Práticas recomendadas fundamentais da Proteção contra DDoS do Azure

  • Artigo

As seções a seguir fornecem orientação prescritiva para criar serviços resilientes a DDoS no Azure.

Conceber para segurança

Garanta que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo, desde o projeto e a implementação até a implantação e as operações. Os aplicativos podem ter bugs que permitem que um volume relativamente baixo de solicitações use uma quantidade excessiva de recursos, resultando em uma interrupção do serviço.

Para ajudar a proteger um serviço em execução no Microsoft Azure, você deve ter um bom entendimento da arquitetura do seu aplicativo e se concentrar nos cinco pilares da qualidade do software. Você deve conhecer os volumes de tráfego típicos, o modelo de conectividade entre o aplicativo e outros aplicativos e os pontos de extremidade de serviço expostos à Internet pública.

Garantir que um aplicativo seja resiliente o suficiente para lidar com uma negação de serviço direcionada ao próprio aplicativo é o mais importante. A segurança e a privacidade são incorporadas na plataforma Azure, começando com o Security Development Lifecycle (SDL). O SDL aborda a segurança em todas as fases de desenvolvimento e garante que o Azure seja atualizado continuamente para torná-lo ainda mais seguro. Para saber mais sobre como maximizar sua eficácia usando a Proteção contra DDoS, consulte Maximizando a eficácia: práticas recomendadas para proteção contra DDoS do Azure e resiliência de aplicativos.

Design para escalabilidade

Escalabilidade é o quão bem um sistema pode lidar com o aumento da carga. Projete seus aplicativos para dimensionar horizontalmente para atender à demanda de uma carga amplificada, especificamente no caso de um ataque DDoS. Se seu aplicativo depende de uma única instância de um serviço, ele cria um único ponto de falha. O provisionamento de várias instâncias torna seu sistema mais resiliente e escalável.

Para o Serviço de Aplicativo do Azure, selecione um plano do Serviço de Aplicativo que ofereça várias instâncias. Para os Serviços de Nuvem do Azure, configure cada uma de suas funções para usar várias instâncias. Para Máquinas Virtuais do Azure, verifique se a arquitetura da máquina virtual (VM) inclui mais de uma VM e se cada VM está incluída em um conjunto de disponibilidade. Recomendamos o uso de conjuntos de dimensionamento de máquina virtual para recursos de dimensionamento automático.

Defesa em profundidade

A ideia por trás da defesa em profundidade é gerenciar o risco usando diversas estratégias defensivas. Colocar as defesas de segurança em camadas em um aplicativo reduz a chance de um ataque bem-sucedido. Recomendamos que você implemente designs seguros para seus aplicativos usando os recursos internos da plataforma Azure.

Por exemplo, o risco de ataque aumenta com o tamanho (área de superfície) da aplicação. Você pode reduzir a área de superfície usando uma lista de aprovação para fechar o espaço de endereço IP exposto e as portas de escuta que não são necessárias nos balanceadores de carga (Azure Load Balancer e Azure Application Gateway). Os grupos de segurança de rede (NSGs) são outra maneira de reduzir a superfície de ataque. Você pode usar tags de serviço e grupos de segurança de aplicativos para minimizar a complexidade para criar regras de segurança e configurar a segurança de rede, como uma extensão natural da estrutura de um aplicativo. Além disso, você pode usar a Solução de DDoS do Azure para Microsoft Sentinel para identificar fontes de DDoS ofensivas e bloqueá-las de iniciar outros ataques sofisticados, como roubo de dados.

Você deve implantar os serviços do Azure em uma rede virtual sempre que possível. Essa prática permite que os recursos de serviço se comuniquem por meio de endereços IP privados. O tráfego de serviço do Azure de uma rede virtual usa endereços IP públicos como endereços IP de origem por padrão. O uso de pontos de extremidade de serviço alternará o tráfego de serviço para usar endereços privados de rede virtual como os endereços IP de origem quando eles estiverem acessando o serviço do Azure de uma rede virtual.

Muitas vezes, vemos os recursos locais dos clientes sendo atacados junto com seus recursos no Azure. Se você estiver conectando um ambiente local ao Azure, recomendamos minimizar a exposição de recursos locais à Internet pública. Você pode usar a escala e os recursos avançados de proteção contra DDoS do Azure implantando suas entidades públicas conhecidas no Azure. Como essas entidades acessíveis publicamente geralmente são um alvo para ataques DDoS, colocá-las no Azure reduz o impacto em seus recursos locais.

Próximos passos