Introducción a Protección contra DDoS de Azure estándarAzure DDoS Protection Standard overview

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

Azure DDoS Protection, junto con los procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. La protección contra DDoS de Azure proporciona los siguientes niveles de servicio:Azure DDoS protection provides the following service tiers:

  • Protección contra DDoS de Azure básica: está habilitada automáticamente como parte de la plataforma Azure, sin cargo adicional.Basic: Automatically enabled as part of the Azure platform, at no additional charge. La supervisión continua del tráfico y la reducción en tiempo real de los ataques a nivel de red más comunes ofrecen la misma defensa que usan los servicios en línea de Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft’s online services. Puede usarse la escala completa de una red global de Azure para distribuir y reducir el tráfico de ataques en las distintas regiones.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Se proporciona protección para direcciones IP públicas de Azure IPv4 e IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Estándar: ofrece funciones adicionales de reducción de ataques en comparación con el nivel de servicio básico, adaptadas específicamente a los recursos de Azure Virtual Network.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. El servicio Protección contra DDoS estándar es fácil de habilitar y no requiere ningún cambio en la aplicación.DDoS Protection Standard is simple to enable, and requires no application changes. Las directivas de protección se ajustan a través de la supervisión del tráfico dedicado y los algoritmos de Machine Learning.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales, como instancias de Azure Load Balancer, Azure Application Gateway y Azure Service Fabric.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. La telemetría en tiempo real está disponible a través de las vistas de Azure Monitor durante un ataque y para el historial.Real-time telemetry is available through Azure Monitor views during an attack, and for history. Se puede agregar protección en el nivel de aplicación mediante el firewall de aplicaciones web de Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway Web Application Firewall. Se proporciona protección para direcciones IP públicas de Azure IPv4.Protection is provided for IPv4 Azure public IP addresses.

Protección contra DDoS de Azure estándar

Tipos de ataques DDoS que mitiga Protección contra DDoS estándarTypes of DDoS attacks that DDoS Protection Standard mitigates

El servicio Protección contra DDoS estándar puede mitigar los tipos de ataque siguientes:DDoS Protection Standard can mitigate the following types of attacks:

  • Ataques volumétricos: el objetivo del ataque es desbordar la capa de la red con una gran cantidad de tráfico aparentemente legítimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Esto incluye ataques de tipo "flood" de UDP, de amplificación y otros ataques de tipo "flood" de paquetes falsificados.It includes UDP floods, amplification floods, and other spoofed-packet floods. El servicio Protección contra DDoS estándar mitiga estos posibles ataques de varios gigabytes, ya que los absorbe y los limpia automáticamente aprovechando la escala de red global de Azure.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure’s global network scale, automatically.
  • Ataques de protocolo: estos ataques representan un destino inaccesible al aprovechar una vulnerabilidad en la pila de protocolo en los niveles 3 y 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Esto incluye ataques de tipo “flood” de SYN, ataques de reflejo y otros ataques de protocolo.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. El servicio Protección contra DDoS estándar mitiga estos ataques al diferenciar entre el tráfico malintencionado y el legítimo. Para ello, interactúa con el cliente y bloquea el tráfico malintencionado.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Ataques de nivel de recurso (aplicación): estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Los ataques incluyen infracciones de protocolo HTTP, inyección de código SQL, scripts de sitios y otros ataques de nivel 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Use el firewall de aplicaciones web de Azure Application Gateway con Protección contra DDoS estándar para defenderse de estos ataques.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks. También existen ofertas de firewall de aplicaciones web de terceros disponibles en Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

Protección contra DDoS estándar protege los recursos de las redes virtuales, incluidas las direcciones IP públicas asociadas a máquinas virtuales, los equilibradores de carga y las puertas de enlace de aplicaciones.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Cuando se combina con el firewall de aplicaciones web de Application Gateway, Protección contra DDoS estándar puede proporcionar funciones de total mitigación en niveles del 3 al 7.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Características de Protección contra DDoS estándarDDoS Protection Standard features

Funciones de DDoS

Entre las características de Protección contra DDoS estándar se incluyen:DDoS Protection Standard features include:

  • Integración de plataforma nativa: integrada de forma nativa en Azure.Native platform integration: Natively integrated into Azure. Incluye la configuración a través de Azure Portal.Includes configuration through the Azure portal. Protección contra DDoS estándar comprende sus recursos y la configuración de recursos.DDoS Protection Standard understands your resources and resource configuration.
  • Protección inmediata: la configuración simplificada protege de inmediato todos los recursos de una red virtual desde el momento en que se habilita Protección contra DDoS estándar.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. No se requiere intervención ni definición del usuario.No intervention or user definition is required. Protección contra DDoS estándar mitiga el ataque de forma instantánea y automática una vez detectado.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Supervisión del tráfico en todo momento: los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. La mitigación se realiza cuando se sobrepasan las directivas de protección.Mitigation is performed when protection policies are exceeded.
  • Optimización adaptable: la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. El perfil se ajusta a medida que el tráfico cambia con el tiempo.The profile adjusts as traffic changes over time.
  • Protección de nivel 3 a 7: proporciona protección contra DDoS de pila completa cuando se usa con un firewall de aplicaciones web.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Escala de mitigación amplia: se pueden mitigar más de 60 tipos de ataque diferentes con capacidad global para protegerse contra los ataques DDoS más conocidos.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Métricas de ataque: con Azure Monitor se puede acceder a un resumen de métricas de cada ataque.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alertas de ataque: las alertas pueden configurarse en el inicio y la detención de un ataque, y a lo largo de la duración del ataque mediante métricas de ataque integradas.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Las alertas se integran en el software operativo como Microsoft Azure Log Analytics, Splunk, Azure Storage, correo electrónico y Azure Portal.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Garantía de costo: créditos para servicio de escalado horizontal de aplicaciones y transferencia de datos para ataques de DDoS documentados.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigación mediante Protección contra DDoS estándarDDoS Protection Standard mitigation

El servicio Protección contra DDoS estándar supervisa el uso de tráfico real y lo compara constantemente con los umbrales definidos en la directiva de DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Cuando se supera el umbral de tráfico, se inicia automáticamente la mitigación de DDoS.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Cuando el tráfico vuelve a estar por debajo del umbral, se quita la mitigación.When traffic returns below the threshold, the mitigation is removed.

Mitigación

Durante la mitigación, el servicio Protección contra DDoS redirige el tráfico enviado al recurso protegido y realiza varias comprobaciones, como las que se indican a continuación:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Asegurarse de que los paquetes se ajustan a las especificaciones de Internet y no tienen un formato incorrecto.Ensure packets conform to internet specifications and are not malformed.
  • Interactuar con el cliente para determinar si el tráfico es un posible paquete falsificado (por ejemplo, autorización de SYN o cookie de SYN, o colocando un paquete para que el origen lo retransmita).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limitar la velocidad de los paquetes si no se puede realizar ningún otro método de cumplimiento.Rate-limit packets, if no other enforcement method can be performed.

El servicio Protección contra DDoS bloquea el tráfico del ataque y reenvía el tráfico restante al destino previsto.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. En un intervalo de pocos minutos tras la detección del ataque, recibe una notificación mediante las métricas de Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Si configura el registro de datos de telemetría de Protección contra DDoS estándar, puede escribir los registros en opciones disponibles para su posterior análisis.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Los datos métricos de Azure Monitor para Protección contra DDoS estándar se conservan actualmente durante 30 días.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

Microsoft se ha asociado con BreakingPoint Cloud para crear una interfaz en la que pueda generar tráfico destinado a las direcciones IP públicas que tengan habilitado el servicio DDoS Protection con fines de simulación.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. La simulación de BreakPoint Cloud le permite:The BreakPoint Cloud simulation allows you to:

  • Comprobar en qué medida Microsoft Azure DDoS Protection estándar protege sus recursos de Azure frente a ataques de DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Optimizar el proceso de respuesta a incidentes durante el ataque de DDoS.Optimize your incident response process while under DDoS attack
  • Documentar el cumplimiento normativo de DDoS.Document DDoS compliance
  • Enseñar a los equipos de seguridad de red.Train your network security teams

Pasos siguientesNext steps