Visão geral de Proteção contra DDoS do Azure StandardAzure DDoS Protection Standard overview

Ataques de DDoS (negação de serviço distribuído) são uma das maiores preocupações de disponibilidade e de segurança enfrentadas pelos clientes que estão migrando seus aplicativos para a nuvem.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Um ataque de DDoS tenta esgotar os recursos de um aplicativo, fazendo com que o aplicativo fique indisponível para usuários legítimos.A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. Ataques de DDoS podem ser direcionadas a qualquer ponto de extremidade publicamente acessível pela Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativo, oferece defesa contra ataques de DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. A proteção contra DDoS do Azure fornece as seguintes camadas de serviço:Azure DDoS protection provides the following service tiers:

  • Básica: habilitada automaticamente como parte da plataforma Azure.Basic: Automatically enabled as part of the Azure platform. O monitoramento de tráfego sempre ativa e a mitigação em tempo real de ataques comuns em nível de rede, fornecem as mesmas defesas utilizadas pelo serviços online da Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft's online services.Toda a escala da rede global do Azure pode ser usada para distribuir e atenuar o tráfego de ataque entre regiões. The entire scale of Azure's global network can be used to distribute and mitigate attack traffic across regions.A proteção é fornecida para endereços IP públicos IPv4 e IPv6 do Azure. Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard: fornece funcionalidades de mitigação adicionais à camada de serviço Básica ajustadas especificamente para os recursos de Rede Virtual do Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. A Proteção contra DDoS Standard é simples de habilitar e não exige nenhuma alteração no aplicativo.DDoS Protection Standard is simple to enable, and requires no application changes. As políticas de proteção são ajustadas por meio do monitoramento de tráfego dedicado e de algoritmos de aprendizado de máquina.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. As políticas são aplicadas a endereços IP públicos associados a recursos implantados em redes virtuais, como as instâncias do Azure Load Balancer, do Azure Application Gateway e do Azure Service Fabric, mas essa proteção não se aplica a Ambientes do Serviço de Aplicativo.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments.A telemetria em tempo real está disponível por meio de exibições do Azure Monitor durante um ataque e para fins de histórico. Real-time telemetry is available through Azure Monitor views during an attack, and for history. A análise avançada de mitigação de ataque está disponível por meio das configurações de diagnóstico.Rich attack mitigation analytics are available via diagnostic settings. A proteção da camada de aplicativo pode ser adicionada por meio do Firewall do aplicativo Web do Gateway de Aplicativo do Azure ou instalando um firewall de terceiros do Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. A proteção é fornecida para endereços IP públicos IPv4 e IPv6 do Azure.Protection is provided for IPv4 and IPv6 Azure public IP addresses.
RecursoFeature Proteção contra DDoS BásicaDDoS Protection Basic Proteção contra DDoS StandardDDoS Protection Standard
Monitoramento de tráfego ativo & detecção de AlwaysOnActive traffic monitoring & always on detection SimYes SimYes
Mitigações de ataque automáticasAutomatic attack mitigations SimYes SimYes
Garantia de disponibilidadeAvailability guarantee Região do AzureAzure Region AplicativoApplication
Políticas de mitigaçãoMitigation policies Ajustado para o volume da região de tráfego do AzureTuned for Azure traffic region volume Ajustado para o volume de tráfego do aplicativoTuned for application traffic volume
Métricas & alertasMetrics & alerts NãoNo Métricas de ataque em tempo real & logs de recursos por meio de Azure MonitorReal time attack metrics & resource logs via Azure Monitor
Relatórios de mitigaçãoMitigation reports NãoNo Lançar relatórios de mitigação de ataquePost attack mitigation reports
Logs de fluxo de mitigaçãoMitigation flow logs NãoNo Fluxo de log do NRT para integração do SIEMNRT log stream for SIEM integration
Personalização da política de mitigaçãoMitigation policy customization NãoNo Envolver especialistas em DDoSEngage DDoS Experts
SuporteSupport Melhor esforçoBest effort Acesso a especialistas em DDoS durante um ataque ativoAccess to DDoS Experts during an active attack
Contrato de Nível de ServiçoSLA Região do AzureAzure Region Garantia de aplicativo & proteção de custoApplication guarantee & cost protection
PreçosPricing GrátisFree Uso mensal de & com baseMonthly & usage based

Tipos de ataques de DDoS mitigados pela Proteção contra DDoS StandardTypes of DDoS attacks that DDoS Protection Standard mitigates

A Proteção contra DDoS Standard pode mitigar os tipos de ataques a seguir:DDoS Protection Standard can mitigate the following types of attacks:

  • Ataques volumétricos: a meta do ataque é inundar a camada de rede com uma quantidade significativa de tráfego aparentemente legítimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Eles incluem inundações de UDP, inundações de amplificação e outras inundações de pacotes falsificados.It includes UDP floods, amplification floods, and other spoofed-packet floods. A proteção contra DDoS Standard atenua esses ataques potenciais de vários gigabytes, exportando-os e Depurando-os, com a escala de rede global do Azure, automaticamente.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure's global network scale, automatically.
  • Ataques de protocolo: esses ataques renderizam um destino inacessível explorando uma vulnerabilidade na pilha de protocolos das camadas 3 e 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Eles incluem ataques de inundação SYN, ataques de reflexão e outros ataques de protocolo.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. A Proteção contra DDoS Standard mitiga esses ataques diferenciando entre o tráfego mal-intencionado e o legítimo, interagindo com o cliente e bloqueando o tráfego mal-intencionado.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Ataques de camada de recursos (aplicativo): esses ataques são direcionados a pacotes de aplicativo Web para interromper a transmissão de dados entre os hosts.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Esses ataques incluem violações de protocolo HTTP, injeção de SQL, scripts intersites e outros ataques de camada 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Use um firewall do aplicativo Web, como o Firewall do aplicativo Web do gateway de aplicativodo Azure, bem como o padrão de proteção contra DDoS para fornecer defesa contra esses ataques.Use a Web Application Firewall, such as the Azure Application Gateway web application firewall, as well as DDoS Protection Standard to provide defense against these attacks. Também há ofertas de firewall do aplicativo Web de terceiros disponível no Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

A Proteção contra DDoS Standard protege os recursos em uma rede virtual, incluindo endereços IP públicos associados a máquinas virtuais, balanceadores de carga e gateways de aplicativo.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Quando combinado com o Firewall do aplicativo Web do gateway de aplicativo ou um firewall de aplicativo Web de terceiros implantado em uma rede virtual com um IP público, a proteção contra DDoS Standard pode fornecer a capacidade de mitigação completa da camada 3 para a camada 7.When coupled with the Application Gateway web application firewall, or a third-party web application firewall deployed in a virtual network with a public IP, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Recursos da Proteção contra DDoS do Azure StandardDDoS Protection Standard features

Funcionalidade de DDoS

Os recursos da Proteção contra DDoS do Azure Standard:DDoS Protection Standard features include:

  • Integração de plataforma nativa: nativamente integrado ao Azure.Native platform integration: Natively integrated into Azure. Inclui a configuração por meio do Portal do Azure.Includes configuration through the Azure portal. A Proteção contra DDoS Standard compreende seus recursos e a respectiva configuração.DDoS Protection Standard understands your resources and resource configuration.
  • Proteção imediata: a configuração simplificada protege de maneira imediata todos os recursos em uma rede virtual assim que a Proteção contra DDoS Standard é habilitada.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Nenhuma definição ou intervenção do usuário é necessária.No intervention or user definition is required. A Proteção contra DDoS Standard atenua o ataque de maneira instantânea e automática, assim que ele é detectado.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitoramento de tráfego Always On: seus padrões de tráfego do aplicativo são monitorados 24 horas por dia, 7 dias por semana, procurando indicadores de ataques de DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. A mitigação é realizada quando as políticas de proteção são excedidas.Mitigation is performed when protection policies are exceeded.
  • Ajuste adaptativo: A criação de perfil de tráfego inteligente aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil que é o mais adequado para o seu serviço.Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. O perfil se ajusta conforme o tráfego é alterado ao longo do tempo.The profile adjusts as traffic changes over time.
  • Proteção multicamada: fornece proteção contra DDoS de pilha completa, quando usado com um firewall do aplicativo Web.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Escala de mitigação ampla: mais de 60 tipos de ataques diferentes podem ser atenuados, com capacidade global, para proteger contra os maiores ataques de DDoS conhecidos.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Análise de ataque: obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, além de um resumo completo após o término dele.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Transmita logs do fluxo de mitigação por streaming para um sistema de SIEM (gerenciamento de evento e informações de segurança) offline para monitoramento quase em tempo real durante um ataque.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Métricas de ataque: métricas resumidas de cada ataque são acessíveis por meio do Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alerta de ataque: Os alertas podem ser configurados no início e na interrupção de um ataque e na duração do ataque, usando métricas de ataque internas.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. Os alertas integram-se ao seu software operacional, como Microsoft Azure logs de monitor, Splunk, armazenamento do Azure, email e o portal do Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Garantia de custo: Créditos de serviço de transferência de dados e de expansão de aplicativos para ataques de DDoS documentados.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigação da Proteção contra DDoS do Azure StandardDDoS Protection Standard mitigation

A Proteção contra DDoS Standard monitora a utilização de tráfego real e compara-a constantemente com os limites definidos na Política de DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Quando esse limite de tráfego for excedido, a mitigação de DDoS será iniciada automaticamente.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Quando o tráfego retorna para baixo do limite, a mitigação é removida.When traffic returns below the threshold, the mitigation is removed.

Mitigação

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de Proteção contra DDoS e diversas verificações são executadas, incluindo as seguintes:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Assegure que os pacotes estejam em conformidade com as especificações de Internet e não sejam malformados.Ensure packets conform to internet specifications and are not malformed.
  • Interagir com o cliente para determinar se o tráfego é potencialmente um pacote adulterado (por exemplo: Aut. SYN ou Cookie SYN ou removendo um pacote para que a fonte o retransmita).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Estabelecer limites de taxa para pacotes se nenhum outro método de imposição puder ser executado.Rate-limit packets, if no other enforcement method can be performed.

A proteção contra DDoS bloqueia o tráfego e encaminha o tráfego restante para o destino pretendido.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Poucos minutos após a detecção do ataque, você é notificado usando as métricas no Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Configurando o registro em log na telemetria da Proteção contra DDoS Standard, você pode gravar os logs de opções disponíveis para análise futura.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Os dados de métrica no Azure Monitor para a Proteção contra DDoS Standard são mantidos por 30 dias.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

A Microsoft firmou parceria com BreakingPoint Cloud para criar uma interface em que você pode gerar tráfego contra endereços IP públicos com a Proteção contra DDoS habilitada para fins de simulação.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. A simulação do BreakPoint Cloud permitirá que você:The BreakPoint Cloud simulation allows you to:

  • Valide como a Proteção contra DDoS Standard do Microsoft Azure protege seus recursos do Azure contra ataques de DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Otimize o processo de resposta a incidentes durante ataques de DDoSOptimize your incident response process while under DDoS attack
  • Documente a conformidade de DDoSDocument DDoS compliance
  • Treine suas equipes de segurança de redeTrain your network security teams

Próximas etapasNext steps