Entender como a Microsoft se defenderá de ataques do DoS
Negação de Serviço (DoS) refere-se a uma categoria de ataques baseados em rede em que um invasor consume todos os recursos de um sistema vítima com o objetivo de impedir atividades legítimas. Como identificar e bloquear o tráfego de uma única fonte de problemas é trivial, a forma mais ameaçadora de ataques de DoS é a DDoS (negação de serviço distribuído). Os ataques de DDoS utilizam muitos sistemas intermediários comprometidos controlados por um invasor para sobrecarregar o sistema de destino. A variedade e o número de fontes de ataque tornam os ataques de DDoS mais difíceis de detectar e bloquear.
Três fatores principais ditam a eficácia de um sistema de defesa contra DDoS: absorção, detecção e mitigação. A absorção do ataque inicial de DoS sem perda de disponibilidade é necessária para permitir tempo suficiente para detecção e mitigação. Sem a capacidade de absorção apropriada, pode não haver tempo suficiente para responder a um ataque de DDoS antes que o sistema seja sobrecarregado. Por esse motivo, a defesa contra DDoS bem-sucedida depende de uma combinação de maior capacidade e sistemas de monitoramento robustos para diminuir o tempo de detecção.
A Microsoft usa sua grande escala exclusiva e cobertura global para reforçar seus recursos de absorção. Nossa presença de rede distribuída globalmente permite a implementação de roteamento de vários caminhos de mesmo custo (ECMP), fornecendo redundância de caminho de rede para acesso a serviços do Microsoft 365 e isolamento de ataques de DDoS à região em que eles ocorrem. Além disso, os serviços e os dados do cliente são replicados entre datacenters com a capacidade de fazer failover se o datacenter principal ficar indisponível. Essa abordagem significa que ataques de DDoS em um ponto de borda específico não representam um risco significativo para a disponibilidade dos serviços do Microsoft 365.
Para lidar melhor com o risco de vários ataques de DDoS simultâneos, a Microsoft separou seu sistema de detecção de várias camadas de seus componentes de mitigação distribuídos globalmente na borda da rede. Dados de fluxo e informações de desempenho de vários pontos na rede da Microsoft são usados para desenvolver e melhorar os sistemas de correlação e detecção de DDoS. O princípio de negação implícita da Microsoft para o tráfego de rede garante que a comunicação indesejada seja descartada na borda da rede, diminuindo as superfícies de ataque de serviço e a carga da análise.
Depois de detectados, os ataques de DDoS são tratados usando técnicas de mitigação padrão, como cookies de SYN, limitação de fluxo e limites de conexão. Os ataques de DDoS geralmente são direcionados às camadas de Rede (L3) e Transporte (L4) do modelo OSI (Open System Interconnection), saturando as linhas de rede e os recursos de dispositivo. A Microsoft criou uma solução voltada para a proteção dessas camadas para garantir que o tráfego de ataque não interfira ou cause danos ao tráfego legítimo do cliente. Os dados de amostragem de tráfego de roteadores de datacenter são ingeridos e analisados pelos sistemas de monitoramento da Microsoft, equipando mecanismos de defesa automatizados a serem ativados se um ataque de DDoS nessas camadas de alto risco for detectado.
Como parte de uma abordagem de várias camada para a defesa contra DDoS, aplicativos como o Exchange Online e o SharePoint Online podem limitar os usuários com base nos recursos que consomem. Um exemplo comum é a limitação de um usuário ou serviço executando muitas ações em um curto período de tempo. Isso fornece uma cada adicional de defesa contra ataques de DDoS.