阻絕服務攻擊策略
Microsoft防禦網路型分散式阻斷服務 (DDoS) 攻擊的策略是獨一無二的,因為全球使用量很大,因此Microsoft利用大部分其他組織無法使用的策略和技術。 此外,Microsoft參與並從廣泛的威脅情報網路所匯總的集體知識中加以利用,其中包括Microsoft合作夥伴和更廣泛的因特網安全性社群。 此智慧與從在線服務和Microsoft的全球客戶群收集的信息,持續改善Microsoft的 DDoS 防禦系統,可保護所有Microsoft在線服務的資產。
Microsoft DDoS 策略的基石是全球存在。 Microsoft與因特網提供者、對等互連提供者 (公用和私人) ,以及世界各地的私人公司互動。 此參與可讓Microsoft因特網存在,並讓Microsoft在大型介面區中吸收攻擊
隨著Microsoft的邊緣容量隨著時間成長,針對個別邊緣的攻擊重要性已大幅降低。 由於此減少,Microsoft已分隔其 DDoS 防護系統的偵測和風險降低元件。 Microsoft在區域數據中心部署多層式偵測系統,以偵測更接近其飽和度點的攻擊,同時在邊緣節點上維持全域風險降低。 此策略可確保Microsoft服務可以同時處理多個攻擊。
Microsoft針對 DDoS 攻擊所採用的最有效且低成本防禦之一,就是減少服務攻擊面。 不需要的流量會在網路邊緣卸除,而不是分析、處理和清除內嵌數據。
在與公用網路的介面上,Microsoft使用特殊用途的安全性裝置來進行防火牆、網路位址轉譯和IP篩選功能。 Microsoft也會使用全域等成本的多重路徑 (ECMP) 路由。 全域 ECMP 路由是一種網路架構,可確保有多個可連線到服務的全域路徑。 每個服務都有多個路徑,DDoS 攻擊僅限於攻擊的來源區域。 其他區域應該不受攻擊影響,因為終端使用者會使用其他路徑來連線到這些區域中的服務。 Microsoft也開發了內部 DDoS 相互關聯和偵測系統,這些系統會使用流程數據、效能計量和其他資訊來快速偵測 DDoS 攻擊。
為了進一步保護雲端服務,Microsoft使用 Azure DDoS 保護,這是內建在 Azure 持續監視和滲透測試程式Microsoft的 DDoS 防禦系統。 Azure DDoS 保護的設計不僅是為了承受外部攻擊,也是為了抵禦來自其他 Azure 租使用者的攻擊。 Azure 使用標準偵測和風險降低技術,例如 SYN Cookie、速率限制和連線限制,以防止 DDoS 攻擊。 為了支援自動化保護,跨工作負載 DDoS 事件回應小組會識別跨小組的角色和責任、呈報準則,以及在受影響小組之間處理事件的通訊協定。
針對目標所發動的大部分 DDoS 攻擊都位於開放式 系統互連 (OSI) 模型的網路 (L3) 和傳輸 (L4) 層。 針對 L3 和 L4 層的攻擊是設計來讓網路介面或服務滿溢攻擊流量,以造成資源不足,並拒絕回應合法流量的能力。 為了防範 L3 和 L4 攻擊,Microsoft 的 DDoS 解決方案會使用來自資料中心路由器的流量取樣數據來保護基礎結構和客戶目標。 網路監視服務會分析流量取樣數據,以偵測攻擊。 偵測到攻擊時,自動化防禦機制會啟動以減輕攻擊,並確保導向一個客戶的攻擊流量不會對其他客戶造成附帶損害或網路服務品質降低。
Microsoft也會對 DDoS 防禦採取冒犯性的方法。 Botnet 是常見的命令和控制來源,可進行 DDoS 攻擊以放大攻擊並維持匿名。 Microsoft數位犯罪單位 (DCU) 著重於識別、調查及中斷惡意代碼散發和通訊基礎結構,以減少 Botnet 的規模和影響。
應用層級防禦
Microsoft的雲端服務是刻意建置來支援高負載,有助於防範應用層級 DDoS 攻擊。 Microsoft的向外延展架構會將服務分散到多個全球數據中心,並針對相關工作負載提供區域隔離和工作負載特定節流功能。
客戶系統管理員在服務初始設定期間識別的每位客戶國家/地區,都會決定該客戶數據的主要儲存位置。 客戶數據會根據主要/備份策略,在備援數據中心之間複寫。 主要資料中心會裝載應用程式軟體,以及軟體上執行的所有主要客戶數據。 備份數據中心提供自動故障轉移。 如果主要數據中心因為任何原因而停止運作,要求會重新導向至備份數據中心內軟體和客戶數據的複本。 在任何指定的時間,客戶數據可能會在主要或備份數據中心內處理。 若有一個數據中心受到攻擊,將數據分散到多個數據中心可減少受影響的介面區。 此外,受影響數據中心內的服務可以快速地重新導向至次要數據中心,以在攻擊期間維持可用性,並在降低攻擊風險后重新導向回主要數據中心。
作為另一個針對 DDoS 攻擊的風險降低措施,個別工作負載包含管理資源使用率的內建功能。 例如,Exchange Online 和 SharePoint Online 中的節流機制是多層式方法的一部分,可防禦 DDoS 攻擊。
Azure SQL Database 具有額外的安全性層級,其形式為名為 DoSGuard 的閘道服務,可根據 IP 位址追蹤失敗的登入嘗試。 如果達到來自相同 IP 的失敗登入嘗試閾值,DoSGuard 會封鎖該位址一段預先決定的時間。