azure

10 minutos

Negação de serviço distribuída (DDoS)

Um ataque de negação de serviço (DoS) é um ataque que tem o objetivo de impedir o acesso a serviços ou sistemas. Se o ataque tiver origem em um local, é chamado de DoS. Se o ataque tiver origem em várias redes e sistemas, é chamado de negação de serviço distribuída (DDoS).

Os ataques distribuídos de negação de serviço (DDoS) são algumas das maiores preocupações de disponibilidade e segurança enfrentadas pelos clientes que estão movendo seus aplicativos para a nuvem. Um ataque DDoS tenta drenar os recursos de uma API ou aplicativo, tornando esse aplicativo indisponível para usuários legítimos. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.

Implementação de DDoS

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece defesa contra ataques DDoS. O Azure DDoS Protection fornece os seguintes escalões de serviço:

Proteção de rede

Fornece recursos adicionais de mitigação sobre a proteção de infraestrutura DDoS que são ajustados especificamente aos recursos da Rede Virtual do Azure. A Proteção contra DDoS do Azure é simples de habilitar e não requer alterações no aplicativo. As políticas de proteção são otimizadas através de uma monitorização de tráfego dedicada e de algoritmos de aprendizagem automática. As políticas são aplicadas a endereços IP públicos associados a recursos implantados em redes virtuais, como o Balanceador de Carga do Azure, o Gateway de Aplicativo do Azure e instâncias do Azure Service Fabric, mas essa proteção não se aplica a Ambientes do Serviço de Aplicativo. A telemetria em tempo real está disponível através das vistas do Azure Monitor durante um ataque e para o histórico. Análises avançadas de mitigação de ataques estão disponíveis por meio de configurações de diagnóstico. A proteção da camada de aplicativo pode ser adicionada por meio do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure ou instalando um firewall de terceiros do Azure Marketplace. A proteção é fornecida para endereços IP públicos do Azure IPv4 e IPv6.
Proteção IP

DDoS IP Protection é um modelo de IP pago por protegido. O DDoS IP Protection contém os mesmos recursos principais de engenharia que o DDoS Network Protection, mas será diferente em serviços de valor agregado, como suporte de resposta rápida DDoS, proteção de custos e descontos no WAF.

A Proteção contra DDoS protege recursos em uma rede virtual, incluindo endereços IP públicos associados a máquinas virtuais, balanceadores de carga e gateways de aplicativos. Quando acoplada ao firewall de aplicativo Web do Application Gateway ou a um firewall de aplicativo Web de terceiros implantado em uma rede virtual com um IP público, a Proteção contra DDoS pode fornecer recursos completos de mitigação de camada 3 a camada 7.

Todas as propriedades no Azure são protegidas pela Proteção contra DDoS (Básica) da infraestrutura do Azure sem custo adicional. A Proteção contra DDoS do Azure é um serviço pago, projetado para serviços implantados em uma rede virtual.

Tipos de ataques DDoS

A Proteção contra DDoS pode atenuar os seguintes tipos de ataques:

Ataques volumétricos

Esses ataques inundam a camada de rede com uma quantidade substancial de tráfego aparentemente legítimo. Eles incluem inundações UDP, inundações de amplificação e outras inundações de pacotes falsificados. A Proteção contra DDoS atenua esses potenciais ataques de vários gigabytes, absorvendo-os e esfregando-os, com a escala de rede global do Azure, automaticamente.
Ataques de protocolo

Estes ataques tornam o seu alvo inacessível ao explorar pontos fracos nas camadas 3 e 4 da pilha de protocolos. Eles incluem ataques de inundação SYN, ataques de reflexão e outros ataques de protocolo. A Proteção contra DDoS mitiga esses ataques, diferenciando entre tráfego malicioso e legítimo, interagindo com o cliente e bloqueando o tráfego malicioso.
Ataques à camada de recursos (aplicativos)

Esses ataques têm como alvo pacotes de aplicativos da Web, para interromper a transmissão de dados entre hosts. Eles incluem violações do protocolo HTTP, injeção de SQL, scripts entre sites e outros ataques de camada 7. Use um Firewall de Aplicativo Web, como o firewall de aplicativo Web do Gateway de Aplicativo do Azure, e Proteção contra DDoS para fornecer defesa contra esses ataques. Há também ofertas de firewall de aplicativos Web de terceiros disponíveis no Azure Marketplace.

Recursos de proteção contra DDoS do Azure

Alguns dos recursos de proteção contra DDoS do Azure incluem:

Integração de plataforma nativa: Integrada nativamente no Azure e configurada através do portal.
Proteção chave na mão: Configuração simplificada que protege todos os recursos imediatamente.
Monitoramento de tráfego sempre ativo: seus padrões de tráfego de aplicativos são monitorados 24 horas por dia, 7 dias por semana, procurando indicadores de ataques DDoS.
Ajuste adaptável: criação de perfis e ajuste ao tráfego do seu serviço.
Análise de ataque: obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque e um resumo completo após o término do ataque.
Métricas e alertas de ataque: as métricas resumidas de cada ataque podem ser acessadas por meio do Azure Monitor. Os alertas podem ser configurados no início e na interrupção de um ataque e ao longo da duração do ataque, usando métricas de ataque integradas.
Proteção multicamadas: Quando implantada com um firewall de aplicativo Web (WAF), a Proteção contra DDoS protege tanto na camada de rede (Camada 3 e 4, oferecida pela Proteção contra DDoS do Azure) quanto na camada de aplicativo (Camada 7, oferecida por um WAF).

Vamos dar uma olhada com um pouco mais de detalhes em algumas dessas principais características.

Monitoramento de tráfego sempre ativo

A Proteção contra DDoS monitora a utilização real do tráfego e a compara constantemente com os limites definidos na Política de DDoS. Quando o limite de tráfego é excedido, a mitigação de DDoS é iniciada automaticamente. Quando o tráfego retorna abaixo dos limites, a mitigação é interrompida.

Diagram illustrating always-on traffic monitoring with DDoS protection.

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de proteção contra DDoS e várias verificações são realizadas, como:

Certifique-se de que os pacotes estão em conformidade com as especificações da Internet e não estão malformados.
Interaja com o cliente para determinar se o tráfego é potencialmente um pacote falsificado (por exemplo: SYN Auth ou SYN Cookie ou soltando um pacote para a fonte retransmiti-lo).
Pacotes de limite de taxa se nenhum outro método de imposição puder ser executado.

A proteção contra DDoS descarta o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Dentro de alguns minutos após a deteção de ataque, você será notificado usando as métricas do Azure Monitor. Ao configurar o registro em log na telemetria de Proteção contra DDoS, você pode gravar os logs nas opções disponíveis para análise futura. Os dados métricos no Azure Monitor for DDoS Protection são retidos por 30 dias.

Ajuste adaptativo em tempo real

O serviço Proteção contra DDoS do Azure ajuda a proteger os clientes e a evitar impactos para outros clientes. Por exemplo, se um serviço for provisionado para um volume típico de tráfego de entrada legítimo menor do que a taxa de gatilho da política de Proteção contra DDoS em toda a infraestrutura, um ataque DDoS aos recursos desse cliente poderá passar despercebido. De um modo mais geral, a complexidade dos ataques recentes (por exemplo, DDoS multivetoriais) e os comportamentos específicos da aplicação dos inquilinos exigem políticas de proteção personalizadas por cliente.

Diagram illustrating adaptive real-time tuning in DDoS protection.

O serviço faz isso usando dois insights:

Aprendizagem automática de padrões de tráfego por cliente (por IP público) para as Camadas 3 e 4.
Minimizando falsos positivos, considerando que a escala do Azure permite absorver uma quantidade significativa de tráfego.

Métricas, alertas e logs de ataque

A Proteção contra DDoS expõe telemetria avançada por meio da ferramenta Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor usadas pela Proteção contra DDoS. Pode integrar o registo com o Splunk (Hubs de Eventos do Azure), os registos do Azure Monitor e o Armazenamento do Azure para análise avançada através da interface de Diagnóstico do Azure Monitor.

No portal do Azure, selecione Monitorar > métricas. No painel Métricas, selecione o grupo de recursos, selecione um tipo de recurso de Endereço IP Público e selecione seu endereço IP público do Azure. As métricas DDoS são visíveis no painel Métricas disponíveis.

A Proteção contra DDoS aplica três políticas de mitigação autotuned (SYN, TCP e UDP) para cada IP público do recurso protegido, na rede virtual que tem DDoS habilitado. Você pode visualizar os limites de política selecionando os pacotes de entrada [SYN/TCP/UDP] para acionar métricas de mitigação de DDoS, conforme mostrado na captura de tela de exemplo abaixo.

Screenshot of the chart that displays the mitigation policy metrics from DDoS Protection.

Os limites de política são configurados automaticamente por meio do perfil de tráfego de rede baseado em aprendizado de máquina. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política é excedido.

Se o endereço IP público estiver sob ataque, o valor da métrica Sob ataque DDoS ou não muda para 1 à medida que a Proteção contra DDoS executa a mitigação do tráfego de ataque.

É recomendável configurar um alerta nessa métrica, pois você será notificado se houver uma mitigação de DDoS ativa executada em seu endereço IP público.

Screenshot of a chart that displays the metric for 'Under DDoS attack or not'.

Proteção de várias camadas

Específico para ataques de recursos na camada de aplicativos, você deve configurar um firewall de aplicativo Web (WAF) para ajudar a proteger aplicativos Web. Um WAF inspeciona o tráfego da Web de entrada para bloquear injeções de SQL, scripts entre sites, DDoS e outros ataques de Camada 7. O Azure fornece o WAF como um recurso do Application Gateway para proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns. Existem outras ofertas WAF disponíveis de parceiros do Azure que podem ser mais adequadas às suas necessidades através do Azure Marketplace.

Diagram illustrating the Web Application Firewall Application Gateway.

Até mesmo firewalls de aplicativos da Web são suscetíveis a ataques volumétricos e de esgotamento de estado. Portanto, é altamente recomendável habilitar a Proteção contra DDoS na rede virtual WAF para ajudar a proteger contra ataques volumétricos e de protocolo.

Implantando um plano de proteção contra DDoS

Os principais estágios da implantação de um plano de proteção contra DDoS são os seguintes:

Criar um grupo de recursos
Criar um plano de proteção contra DDoS
Habilite a proteção contra DDoS em uma rede virtual ou endereço IP novo ou existente
Configurar telemetria DDoS
Configurar logs de diagnóstico de DDoS
Configurar alertas DDoS
Execute um ataque DDoS de teste e monitore os resultados.

Verifique o seu conhecimento

Qual deles é um sintoma de um ataque DDoS?

Um aumento inexplicável de pedidos.

Aplicação em execução lenta.

HTTP 400 Solicitação incorreta

Que ação devemos tomar quando estamos sob ataque DDoS?

Monitore alertas e analise o perfil de ataque.

Expanda seus recursos do Azure para manter os sistemas em execução.

Envie um e-mail para sua equipe de TI.

Tem de responder a todas as questões antes de verificar o seu trabalho.

Continuar