Proteção contra DDoS do Azure-criando soluções resilientesAzure DDoS Protection - Designing resilient solutions

Este artigo é destinado a tomadores de decisões de TI e à equipe de segurança.This article is for IT decision makers and security personnel. Espera que você esteja familiarizado com o Azure, rede e segurança.It expects that you're familiar with Azure, networking, and security. O DDoS é um tipo de ataque que tenta esgotar os recursos do aplicativo.DDoS is a type of attack that tries to exhaust application resources. A meta é afetar a disponibilidade do aplicativo e sua capacidade de lidar com solicitações legítimas.The goal is to affect the application’s availability and its ability to handle legitimate requests. Os ataques estão se tornando cada vez mais sofisticados e maiores tanto em tamanho quanto em impacto.Attacks are becoming more sophisticated and larger in size and impact. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. A criação de resiliência para DDoS (ataque de negação de serviço distribuído) requer planejamento e design para uma variedade de modos de falha.Designing for distributed denial of service (DDoS) resiliency requires planning and designing for a variety of failure modes. O Azure fornece proteção contínua contra ataques de DDoS.Azure provides continuous protection against DDoS attacks. Essa proteção é integrada à plataforma do Azure por padrão e sem custos extras.This protection is integrated into the Azure platform by default and at no extra cost.

Além da proteção contra DDoS principal na plataforma, o Padrão de Proteção contra DDoS do Azure fornece recursos avançados de mitigação de DDoS contra ataques de rede.In addition to the core DDoS protection in the platform, Azure DDoS Protection Standard provides advanced DDoS mitigation capabilities against network attacks. Se ajusta automaticamente para proteger os recursos específicos do Azure.It's automatically tuned to protect your specific Azure resources. É muito simples habilitar a proteção durante a criação de novas redes virtuais.Protection is simple to enable during the creation of new virtual networks. Isso também pode ser feito após a criação e não requer nenhuma alteração de aplicativo ou recurso.It can also be done after creation and requires no application or resource changes.

A função da Proteção contra DDoS do Azure na proteção de clientes e uma rede virtual de um invasor

Práticas recomendadas fundamentaisFundamental best practices

A seção a seguir fornece diretrizes descritivas para criar serviços resilientes contra DDoS no Azure.The following sections give prescriptive guidance to build DDoS-resilient services on Azure.

Design para segurançaDesign for security

Garanta que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo, desde o design e implementação até a implantação e as operações.Ensure that security is a priority throughout the entire lifecycle of an application, from design and implementation to deployment and operations. Os aplicativos podem ter bugs que permitem que um volume relativamente baixo de solicitações use uma quantidade excessiva de recursos, resultando em uma interrupção de serviço.Applications can have bugs that allow a relatively low volume of requests to use an inordinate amount of resources, resulting in a service outage.

Para ajudar a proteger um serviço em execução no Microsoft Azure, você deve ter uma boa compreensão da arquitetura de seus aplicativos e se concentrar nos Cinco pilares de qualidade de software.To help protect a service running on Microsoft Azure, you should have a good understanding of your application architecture and focus on the five pillars of software quality. Você deve conhecer os volumes de tráfego típicos, o modelo de conectividade entre o aplicativo e outros aplicativos e os pontos de extremidade de serviço expostos à Internet pública.You should know typical traffic volumes, the connectivity model between the application and other applications, and the service endpoints that are exposed to the public internet.

O mais importante é garantir que um aplicativo seja resiliente o suficiente para lidar com uma negação de serviço direcionados ao próprio aplicativo.Ensuring that an application is resilient enough to handle a denial of service that's targeted at the application itself is most important. Segurança e privacidade são integradas à plataforma do Azure, começando com o Security Development Lifecycle (SDL).Security and privacy are built into the Azure platform, beginning with the Security Development Lifecycle (SDL). O SDL trata da segurança em cada fase do desenvolvimento e garante que o Azure seja atualizado continuamente para torná-lo ainda mais seguro.The SDL addresses security at every development phase and ensures that Azure is continually updated to make it even more secure.

Design para escalabilidadeDesign for scalability

A escalabilidade é como um sistema pode tratar aumentos de carga.Scalability is how well a system can handle increased load. projetar seus aplicativos para escalar horizontalmente para atender à demanda de uma carga amplificada, especificamente em caso de ataque de DDoS.Design your applications to scale horizontally to meet the demand of an amplified load, specifically in the event of a DDoS attack. Se seu aplicativo depender de uma única instância de um serviço, ele criará um único ponto de falha.If your application depends on a single instance of a service, it creates a single point of failure. O provisionamento de várias instâncias torna o sistema mais resiliente e mais escalonável.Provisioning multiple instances makes your system more resilient and more scalable.

Para Azure app serviço, selecione um plano do serviço de aplicativo que ofereça várias instâncias.For Azure App Service, select an App Service plan that offers multiple instances. Para Serviços de Nuvem do Azure, configure cada uma das suas funções para usar várias instâncias.For Azure Cloud Services, configure each of your roles to use multiple instances. Para Máquinas Virtuais do Azure, verifique se sua arquitetura de VM inclui mais de uma VM e se cada uma delas está incluída em um conjunto de disponibilidade.For Azure Virtual Machines, ensure that your virtual machine (VM) architecture includes more than one VM and that each VM is included in an availability set. É recomendável usar conjuntos de dimensionamento de máquinas virtuais para recursos de dimensionamento automático.We recommend using virtual machine scale sets for autoscaling capabilities.

Proteção completaDefense in depth

A ideia por trás da defesa completa é gerenciar riscos ao usar estratégias de defesa diversificadas.The idea behind defense in depth is to manage risk by using diverse defensive strategies. Dispor as defesas de segurança em camadas em um aplicativo reduz a possibilidade de um ataque ser bem-sucedido.Layering security defenses in an application reduces the chance of a successful attack. É recomendável que você implemente designs seguros para seus aplicativos ao utilizar recursos internos da plataforma Azure.We recommend that you implement secure designs for your applications by using the built-in capabilities of the Azure platform.

Por exemplo, o risco de ataque aumenta conforme o tamanho (área da superfície) do aplicativo.For example, the risk of attack increases with the size (surface area) of the application. Você pode reduzir a área da superfície usando uma lista de aprovação para fechar o espaço de endereço IP exposto e portas de escuta que não são necessárias nos balanceadores de carga (Azure Load Balancer e aplicativo Azure gateway).You can reduce the surface area by using an approval list to close down the exposed IP address space and listening ports that are not needed on the load balancers (Azure Load Balancer and Azure Application Gateway). NSGs (grupos de segurança de rede) são outra maneira de reduzir a superfície de ataque.Network security groups (NSGs) are another way to reduce the attack surface. Você pode usar marcas de serviço e grupos de segurança de aplicativo para minimizar a complexidade da criação de regras de segurança e a configuração da segurança de rede, como uma extensão natural da estrutura do aplicativo.You can use service tags and application security groups to minimize complexity for creating security rules and configuring network security, as a natural extension of an application’s structure.

Você deve implantar os serviços do Azure em uma rede virtual sempre que possível.You should deploy Azure services in a virtual network whenever possible. Esta prática permite que os recursos de serviço se comuniquem por meio de endereços IP privados.This practice allows service resources to communicate through private IP addresses. O tráfego do serviço do Azure de uma rede virtual usa Endereços IP Públicos como endereços IP de origem por padrão.Azure service traffic from a virtual network uses public IP addresses as source IP addresses by default. Usar pontos de extremidade de serviço alterará o tráfego de serviço para usar endereços de rede virtual privados como endereços IP de origem ao acessar o serviço do Azure de uma rede virtual.Using service endpoints will switch service traffic to use virtual network private addresses as the source IP addresses when they're accessing the Azure service from a virtual network.

Muitos recursos locais dos clientes são atacados juntamente com seus recursos no Azure.We often see customers' on-premises resources getting attacked along with their resources in Azure. Se você estiver conectando um ambiente local ao Azure, recomendamos que você minimize a exposição dos recursos locais à Internet pública.If you're connecting an on-premises environment to Azure, we recommend that you minimize exposure of on-premises resources to the public internet. Use as funcionalidades de escala e de proteção contra DDoS avançada do Azure implantando suas entidades públicas conhecidas no Azure.You can use the scale and advanced DDoS protection capabilities of Azure by deploying your well-known public entities in Azure. Como essas entidades publicamente acessíveis muitas vezes são alvo de ataques de DDoS, colocá-las no Azure reduz o impacto sobre os recursos locais.Because these publicly accessible entities are often a target for DDoS attacks, putting them in Azure reduces the impact on your on-premises resources.

Ofertas do Azure para proteção contra DDoSAzure offerings for DDoS protection

O Azure tem duas ofertas de serviço de DDoS que fornecem proteção contra ataques de rede (camadas 3 e 4): Proteção contra DDoS Básica e Standard.Azure has two DDoS service offerings that provide protection from network attacks (Layer 3 and 4): DDoS Protection Basic and DDoS Protection Standard.

Proteção contra DDoS BásicaDDoS Protection Basic

A proteção básica é integrada à plataforma do Azure por padrão, sem custos adicionais.Basic protection is integrated into the Azure by default at no additional cost. A escala e a capacidade da rede implantada globalmente do Azure fornecem defesa contra ataques de camada de rede comum por meio de monitoramento de tráfego sempre ativo e mitigação em tempo real.The scale and capacity of the globally deployed Azure network provides defense against common network-layer attacks through always-on traffic monitoring and real-time mitigation. A Proteção contra DDoS Básica não exige nenhuma alteração de aplicativo ou de configuração do usuário.DDoS Protection Basic requires no user configuration or application changes. A Proteção contra DDoS Básica ajuda a proteger todos os serviços do Azure, incluindo serviços PaaS, como o DNS do Azure.DDoS Protection Basic helps protect all Azure services, including PaaS services like Azure DNS.

Representação de mapa da rede do Azure, com o texto "Presença de mitigação DDoS global" e "Capacidade de mitigação de DDoS principal"

A Proteção contra DDoS do Azure Básica consiste em componentes de hardware e de software.Basic DDoS protection in Azure consists of both software and hardware components. Um plano de controle de software decide quando, onde e qual tipo de tráfego deve ser direcionado para dispositivos de hardware que analisam e removem o tráfego de ataque.A software control plane decides when, where, and what type of traffic should be steered through hardware appliances that analyze and remove attack traffic. O plano de controle toma essa decisão com base em uma política de Proteção contra DDoS de ampla infraestrutura.The control plane makes this decision based on an infrastructure-wide DDoS Protection policy. Essa política é definida estaticamente e universalmente aplicada a todos os clientes do Azure.This policy is statically set and universally applied to all Azure customers.

Por exemplo, a política de Proteção contra DDoS especifica em qual volume de tráfego a proteção deve ser disparada.For example, the DDoS Protection policy specifies at what traffic volume the protection should be triggered. (Ou seja, o tráfego do locatário deve ser roteado por meio de dispositivos de depuração.) Em seguida, a política especifica como os dispositivos de depuração devem mitigar o ataque.(That is, the tenant’s traffic should be routed through scrubbing appliances.) The policy then specifies how the scrubbing appliances should mitigate the attack.

O serviço de Proteção contra DDoS do Azure Básica é voltado para a proteção da infraestrutura e da plataforma do Azure.The Azure DDoS Protection Basic service is targeted at protection of the infrastructure and protection of the Azure platform. Ela mitiga o tráfego quando ele excede uma taxa tão significativa que pode afetar vários clientes em um ambiente multilocatário.It mitigates traffic when it exceeds a rate that is so significant that it might affect multiple customers in a multitenant environment. Ela não fornece alertas nem políticas personalizadas por cliente.It doesn’t provide alerting or per-customer customized policies.

Proteção contra DDoS StandardDDoS Protection Standard

A proteção Standard fornece recursos de mitigação de DDoS avançados.Standard protection provides enhanced DDoS mitigation features. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual.It's automatically tuned to help protect your specific Azure resources in a virtual network. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos.Protection is simple to enable on any new or existing virtual network, and it requires no application or resource changes. Ela tem várias vantagens em comparação com o serviço básico, incluindo registro em log, alertas e telemetria.It has several advantages over the basic service, including logging, alerting, and telemetry. As seções a seguir descrevem os principais recursos do serviço de Proteção contra DDoS do Azure Standard.The following sections outline the key features of the Azure DDoS Protection Standard service.

Ajuste de tempo real adaptávelAdaptive real time tuning

O serviço da Proteção contra DDoS do Azure Básica ajuda a proteger os clientes e evitar impactos a outros clientes.The Azure DDoS Protection Basic service helps protect customers and prevent impacts to other customers. Por exemplo, se um serviço está provisionado para um volume típico de tráfego de entrada legítimo menor do que a taxa de gatilho da política da Proteção contra DDoS de toda a infraestrutura, um ataques de DDoS contra os recursos do cliente em questão pode passar despercebido.For example, if a service is provisioned for a typical volume of legitimate incoming traffic that's smaller than the trigger rate of the infrastructure-wide DDoS Protection policy, a DDoS attack on that customer’s resources might go unnoticed. Em geral, a complexidade dos ataques recentes (por exemplo, DDoS de múltiplos vetores) e os comportamentos específicos do aplicativo de locatários necessitam de políticas de proteção personalizadas por cliente.More generally, the complexity of recent attacks (for example, multi-vector DDoS) and the application-specific behaviors of tenants call for per-customer, customized protection policies. O serviço realiza essa personalização usando dois insights:The service accomplishes this customization by using two insights:

  • Aprendizado automático de padrões de tráfego por cliente (por IP) das camadas 3 e 4.Automatic learning of per-customer (per-IP) traffic patterns for Layer 3 and 4.

  • Minimizando falsos positivos, considerando que a escala do Azure permite que absorva uma quantidade significativa de tráfego.Minimizing false positives, considering that the scale of Azure allows it to absorb a significant amount of traffic.

Diagrama de como a Proteção contra DDoS Standard funciona, com a "Política de geração" circulada

Telemetria, monitoramento e alertas da Proteção contra DDoSDDoS Protection telemetry, monitoring, and alerting

A Proteção contra DDoS Standard expõe uma telemetria sofisticada por meio do Azure Monitor por toda a duração de um ataque de DDoS.DDoS Protection Standard exposes rich telemetry via Azure Monitor for the duration of a DDoS attack. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor que a Proteção contra DDoS utiliza.You can configure alerts for any of the Azure Monitor metrics that DDoS Protection uses. Você pode integrar o registro em log com Splunk (hubs de eventos do Azure), logs de Azure Monitor e armazenamento do Azure para análise avançada por meio da interface de diagnóstico de Azure Monitor.You can integrate logging with Splunk (Azure Event Hubs), Azure Monitor logs, and Azure Storage for advanced analysis via the Azure Monitor Diagnostics interface.

Políticas de mitigação de DDoSDDoS mitigation policies

Na portal do Azure, selecione monitorar > métricas.In the Azure portal, select Monitor > Metrics. No painel Métricas, selecione o grupo de recursos, o tipo de recurso do Endereço IP Público e o endereço IP público do Azure.In the Metrics pane, select the resource group, select a resource type of Public IP Address, and select your Azure public IP address. As métricas de DDoS estão visíveis no painel de Métricas disponíveis.DDoS metrics are visible in the Available metrics pane.

A Proteção contra DDoS Standard aplica três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) em cada endereço IP público do recurso protegido, na rede virtual que tem o DDoS habilitado.DDoS Protection Standard applies three autotuned mitigation policies (TCP SYN, TCP, and UDP) for each public IP of the protected resource, in the virtual network that has DDoS enabled. Você pode exibir os limites da política selecionando os pacotes de entrada da métrica para disparar a mitigação de DDoS.You can view the policy thresholds by selecting the metric Inbound packets to trigger DDoS mitigation.

Métricas disponíveis e gráfico de métricas

Os limites da política são configurados automaticamente por meio da criação de perfil de tráfego de rede baseada em aprendizado de máquina.The policy thresholds are autoconfigured via machine learning-based network traffic profiling. A mitigação de DDoS ocorre para um endereço IP sob ataque somente quando o limite da política for excedido.DDoS mitigation occurs for an IP address under attack only when the policy threshold is exceeded.

Métrica para um endereço IP sob ataque de DDoSMetric for an IP address under DDoS attack

Se o endereço IP público estiver sob ataque, o valor da métrica Sob ataque de DDoS ou não mudará para 1 conforme a Proteção contra DDoS executa a mitigação do tráfego do ataque.If the public IP address is under attack, the value for the metric Under DDoS attack or not changes to 1 as DDoS Protection performs mitigation on the attack traffic.

Gráfico e métrica "Sob ataque DDoS ou não"

É recomendável configurar um alerta nessa métrica.We recommend configuring an alert on this metric. Você será notificado quando houver uma mitigação de DDoS ativa executada no seu endereço IP público.You'll then be notified when there’s an active DDoS mitigation performed on your public IP address.

Para ver mais informações, consulte Gerenciar a Proteção contra DDoS do Azure padrão usando o Portal do Azure.For more information, see Manage Azure DDoS Protection Standard using the Azure portal.

Firewall do aplicativo Web para ataques de recursoWeb application firewall for resource attacks

Especificamente para ataques de recursos na camada de aplicativo, você deve configurar o WAF (Firewall do Aplicativo Web) para ajudar a proteger os aplicativos Web.Specific to resource attacks at the application layer, you should configure a web application firewall (WAF) to help secure web applications. O WAF inspeciona o tráfego de entrada da Web para bloquear injeções de SQL, scripts intersites, DDoS e outros ataques da camada 7.A WAF inspects inbound web traffic to block SQL injections, cross-site scripting, DDoS, and other Layer 7 attacks. O Azure fornece o WAF como um recurso do Gateway de Aplicativo para proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns.Azure provides WAF as a feature of Application Gateway for centralized protection of your web applications from common exploits and vulnerabilities. Há outras ofertas de WAF disponíveis de parceiros do Azure que podem ser mais adequadas às suas necessidades no Microsoft Azure Marketplace.There are other WAF offerings available from Azure partners that might be more suitable for your needs via the Azure Marketplace.

Mesmo os firewalls do aplicativo Web estão suscetíveis a ataques de esgotamento volumétrico e de estado.Even web application firewalls are susceptible to volumetric and state exhaustion attacks. Nós recomendamos habilitar a Proteção contra DDoS Standard em uma rede virtual WAF para ajudar a protegê-la contra ataques volumétricos e de protocolo.We strongly recommend enabling DDoS Protection Standard on the WAF virtual network to help protect from volumetric and protocol attacks. Para obter mais informações, consulte a seção Arquiteturas de referência da Proteção contra DDoS.For more information, see the DDoS Protection reference architectures section.

Planejamento de proteçãoProtection planning

Planejamento e preparação são cruciais para entender como será o desempenho de um sistema durante um ataque de DDoS.Planning and preparation are crucial to understand how a system will perform during a DDoS attack. Criar um plano de resposta de gerenciamento de incidentes faz parte desse esforço.Designing an incident management response plan is part of this effort.

Se tiver a Proteção contra DDoS Standard, certifique-se de que esteja habilitada na rede virtual dos pontos de extremidade voltados para a Internet.If you have DDoS Protection Standard, make sure that it's enabled on the virtual network of internet-facing endpoints. Configurar alertas de DDoS ajuda a manter um olhar constante sobre qualquer possível ataque à sua infraestrutura.Configuring DDoS alerts helps you constantly watch for any potential attacks on your infrastructure.

Monitore seus aplicativos de forma independente.Monitor your applications independently. Entenda o comportamento normal do aplicativo.Understand the normal behavior of an application. Prepare-se para agir caso o aplicativo não esteja se comportando conforme o esperado durante um ataque de DDoS.Prepare to act if the application is not behaving as expected during a DDoS attack.

Testes por meio de simulaçõesTesting through simulations

É uma prática recomendada testar suas suposições sobre como os serviços responderão a um ataque ao conduzir simulações periódicas.It’s a good practice to test your assumptions about how your services will respond to an attack by conducting periodic simulations. Durante o teste, valide se os serviços ou aplicativos continuam funcionando conforme esperado e se não há interrupções na experiência do usuário.During testing, validate that your services or applications continue to function as expected and there’s no disruption to the user experience. Identifique lacunas do ponto de vista de tecnologia e de processo, e incorpore-as à estratégia de resposta de DDoS.Identify gaps from both a technology and process standpoint and incorporate them in the DDoS response strategy. Recomendamos que realize esses testes em ambientes de preparo ou fora do horário de pico para minimizar o impacto no ambiente de produção.We recommend that you perform such tests in staging environments or during non-peak hours to minimize the impact to the production environment.

Firmamos parceria com a BreakingPoint Cloud para criar uma interface na qual os clientes do Azure podem gerar tráfego contra os pontos de extremidade públicos com Proteção contra DDoS habilitada para fins de simulação.We have partnered with BreakingPoint Cloud to build an interface where Azure customers can generate traffic against DDoS Protection-enabled public endpoints for simulations. Você pode usar a simulação BreakingPoint Cloud para:You can use the BreakingPoint Cloud simulation to:

  • Validar como a Proteção contra DDoS do Azure ajuda a proteger seus recursos do Azure contra ataques de DDoS.Validate how Azure DDoS Protection helps protect your Azure resources from DDoS attacks.

  • Otimize o processo de resposta a incidentes durante ataques de DDoS.Optimize your incident response process while under DDoS attack.

  • Documente a conformidade de DDoS.Document DDoS compliance.

  • Treine suas equipes de segurança de rede.Train your network security teams.

A segurança cibernética requer constante inovação na defesa.Cybersecurity requires constant innovation in defense. A Proteção contra DDoS Standard do Azure é uma oferta de ponta com uma solução efetiva para mitigar ataques de DDoS cada vez mais complexos.Azure DDoS Standard protection is a state-of-the-art offering with an effective solution to mitigate increasingly complex DDoS attacks.

Componentes de uma estratégia de resposta a DDoSComponents of a DDoS response strategy

Um ataque de DDoS que tem como alvo recursos do Azure normalmente requer intervenção mínima do ponto de vista do usuário.A DDoS attack that targets Azure resources usually requires minimal intervention from a user standpoint. Ainda assim, incorporar a mitigação de DDoS como parte da estratégia de resposta a incidentes ajudará a minimizar o impacto na continuidade de negócios.Still, incorporating DDoS mitigation as part of an incident response strategy helps minimize the impact to business continuity.

Inteligência contra ameaças da MicrosoftMicrosoft threat intelligence

A Microsoft tem uma ampla rede de inteligência sobre ameaças.Microsoft has an extensive threat intelligence network. Essa rede usa o conhecimento coletivo de uma comunidade de segurança estendida que dá suporte aos serviços online da Microsoft, parceiros da Microsoft e relações da comunidade de segurança da Internet.This network uses the collective knowledge of an extended security community that supports Microsoft online services, Microsoft partners, and relationships within the internet security community.

Como um provedor de infraestrutura crítico, a Microsoft recebe avisos antecipados sobre ameaças.As a critical infrastructure provider, Microsoft receives early warnings about threats. A Microsoft reúne inteligência sobre ameaças de seus serviços online e de sua base de clientes global.Microsoft gathers threat intelligence from its online services and from its global customer base. A Microsoft incorpora toda essa inteligência contra ameaças em seus produtos de Proteção contra DDoS do Azure.Microsoft incorporates all of this threat intelligence back into the Azure DDoS Protection products.

Além disso, a DCU (Unidade de Crimes Digitais da Microsoft) executa estratégias ofensivas contra botnets.Also, the Microsoft Digital Crimes Unit (DCU) performs offensive strategies against botnets. Botnets são uma fonte comum de comando e controle de ataques de DDoS.Botnets are a common source of command and control for DDoS attacks.

Avaliação de risco dos seus recursos do AzureRisk evaluation of your Azure resources

É fundamental compreender o escopo do seu risco a ataques de DDoS continuamente.It’s imperative to understand the scope of your risk from a DDoS attack on an ongoing basis. Periodicamente, pergunte-se:Periodically ask yourself:

  • Quais novos recursos do Azure disponíveis publicamente precisam de proteção?What new publicly available Azure resources need protection?

  • Há um ponto único de falha no serviço?Is there a single point of failure in the service?

  • Como os serviços podem ser isolados para limitar o impacto de um ataque e ainda disponibilizá-los para os clientes válidos?How can services be isolated to limit the impact of an attack while still making services available to valid customers?

  • Há redes virtuais em que a Proteção contra DDoS Standard deve ser habilitada, mas ainda não está?Are there virtual networks where DDoS Protection Standard should be enabled but isn't?

  • Meu serviços são ativo/ativo com failover em várias regiões?Are my services active/active with failover across multiple regions?

Equipe de resposta a DDoS do clienteCustomer DDoS response team

Criar uma equipe de resposta a DDoS é uma etapa importante para responder a um ataque de forma rápida e eficiente.Creating a DDoS response team is a key step in responding to an attack quickly and effectively. Identifique vários contatos na organização que supervisionarão o planejamento e a execução.Identify contacts in your organization who will oversee both planning and execution. Essa equipe de resposta de DDoS deve compreender totalmente o serviço de Proteção contra DDoS do Azure Standard.This DDoS response team should thoroughly understand the Azure DDoS Protection Standard service. Certifique-se de que a equipe possa identificar e eliminar um ataque através da coordenação com clientes internos e externos, incluindo a equipe de Suporte da Microsoft.Make sure that the team can identify and mitigate an attack by coordinating with internal and external customers, including the Microsoft support team.

Para a sua equipe de resposta de DDoS, recomendamos que use exercícios de simulação como uma parte normal do seu planejamento de continuidade e disponibilidade do serviço.For your DDoS response team, we recommend that you use simulation exercises as a normal part of your service availability and continuity planning. Esses exercícios devem incluir o teste de escala.These exercises should include scale testing.

Alertas durante um ataqueAlerts during an attack

A Proteção contra DDoS do Azure Standard identificará e mitigará os ataques de DDoS sem qualquer intervenção do usuário.Azure DDoS Protection Standard identifies and mitigates DDoS attacks without any user intervention. Para ser notificado quando houver uma mitigação ativa para um IP público protegido, você pode configurar um alerta na métrica sob ataque de DDoS ou não.To get notified when there’s an active mitigation for a protected public IP, you can configure an alert on the metric Under DDoS attack or not. Você pode optar por criar alertas para as outras métricas de DDoS para entender a escala do ataque, o tráfego que está sendo descartado e outros detalhes.You can choose to create alerts for the other DDoS metrics to understand the scale of the attack, traffic being dropped, and other details.

Quanto entrar em contato com o Suporte da MicrosoftWhen to contact Microsoft support

  • Durante um ataque de DDoS, você descobre que o desempenho do recurso protegido foi drasticamente prejudicado ou que o recurso não está disponível.During a DDoS attack, you find that the performance of the protected resource is severely degraded, or the resource is not available.

  • Você acha que o serviço da Proteção contra DDoS não está se comportando conforme o esperado.You think the DDoS Protection service is not behaving as expected.

    O serviço de Proteção contra DDoS iniciará a mitigação somente se o valor da métrica Política para disparar a mitigação de DDoS (TCP/TCP SYN/UDP) for menor do que o tráfego recebido no recurso de IP público protegido.The DDoS Protection service starts mitigation only if the metric value Policy to trigger DDoS mitigation (TCP/TCP SYN/UDP) is lower than the traffic received on the protected public IP resource.

  • Você está planejando um evento viral que aumentará significativamente o tráfego de rede.You're planning a viral event that will significantly increase your network traffic.

  • Um ator ameaçou iniciar um ataque de DDoS contra seus recursos.An actor has threatened to launch a DDoS attack against your resources.

  • Se você precisar permitir que o liste um IP ou intervalo IP do padrão de proteção contra DDoS do Azure.If you need to allow list an IP or IP range from Azure DDoS Protection Standard. Um cenário comum é permitir o IP da lista se o tráfego for roteado de um WAF de nuvem externo para o Azure.A common scenario is to allow list IP if the traffic is routed from an external cloud WAF to Azure.

Para ataques que têm um impacto comercial crítico, crie um tíquete de suporte com gravidade A.For attacks that have a critical business impact, create a severity-A support ticket.

Etapas de pós-ataquesPost-attack steps

Sempre é uma boa estratégia realizar uma análise posterior ao ataque e reajustar a estratégia de resposta a DDoS conforme necessário.It’s always a good strategy to do a postmortem after an attack and adjust the DDoS response strategy as needed. Itens a serem considerados:Things to consider:

  • Ocorreu alguma interrupção no serviço ou na experiência do usuário devido à falta de arquitetura escalonável?Was there any disruption to the service or user experience due to lack of scalable architecture?

  • Quais aplicativos ou serviços mais sofreram?Which applications or services suffered the most?

  • O quão eficaz foi a estratégia de resposta a DDoS e como ela pode ser aprimorada?How effective was the DDoS response strategy, and how can it be improved?

Se você suspeitar que está sofrendo um ataque de DDoS, escale a questão por meio dos canais de suporte normais do Azure.If you suspect you're under a DDoS attack, escalate through your normal Azure Support channels.

Arquiteturas de referência da Proteção contra DDoSDDoS Protection reference architectures

A proteção contra DDoS Standard é projetada para serviços que são implantados em uma rede virtual.DDoS Protection Standard is designed for services that are deployed in a virtual network. Para outros serviços, a Proteção contra DDoS Básica padrão se aplica.For other services, the default DDoS Protection Basic service applies. As seguintes arquiteturas de referência são organizadas por cenários, com padrões de arquitetura agrupados.The following reference architectures are arranged by scenarios, with architecture patterns grouped together.

Cargas de trabalho de máquina virtual (Windows/Linux)Virtual machine (Windows/Linux) workloads

Aplicativo em execução em VMs com balanceamento de cargaApplication running on load-balanced VMs

Essa arquitetura de referência mostra um conjunto de práticas comprovadas para executar várias VMs do Windows em um conjunto de dimensionamento atrás de um balanceador de carga para melhorar a disponibilidade e a escalabilidade.This reference architecture shows a set of proven practices for running multiple Windows VMs in a scale set behind a load balancer, to improve availability and scalability. Essa arquitetura pode ser usada para qualquer carga de trabalho sem estado, como um servidor Web.This architecture can be used for any stateless workload, such as a web server.

Diagrama da arquitetura de referência para um aplicativo em execução em VMs com balanceamento de carga

Nesta arquitetura, uma carga de trabalho é distribuída em várias instâncias de VM.In this architecture, a workload is distributed across multiple VM instances. Há um único endereço IP público e o tráfego da Internet é distribuído para as VMs por meio de um balanceador de carga.There is a single public IP address, and internet traffic is distributed to the VMs through a load balancer. A Proteção contra DDoS Standard está habilitada na rede virtual do balanceador de carga do Azure (Internet) que tem o IP público associado a ela.DDoS Protection Standard is enabled on the virtual network of the Azure (internet) load balancer that has the public IP associated with it.

O balanceador de carga distribui as solicitações de entrada da Internet para as instâncias de VM.The load balancer distributes incoming internet requests to the VM instances. Os conjuntos de dimensionamento de máquinas virtuais permitem que o número de VMs seja reduzido ou aumentado horizontalmente manualmente, ou automaticamente com base em regras predefinidas.Virtual machine scale sets allow the number of VMs to be scaled in or out manually, or automatically based on predefined rules. Isso é importante se o recurso está sob ataque de DDoS.This is important if the resource is under DDoS attack. Para obter mais informações sobre arquitetura de referência, consulte este artigo.For more information on this reference architecture, see this article.

Aplicativo em execução em N camadas do WindowsApplication running on Windows N-tier

Há muitas maneiras de implementar uma arquitetura de N camadas.There are many ways to implement an N-tier architecture. O diagrama a seguir mostra um aplicativo Web típico de três camadas.The following diagram shows a typical three-tier web application. Essa arquitetura se baseia no artigo Executar VMs com balanceamento de carga para escalabilidade e disponibilidade.This architecture builds on the article Run load-balanced VMs for scalability and availability. As camadas comerciais e da Web usam VMs com balanceamento de carga.The web and business tiers use load-balanced VMs.

Diagrama da arquitetura de referência para um aplicativo em execução em N camadas do Windows

Nesta arquitetura, a Proteção contra DDoS Standard está habilitada na rede virtual.In this architecture, DDoS Protection Standard is enabled on the virtual network. Todos os IPs públicos na rede virtual terão proteção contra DDoS nas camadas 3 e 4.All public IPs in the virtual network get DDoS protection for Layer 3 and 4. Para proteção da camada 7, implante o Gateway de Aplicativo no SKU do WAF.For Layer 7 protection, deploy Application Gateway in the WAF SKU. Para obter mais informações sobre arquitetura de referência, consulte este artigo.For more information on this reference architecture, see this article.

Aplicativo Web PaaSPaaS web application

Essa arquitetura de referência mostra a execução de um aplicativo do Serviço de Aplicativo do Azure em uma única região.This reference architecture shows running an Azure App Service application in a single region. Essa arquitetura mostra um conjunto de práticas comprovadas para um aplicativo Web que usa o serviço Azure app   e o banco de dados SQL do Azure.This architecture shows a set of proven practices for a web application that uses Azure App Service and Azure SQL Database. Uma região em espera está configurada para cenários de failover.A standby region is set up for failover scenarios.

Diagrama da arquitetura de referência para um aplicativo da Web de PaaS

O Gerenciador de Tráfego do Microsoft Azure roteia as solicitações de entrada para o Gateway de Aplicativo em uma das regiões.Azure Traffic Manager routes incoming requests to Application Gateway in one of the regions. Durante as operações normais, ele roteia as solicitações para o Gateway de Aplicativo na região ativa.During normal operations, it routes requests to Application Gateway in the active region. Se essa região ficar não disponível, o Gerenciador de Tráfego fará failover para o Gateway de Aplicativo na região em espera.If that region becomes unavailable, Traffic Manager fails over to Application Gateway in the standby region.

Todo o tráfego da Internet destinado ao aplicativo Web é roteado para o Endereço IP público do Gateway de Aplicativo por meio do Gerenciador de Tráfego.All traffic from the internet destined to the web application is routed to the Application Gateway public IP address via Traffic Manager. Nesse cenário, o Serviço de Aplicativo (aplicativo Web) em si não é diretamente externo e está protegido pelo Gateway de Aplicativo.In this scenario, the app service (web app) itself is not directly externally facing and is protected by Application Gateway.

É recomendável configurar o SKU do WAF do Gateway de Aplicativo (modo de prevenção) para ajudar a proteger contra ataques da camada 7 (HTTP/HTTPS/WebSocket).We recommend that you configure the Application Gateway WAF SKU (prevent mode) to help protect against Layer 7 (HTTP/HTTPS/WebSocket) attacks. Além disso, os aplicativos Web são configurados para aceitar somente o tráfego do endereço IP do Gateway de Aplicativo.Additionally, web apps are configured to accept only traffic from the Application Gateway IP address.

Para obter mais informações sobre arquitetura de referência, consulte este artigo.For more information about this reference architecture, see this article.

Mitigação para serviços PaaS não WebMitigation for non-web PaaS services

HDInsight no AzureHDInsight on Azure

Essa arquitetura de referência mostra a configuração da Proteção contra DDoS Standard para cluster do Azure HDInsight.This reference architecture shows configuring DDoS Protection Standard for an Azure HDInsight cluster. Verifique se o cluster do HDInsight está vinculado a uma rede virtual e se a Proteção contra DDoS está habilitada nessa rede virtual.Make sure that the HDInsight cluster is linked to a virtual network and that DDoS Protection is enabled on the virtual network.

Os painéis "HDInsight" e "Configurações avançadas", com as configurações de rede virtual

Seleção para habilitar a proteção contra DDoS

Nesta arquitetura, o tráfego destinado ao cluster de HDInsight vindo da Internet é roteado para o IP público associado ao balanceador de carga de gateway do HDInsight.In this architecture, traffic destined to the HDInsight cluster from the internet is routed to the public IP associated with the HDInsight gateway load balancer. O balanceador de carga de gateway, em seguida, envia o tráfego para os nós principais ou nós de trabalho diretamente.The gateway load balancer then sends the traffic to the head nodes or the worker nodes directly. Como a Proteção contra DDoS Standard está habilitada na rede virtual do HDInsight, todos os IPs públicos na rede virtual receberão proteção contra DDoS nas camadas 3 e 4.Because DDoS Protection Standard is enabled on the HDInsight virtual network, all public IPs in the virtual network get DDoS protection for Layer 3 and 4. Essa arquitetura de referência pode ser combinada com arquiteturas de referência de N camadas e com várias regiões.This reference architecture can be combined with the N-Tier and multi-region reference architectures.

Para obter mais informações sobre a arquitetura de referência, consulte a documentação Estender o Azure HDInsight usando uma Rede Virtual do Azure.For more information on this reference architecture, see the Extend Azure HDInsight using an Azure Virtual Network documentation.

Observação

Azure app Service - Serviço de Aplicativo do Azure para gerenciamento de API ou PowerApps em uma rede virtual com um IP público são ambos não tem suporte nativo.Azure App Service Environment for PowerApps or API management in a virtual network with a public IP are both not natively supported.

Próximas etapasNext steps