Introducción a Protección contra DDoS de Azure estándarAzure DDoS Protection Standard overview

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que mueven sus aplicaciones a la nube.Distributed denial of service (DDoS) attacks are one of the largest availability and security concerns facing customers moving their applications to the cloud. Un ataque DDoS intenta agotar los recursos de una aplicación haciendo que esta no esté disponible para los usuarios legítimos.A DDoS attack attempts to exhaust an application’s resources, making the application unavailable to legitimate users. Los ataques DDoS pueden ir dirigidos a cualquier punto de conexión que esté públicamente accesible a través de Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the Internet.

Protección contra DDoS de Azure, en combinación con el uso de procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS.Azure DDoS Protection, combined with application design best practices, provide defense against DDoS attacks. Protección contra DDoS de Azure proporciona los siguientes niveles de servicio:Azure DDos Protection provides the following service tiers:

  • Protección contra DDoS de Azure básica: está habilitada automáticamente como parte de la plataforma Microsoft Azure sin cargo adicional.Azure DDoS Protection Basic: Automatically enabled as part of the Azure platform, at no additional charge. La supervisión continua del tráfico y la reducción en tiempo real de los ataques a nivel de red más comunes ofrecen la misma defensa usada por los servicios en línea de Microsoft.Always-on traffic monitoring and real-time mitigation of common network-level attacks provides the same defenses utilized by Microsoft’s online services. Puede usarse la escala completa de una red global de Azure para distribuir y reducir el tráfico de ataques en las distintas regiones.The entire scale of Azure’s global network can be used to distribute and mitigate attack traffic across regions. Se proporciona protección para direcciones IP públicas de Azure IPv4 e IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Protección contra DDoS de Azure estándar: ofrece funciones adicionales de reducción de ataques, adaptadas específicamente a los recursos de la red virtual de Azure.Azure DDoS Protection Standard Provides additional mitigation capabilities tuned specifically to Azure Virtual Network resources. Es fácil de habilitar y no requiere ningún cambio en la aplicación.It is simple to enable, and requires no application changes. Las directivas de protección se ajustan a través de algoritmos de aprendizaje automático y supervisión del tráfico dedicado, y se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales, como instancias de Azure Load Balancer, Azure Application Gateway y Azure Service Fabric.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms and applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. La telemetría en tiempo real está disponible a través de las vistas de Azure Monitor durante un ataque y para el historial.Real-time telemetry is available through Azure Monitor views during an attack and for history. Se pueden agregar protecciones en el nivel de aplicación mediante el firewall de aplicaciones web de Application Gateway.Application layer protections can be added through Application Gateway Web Application Firewall. Se proporciona protección para direcciones IP públicas de Azure IPv4.Protection is provided for IPv4 Azure public IP addresses.

Protección contra DDoS de Azure estándar

Importante

El servicio Protección contra DDoS de Azure estándar se encuentra actualmente en la versión preliminar.Azure DDoS Protection Standard is currently in preview. Se proporciona protección a cualquier recurso de Azure que tenga una dirección IP pública de Azure asociada a él, como máquinas virtuales, equilibradores de carga y puertas de enlace de aplicaciones.Protection is provided for any Azure resource that has an Azure public IP address associated to it, such as virtual machines, load balancers, and application gateways. Necesita registrarse en el servicio para habilitar Protección contra DDoS estándar para su suscripción.You need to register for the service before you can enable DDoS Protection Standard for your subscription. Después de registrarse, el equipo de DDoS de Azure se pondrá en contacto con usted y le guiará por el proceso de habilitación.After registering, the Azure DDoS team contacts you and guides you through the enablement process. Protección contra DDoS estándar está disponible solo en las regiones Este de EE. UU, Este de EE. UU. 2, Oeste de EE. UU., Oeste del centro de EE. UU., Europa del Norte, Europa Occidental, Japón Occidental, Japón Oriental, Asia Oriental y Sudeste Asiático.DDoS Protection Standard is available in the East US, East US 2, West US, West Central US, North Europe, West Europe, Japan West, Japan East, East Asia, and Southeast Asia regions only. Durante la versión preliminar, no se le cobrará por usar el servicio.During preview, you are not charged for using the service.

Le recomendamos que pruebe la protección contra DDoS (estándar) en entornos de producción, prueba y desarrollo.We encourage you to try DDoS Protection Standard, in development, test, or production environments. Use los siguientes recursos para proporcionar comentarios sobre sus experiencias:Use the following resources to provide feedback on your experiences:

Para problemas de soporte técnico, puede abrir una incidencia de soporte técnico de Azure.For support issues, you can open an Azure support ticket. Mientras la protección contra DDoS (estándar) se encuentra en una versión preliminar, se proporciona compatibilidad en función de la mejor opción.While DDoS Protection Standard is in preview, support is provided on a best-effort basis.

Tipos de ataques DDoS que mitiga Protección contra DDoS estándarTypes of DDoS attacks that DDoS Protection Standard mitigates

Protección contra DDoS estándar puede mitigar estos tipos de ataque:DDoS Protection Standard can mitigate these types of attacks:

  • Ataques volumétricos: el objetivo del ataque es desbordar la capa de la red con una gran cantidad de tráfico aparentemente legítimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Esto incluye ataques de tipo "flood" de UDP, de amplificación y otros ataques de tipo "flood" de paquetes falsificados.It includes UDP floods, amplification floods, and other spoofed-packet floods. Protección contra DDoS estándar mitiga estos posibles ataques de varios gigabytes, ya que los absorbe y los limpia automáticamente aprovechando la escala de red global de Azure.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, leveraging Azure’s global network scale, automatically.
  • Ataques de protocolo: estos ataques representan un destino inaccesible aprovechándose de una vulnerabilidad en la pila de protocolo en los niveles 3 y 4.Protocol attacks: These attacks render a target inaccessible by exploiting a weakness in the layer 3 and layer 4 protocol stack. Esto incluye ataques de tipo “flood” de SYN, ataques de reflejo y otros ataques de protocolo.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. Protección contra DDoS estándar mitiga estos ataques diferenciando entre el tráfico malintencionado y el legítimo. Para ello, interactúa con el cliente y bloquea el tráfico malintencionado.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client and blocking malicious traffic.
  • Ataques de nivel de aplicación: estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts.Application layer attacks: These attacks target web application packets to disrupt the transmission of data between hosts. Algunos de ellos son las infracciones de protocolo HTTP, inyección de código SQL, scripts de sitios y otros ataques de nivel 7.It includes HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Use el firewall de aplicaciones web de Azure Application Gateway con Protección contra DDoS estándar para defenderse de estos ataques.Use the Azure Application Gateway web application firewall, with DDoS Protection Standard, to provide defense against these attacks.

Protección contra DDoS estándar protege los recursos de las redes virtuales, incluidas las direcciones IP públicas asociadas a máquinas virtuales, los equilibradores de carga y las puertas de enlace de aplicaciones.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Cuando se combina con el firewall de aplicaciones web de Application Gateway, Protección contra DDoS estándar puede proporcionar funciones de total mitigación en niveles del 3 al 7.When coupled with the Application Gateway web application firewall, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Características de Protección contra DDoS estándarDDoS Protection Standard features

Funciones de DDoS

Entre las características de Protección contra DDoS estándar se incluyen:DDoS Protection Standard features include:

  • Integración de plataforma nativa: se integra de forma nativa en Azure e incluye la configuración a través de Azure Portal y PowerShell.Native platform integration: Natively integrated into Azure and includes configuration through the Azure portal and PowerShell. Protección contra DDoS estándar comprende sus recursos y la configuración de recursos.DDoS Protection Standard understands your resources and resource configuration.
  • Supervisión del tráfico en todo momento: los patrones de tráfico de la aplicación se supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. La mitigación se realiza cuando se sobrepasan las directivas de protección.Mitigation is performed when protection policies are exceeded.
  • Protección inmediata: la configuración simplificada protege de inmediato todos los recursos de una red virtual desde el momento en que se habilita Protección contra DDoS estándar.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. No se requiere intervención ni definición del usuario.No intervention or user definition is required. Protección contra DDoS estándar mitiga el ataque de forma instantánea y automática una vez detectado.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Optimización adaptable: la generación de perfiles de tráfico inteligente va conociendo con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta más adecuado para el servicio.Adaptive tuning: Intelligent traffic profiling learns your application’s traffic over time, and selects and updates the profile that is the most suitable for your service. El perfil se ajusta a medida que el tráfico cambia con el tiempo.The profile adjusts as traffic changes over time.
  • Protección de nivel 3 a 7: proporciona una protección contra DDoS de pila completa cuando se usa con una puerta de enlace de aplicaciones.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with an application gateway.
  • Escala de mitigación amplia: se pueden mitigar más de 60 tipos de ataque diferentes con capacidad global para protegerse contra los ataques DDoS más conocidos.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Métricas de ataque: con Azure Monitor se puede acceder a un resumen de métricas de cada ataque.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alertas de ataque: las alertas pueden configurarse en el inicio y la detención de un ataque, y a lo largo de la duración del ataque mediante métricas de ataque integradas.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack’s duration, using built-in attack metrics. Las alertas se integran en el software operativo como Microsoft Azure Log Analytics, Splunk, Azure Storage, correo electrónico y Azure Portal.Alerts integrate into your operational software like Microsoft Azure Log Analytics, Splunk, Azure Storage, Email, and the Azure portal.
  • Garantía de costo: créditos para servicio de escalado horizontal de aplicaciones y transferencia de datos para ataques de DDoS documentados.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigación mediante Protección contra DDoS estándarDDoS Protection Standard mitigation

El servicio Protección contra DDoS de Microsoft supervisa el uso de tráfico real y lo compara constantemente con los umbrales definidos en la directiva de DDoS.Microsoft’s DDoS Protection service monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Cuando se supera ese umbral de tráfico, se inicia automáticamente la mitigación de DDoS.When that traffic threshold is exceeded, then DDoS mitigation is initiated automatically. Cuando el tráfico vuelve a estar por debajo del umbral, se quita la mitigación.When traffic returns below the threshold, the mitigation is removed.

Durante la mitigación, el servicio Protección contra DDoS redirige el tráfico enviado al recurso protegido y realiza varias comprobaciones.During mitigation, traffic sent to the protected resource is redirected by the DDoS Protection service and several checks are performed. Por lo general, estas comprobaciones realizan lo siguiente:These checks generally perform the following functions:

  • Asegurarse de que los paquetes se ajustan a las especificaciones de Internet y no tienen un formato incorrecto.Ensure packets conform to Internet specifications and are not malformed.
  • Interactuar con el cliente para determinar si el tráfico es un posible paquete falsificado (por ejemplo, autorización de SYN o cookie de SYN, o colocando un paquete para que el origen lo retransmita).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Limitar la velocidad de los paquetes si no se puede realizar ningún otro método de cumplimiento.Rate-limit packets, if no other enforcement method can be performed.

Protección contra DDoS bloquea el tráfico del ataque y reenvía el tráfico restante al destino previsto.The DDoS protection blocks attack traffic and forwards remaining traffic to its intended destination. En un intervalo de pocos minutos tras la detección del ataque, recibe una notificación mediante las métricas de Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Si configura el registro de datos de telemetría de Protección contra DDoS estándar, puede escribir los registros en opciones disponibles para su posterior análisis.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Los datos métricos en Azure Monitor para Protección contra DDoS estándar se conservan actualmente durante 30 días.Metric data in Azure Monitor for DDoS Protection Standard is currently retained for 30 days.

No se recomienda a los usuarios que simulen sus propios ataques DDoS.We do not advise customers to simulate their own DDoS attacks. Es preferible que usen el canal de soporte técnico para solicitar una simulación de ataque DDoS ejecutada por Azure Networking.Instead, customers can use the support channel to request a DDoS attack simulation executed by Azure Networking. Un ingeniero se pondrá en contacto con usted para organizar los detalles del ataque DDoS (puertos, protocolos, direcciones IP de destino) y concretar una hora para programar la prueba.An engineer will contact you to arrange the details of the DDoS attack (ports, protocols, target IPs) and arrange a time to schedule the test.

Pasos siguientesNext steps