Protección contra DDoS de aplicación (capa 7)

Azure WAF tiene varios mecanismos de defensa que pueden ayudar a evitar ataques de denegación de servicio distribuido (DDoS). Los ataques DDoS pueden dirigirse tanto a la capa de red (L3/L4) como a la capa de aplicación (L7). Azure DDoS protege al cliente frente a grandes ataques volumétricos de capa de red. Azure WAF, que funciona en la capa 7, protege las aplicaciones web frente a ataques DDoS L7, como inundaciones HTTP. Estas defensas pueden impedir que los atacantes lleguen a la aplicación y afecten a la disponibilidad y el rendimiento de la misma.

¿Cómo puede proteger sus servicios?

Estos ataques se pueden mitigar agregando Web Application Firewall (WAF) o colocando DDoS delante del servicio para filtrar las solicitudes incorrectas. Azure ofrece WAF, que se ejecuta en el perímetro de red con Azure Front Door y, en los centros de datos, con Application Gateway. Estos pasos son una lista generalizada y deben ajustarse al servicio de requisitos de la aplicación.

• Implemente Azure Web Application Firewall (WAF) con el SKU v2 de WAF de Application Gateway o Azure Front Door Premium para protegerse frente a ataques de nivel de aplicación L7.
• Escale verticalmente el recuento de instancias de origen para que haya suficiente capacidad de reserva.
• Habilite Azure DDoS Protection en las direcciones IP públicas de origen para proteger las direcciones IP públicas frente a ataques DDoS de capa 3 (L3) y de capa 4 (L4). Las ofertas de DDoS de Azure pueden proteger automáticamente a la mayoría de los sitios frente a ataques volumétricos L3 y L4 que envíen un gran número de paquetes hacia un sitio web. Azure también ofrece protección de nivel de infraestructura a todos los sitios hospedados en Azure de forma predeterminada.

Azure WAF con Azure Front Door

Azure WAF tiene muchas características que se pueden usar para mitigar muchos tipos diferentes de ataques, como inundaciones HTTP, omisión de caché, ataques iniciados por botnets.

• Use el conjunto de reglas administradas de protección contra bots para protegerse frente a bots malintencionados conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

• Aplique límites de frecuencia para impedir que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Limitación de velocidad.

• Bloquee direcciones IP e intervalos que identifique como malintencionados. Para obtener más información, vea Restricciones de IP.

• Bloquee o redirija a una página web estática cualquier tráfico desde fuera de una región geográfica definida o dentro de una región definida que no se ajuste al patrón de tráfico de la aplicación. Para más información, consulte Filtro geográfico.

• Cree reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos. Firma como un agente de usuario específico o un patrón de tráfico específico, incluidos encabezados, cookies, parámetros de cadena de consulta o una combinación de varias firmas.

Además de WAF, Azure Front Door también ofrece protección contra DDoS de infraestructura de Azure predeterminada para protegerse frente a ataques DDoS L3/4. La habilitación del almacenamiento en caché en Azure Front Door puede ayudar a absorber el volumen de tráfico máximo repentino en el perímetro y proteger también los orígenes de back-end frente a ataques.

Para obtener más información sobre las características y la protección contra DDoS en Azure Front Door, consulte Protección contra DDoS en Azure Front Door.

WAF de Azure con Azure Application Gateway

Se recomienda usar la SKU de Application Gateway WAF v2 que incluye las características más recientes, incluidas las características de mitigación de DDoS L7, para defenderse contra ataques DDoS L7.

Los SKU de WAF de Application Gateway se pueden usar para mitigar muchos ataques DDoS L7:

• Establezca Application Gateway para escalar verticalmente de forma automática y no aplicar el número máximo de instancias.

• El uso del conjunto de reglas administradas de protección contra bots proporciona protección contra bots incorrectos conocidos. Para obtener más información, consulte la Configuración de la protección contra bots.

• Aplique límites de frecuencia para impedir que las direcciones IP llamen a su servicio con demasiada frecuencia. Para obtener más información, consulte Configuración de reglas personalizadas de límite de frecuencia.

• Bloquee direcciones IP e intervalos que identifique como malintencionados. Para obtener más información, consulte ejemplos en Creación y uso de reglas personalizadas v2.

• Bloquee o redirija a una página web estática cualquier tráfico desde fuera de una región geográfica definida o dentro de una región definida que no se ajuste al patrón de tráfico de la aplicación. Para obtener más información, consulte ejemplos en Creación y uso de reglas personalizadas v2.

• Cree reglas personalizadas de WAF para bloquear automáticamente los ataques HTTP o HTTPS que tienen firmas conocidas, así como para limitar el volumen de estos. Firmas como un agente de usuario específico o un patrón de tráfico específico, incluidos encabezados, cookies, parámetros de cadena de consulta o una combinación de varias firmas.

Otras consideraciones

• Bloquee el acceso a direcciones IP públicas en el origen y restrinja el tráfico entrante para permitir solo el tráfico desde Azure Front Door o Application Gateway al origen. Consulte las instrucciones de Azure Front Door. Las puertas de enlace de aplicaciones se implementan en una red virtual, asegúrese de que no haya direcciones IP expuestas públicamente.

• Cambie la directiva WAF al modo de prevención. La implementación de la directiva en modo de detección funciona solo en el registro y no bloquea el tráfico. Después de comprobar y probar la directiva WAF con el tráfico de producción y ajustarla para reducir los falsos positivos, deberá cambiar la directiva al modo Prevención (modo de bloqueo y defensa).

• Supervise el tráfico mediante los registros de Azure WAF para detectar anomalías. Puede crear reglas personalizadas para bloquear cualquier tráfico infractor: direcciones IP sospechosas que envíen un número inusualmente alto de solicitudes, cadenas de agentes de usuario inusuales, patrones anómalos de cadenas de consulta, etc.

• Puede omitir el WAF para el tráfico legítimo conocido mediante la creación de coincidencias de reglas personalizadas con la acción Permitir para reducir falsos positivos. Estas reglas deberían configurarse con una prioridad alta (valor numérico inferior) que otras reglas de límite de frecuencia y bloque.

• Como mínimo, debe tener una regla de límite de frecuencia que bloquee una elevada tasa de solicitudes procedentes de una única dirección IP. Por ejemplo, puede configurar una regla de límite de frecuencia para no permitir que ninguna dirección IP de cliente envíe más de XXX tráfico por ventana al sitio. El firewall de aplicaciones web de Azure admite dos períodos de tiempo para el seguimiento de solicitudes, de 1 y 5 minutos. Se recomienda usar la ventana de 5 minutos para mitigar mejor los ataques "flood" de congestión del servidor HTTP. Esta regla debería ser la regla de prioridad más baja (la prioridad se ordenará con 1 como la prioridad más alta), de modo que se puedan crear reglas de límite de frecuencia más específicas o reglas de coincidencia para que coincidan antes de esta regla. Si usa el firewall de aplicaciones web de Application Gateway v2, puede usar configuraciones de limitación de frecuencia adicionales para realizar un seguimiento y bloquear los clientes por métodos distintos a la IP de cliente. Encontrará más información sobre los límites de frecuencia en el firewall de aplicaciones web de Application Gateway en Descripción general del límite de frecuencia.

  La siguiente consulta de Log Analytics podría ser útil para determinar el umbral que se debería usar para la regla anterior. Para una consulta similar, pero con Application Gateway, reemplace "FrontdoorAccessLog" por "ApplicationGatewayAccessLog".

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• Las reglas administradas, aunque no están dirigidas directamente a defensas contra ataques DDoS, proporcionan protección contra otros ataques comunes. Para más información, consulte Reglas administradas (Azure Front Door) o Reglas administradas (Application Gateway) para obtener más información sobre los distintos tipos de ataques contra los que estas reglas pueden ayudarle a protegerse.

Análisis de registros de WAF

Es posible analizar los registros de WAF en Log Analytics con la consulta siguiente.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Para obtener más información, consulte Azure WAF con Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Para obtener más información, consulte Azure WAF con Azure Application Gateway.

Pasos siguientes

• Cree una directiva WAF para Azure Front Door.

• Creación de una puerta de enlace de aplicaciones con un firewall de aplicaciones web.

• Obtenga información sobre cómo Azure Front Door puede ayudar a la protección frente a ataques DDoS.

• Proteja la puerta de enlace de aplicaciones con la Protección de red de Azure DDoS.

• Más información sobre Azure DDoS Protection.