Práticas recomendadas e fundamentais da proteção contra DDoS do Azure

  • Artigo

A seção a seguir fornece diretrizes descritivas para criar serviços resilientes contra DDoS no Azure.

Design para segurança

Garanta que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo, desde o design e implementação até a implantação e as operações. Os aplicativos podem ter bugs que permitem que um volume relativamente baixo de solicitações use uma quantidade excessiva de recursos, resultando em uma interrupção de serviço.

Para ajudar a proteger um serviço em execução no Microsoft Azure, você deve ter uma boa compreensão da arquitetura de seus aplicativos e se concentrar nos Cinco pilares de qualidade de software. Você deve conhecer os volumes de tráfego típicos, o modelo de conectividade entre o aplicativo e outros aplicativos e os pontos de extremidade de serviço expostos à Internet pública.

O mais importante é garantir que um aplicativo seja resiliente o suficiente para lidar com uma negação de serviço direcionados ao próprio aplicativo. A segurança e a privacidade estão incorporadas na plataforma do Azure, começando com o SDL (Security Development Lifecycle). O SDL trata da segurança em cada fase do desenvolvimento e garante que o Azure seja atualizado continuamente para torná-lo ainda mais seguro. Para saber mais sobre como maximizar a eficácia usando a Proteção contra DDoS, consulte Como maximizar a eficácia: melhores práticas da Proteção contra DDoS do Azure e de resiliência de aplicativos.

Design para escalabilidade

A escalabilidade é como um sistema pode tratar aumentos de carga. projetar seus aplicativos para escalar horizontalmente para atender à demanda de uma carga amplificada, especificamente em caso de ataque de DDoS. Se seu aplicativo depender de uma única instância de um serviço, ele criará um único ponto de falha. O provisionamento de várias instâncias torna o sistema mais resiliente e mais escalonável.

Para o Serviço de Aplicativo do Azure, selecione um Plano do Serviço de Aplicativo que ofereça várias instâncias. Para Serviços de Nuvem do Azure, configure cada uma das suas funções para usar várias instâncias. Para Máquinas Virtuais do Azure, verifique se sua arquitetura de VM inclui mais de uma VM e se cada uma delas está incluída em um conjunto de disponibilidade. É recomendável usar conjuntos de dimensionamento de máquinas virtuais para obter recursos de dimensionamento automático.

Proteção completa

A ideia por trás da defesa completa é gerenciar riscos ao usar estratégias de defesa diversificadas. Dispor as defesas de segurança em camadas em um aplicativo reduz a possibilidade de um ataque ser bem-sucedido. É recomendável que você implemente designs seguros para seus aplicativos ao utilizar recursos internos da plataforma Azure.

Por exemplo, o risco de ataque aumenta conforme o tamanho (área da superfície) do aplicativo. Você pode reduzir a área da superfície usando uma lista de aprovação para fechar o espaço de endereço IP exposto e portas de escuta que não são necessárias nos balanceadores de carga (Azure Load Balancer e Gateway de Aplicativo do Azure). NSGs (grupos de segurança de rede) são outra maneira de reduzir a superfície de ataque. Você pode usar marcas de serviço e grupos de segurança de aplicativo para minimizar a complexidade da criação de regras de segurança e a configuração da segurança de rede, como uma extensão natural da estrutura do aplicativo. Além disso, você pode usar a Solução de DDoS do Azure para o Microsoft Sentinel para identificar fontes de DDoS ofensivas e impedi-las de iniciar outros ataques sofisticados, como roubo de dados.

Você deve implantar os serviços do Azure em uma rede virtual sempre que possível. Esta prática permite que os recursos de serviço se comuniquem por meio de endereços IP privados. O tráfego do serviço do Azure de uma rede virtual usa Endereços IP Públicos como endereços IP de origem por padrão. Usar pontos de extremidade de serviço alterará o tráfego de serviço para usar endereços de rede virtual privados como endereços IP de origem ao acessar o serviço do Azure de uma rede virtual.

Muitos recursos locais dos clientes são atacados juntamente com seus recursos no Azure. Se você estiver conectando um ambiente local ao Azure, recomendamos que você minimize a exposição dos recursos locais à Internet pública. Use as funcionalidades de escala e de proteção contra DDoS avançada do Azure implantando suas entidades públicas conhecidas no Azure. Como essas entidades publicamente acessíveis muitas vezes são alvo de ataques de DDoS, colocá-las no Azure reduz o impacto sobre os recursos locais.

Próximas etapas