Visão geral do Padrão de Proteção Azure DDoSAzure DDoS Protection Standard overview

Os ataques de Denial of Service distribuído (DDoS) são algumas das maiores preocupações de disponibilidade e segurança relativamente aos clientes que estão a mover as suas aplicações para a cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Um ataque DDoS tenta esgotar os recursos de uma aplicação, tornando a aplicação indisponível para utilizadores legítimos.A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet.

A proteção Azure DDoS, combinada com as melhores práticas de design de aplicações, fornecem defesa contra ataques DDoS.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks. A proteção Azure DDoS fornece os seguintes níveis de serviço:Azure DDoS protection provides the following service tiers:

  • Básico: Ativado automaticamente como parte da plataforma Azure.Basic: Automatically enabled as part of the Azure platform. A monitorização de tráfego sempre ligado e a mitigação em tempo real de ataques comuns a nível de rede, fornecem as mesmas defesas utilizadas pelos serviços online da Microsoft.Always-on traffic monitoring, and real-time mitigation of common network-level attacks, provide the same defenses utilized by Microsoft's online services.Toda a escala da rede global da Azure pode ser usada para distribuir e mitigar o tráfego de ataques em todas as regiões. The entire scale of Azure's global network can be used to distribute and mitigate attack traffic across regions.A proteção está prevista para os endereços IP públicosIPvv4 e IPv6 Azure . Protection is provided for IPv4 and IPv6 Azure public IP addresses.
  • Standard: Fornece capacidades de mitigação adicionais sobre o nível de serviço Básico que são sintonizados especificamente para os recursos da Rede Virtual Azure.Standard: Provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. A Norma de Proteção DDoS é simples de ativar e não requer alterações na aplicação.DDoS Protection Standard is simple to enable, and requires no application changes. As políticas de proteção são otimizadas através de uma monitorização de tráfego dedicada e de algoritmos de aprendizagem automática.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. As políticas são aplicadas a endereços IP públicos associados a recursos implantados em redes virtuais, tais como Azure Load Balancer, Azure Application Gateway e Azure Service Fabric, mas esta proteção não se aplica aos Ambientes de Serviço de Aplicações.Policies are applied to public IP addresses associated to resources deployed in virtual networks, such as Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances, but this protection does not apply to App Service Environments.A telemetria em tempo real está disponível através das vistas do Azure Monitor durante um ataque e para a história. Real-time telemetry is available through Azure Monitor views during an attack, and for history. A análise rica em mitigação de ataques está disponível através de configurações de diagnóstico.Rich attack mitigation analytics are available via diagnostic settings. A proteção da camada de aplicação pode ser adicionada através do Azure Application Gateway Web Application Firewall ou através da instalação de uma firewall de terceiros a partir do Azure Marketplace.Application layer protection can be added through the Azure Application Gateway Web Application Firewall or by installing a 3rd party firewall from Azure Marketplace. A proteção está prevista para os endereços IP públicosIPvv4 e IPv6 Azure .Protection is provided for IPv4 and IPv6 Azure public IP addresses.
FuncionalidadeFeature DDos Proteção BásicaDDoS Protection Basic Padrão de Proteção DDosDDoS Protection Standard
Monitorização ativa do tráfego & sempre na deteçãoActive traffic monitoring & always on detection SimYes SimYes
Mitigação automática de ataquesAutomatic attack mitigations SimYes SimYes
Garantia de disponibilidadeAvailability guarantee Região do AzureAzure Region AplicaçãoApplication
Políticas de mitigaçãoMitigation policies Sintonizado para o volume da região de tráfego de AzureTuned for Azure traffic region volume Sintonizado para volume de tráfego de aplicaçõesTuned for application traffic volume
Métricas & alertasMetrics & alerts NoNo Métricas de ataque em tempo real & registos de recursos via Azure MonitorReal time attack metrics & resource logs via Azure Monitor
Relatórios de mitigaçãoMitigation reports NoNo Relatórios de mitigação pós-ataquePost attack mitigation reports
Registos de fluxo de mitigaçãoMitigation flow logs NoNo Fluxo de registo NRT para integração siemNRT log stream for SIEM integration
Personalização da política de mitigaçãoMitigation policy customization NoNo Envolver especialistas em DDoSEngage DDoS Experts
SuporteSupport Melhor esforçoBest effort Acesso a Peritos do DDoS durante um ataque ativoAccess to DDoS Experts during an active attack
SLASLA Região do AzureAzure Region Garantia de aplicação & proteção de custosApplication guarantee & cost protection
PreçosPricing GratuitoFree Base de utilização & mensalMonthly & usage based

Tipos de ataques DDoS que a Norma de Proteção DDoS atenuaTypes of DDoS attacks that DDoS Protection Standard mitigates

A Norma de Proteção DDoS pode atenuar os seguintes tipos de ataques:DDoS Protection Standard can mitigate the following types of attacks:

  • Ataques volumosos: O objetivo do ataque é inundar a camada da rede com uma quantidade substancial de tráfego aparentemente legítimo.Volumetric attacks: The attack's goal is to flood the network layer with a substantial amount of seemingly legitimate traffic. Inclui inundações da UDP, inundações de amplificação e outras inundações de pacotes falsificados.It includes UDP floods, amplification floods, and other spoofed-packet floods. A DDoS Protection Standard atenua estes potenciais ataques multi-gigabytes absorvendo-os e esfregando-os, com a escala global de rede da Azure, automaticamente.DDoS Protection Standard mitigates these potential multi-gigabyte attacks by absorbing and scrubbing them, with Azure's global network scale, automatically.
  • Ataques de protocolos: Estes ataques tornam um alvo inacessível, explorando uma fraqueza na pilha de protocolos de camada 3 e camada 4.Protocol attacks: These attacks render a target inaccessible, by exploiting a weakness in the layer 3 and layer 4 protocol stack. Inclui ataques de inundações SYN, ataques de reflexão e outros ataques protocolares.It includes, SYN flood attacks, reflection attacks, and other protocol attacks. A DDoS Protection Standard atenua estes ataques, diferenciando o tráfego malicioso e legítimo, interagindo com o cliente e bloqueando o tráfego malicioso.DDoS Protection Standard mitigates these attacks, differentiating between malicious and legitimate traffic, by interacting with the client, and blocking malicious traffic.
  • Ataques de camadas de recursos (aplicações): Estes ataques visam pacotes de aplicações web, para perturbar a transmissão de dados entre anfitriões.Resource (application) layer attacks: These attacks target web application packets, to disrupt the transmission of data between hosts. Os ataques incluem violações do protocolo HTTP, injeção de SQL, scripts de cross-site e outros ataques da camada 7.The attacks include HTTP protocol violations, SQL injection, cross-site scripting, and other layer 7 attacks. Utilize uma Firewall de Aplicação Web, como a firewall da aplicação web Azure Application Gateway,bem como o DDoS Protection Standard para fornecer defesa contra estes ataques.Use a Web Application Firewall, such as the Azure Application Gateway web application firewall, as well as DDoS Protection Standard to provide defense against these attacks. Existem também ofertas de firewall de aplicações web de terceiros disponíveis no Azure Marketplace.There are also third-party web application firewall offerings available in the Azure Marketplace.

A DDoS Protection Standard protege os recursos numa rede virtual, incluindo endereços IP públicos associados a máquinas virtuais, equilibradores de carga e gateways de aplicações.DDoS Protection Standard protects resources in a virtual network including public IP addresses associated with virtual machines, load balancers, and application gateways. Quando associado à firewall da aplicação web Application Gateway, ou a uma firewall de aplicação web de terceiros implantada numa rede virtual com um IP público, o DDoS Protection Standard pode fornecer capacidade de mitigação da camada completa 3 à camada 7.When coupled with the Application Gateway web application firewall, or a third-party web application firewall deployed in a virtual network with a public IP, DDoS Protection Standard can provide full layer 3 to layer 7 mitigation capability.

Funcionalidades padrão de proteção DDoSDDoS Protection Standard features

Funcionalidade DDoS

As funcionalidades padrão de proteção DDoS incluem:DDoS Protection Standard features include:

  • Integração de plataformas nativas: Integrado nativo no Azure.Native platform integration: Natively integrated into Azure. Inclui a configuração através do portal Azure.Includes configuration through the Azure portal. A DDoS Protection Standard compreende os seus recursos e a configuração dos recursos.DDoS Protection Standard understands your resources and resource configuration.
  • Proteção da chave-de-turno: A configuração simplificada protege imediatamente todos os recursos numa rede virtual assim que o DDoS Protection Standard estiver ativado.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Não é necessária qualquer intervenção ou definição de utilizador.No intervention or user definition is required. A Norma de Proteção DDoS atenua instantaneamente e atenua automaticamente o ataque, uma vez detetado.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Monitorização do tráfego sempre ligado: Os seus padrões de tráfego de aplicações são monitorizados 24 horas por dia, 7 dias por semana, à procura de indicadores de ataques de DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. A mitigação é efetuada quando as políticas de proteção são ultrapassadas.Mitigation is performed when protection policies are exceeded.
  • Sintonização adaptativa: O perfil de tráfego inteligente aprende o tráfego da sua aplicação ao longo do tempo e seleciona e atualiza o perfil que é o mais adequado para o seu serviço.Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. O perfil ajusta-se à medida que o tráfego muda ao longo do tempo.The profile adjusts as traffic changes over time.
  • Proteção em várias camadas: Fornece proteção DDoS de pilha completa, quando usado com uma firewall de aplicação web.Multi-Layered protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Escala de mitigação extensiva: Mais de 60 tipos de ataques diferentes podem ser atenuados, com capacidade global, para proteger contra os maiores ataques DDoS conhecidos.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Análise de ataque: Obtenha relatórios detalhados em incrementos de cinco minutos durante um ataque, e um resumo completo após o ataque terminar.Attack analytics: Get detailed reports in five-minute increments during an attack, and a complete summary after the attack ends. Os registos de fluxo de mitigação do fluxo de fluxo para um sistema offline de informação de segurança e gestão de eventos (SIEM) para monitorização quase em tempo real durante um ataque.Stream mitigation flow logs to an offline security information and event management (SIEM) system for near real-time monitoring during an attack.
  • Métricas de ataque: As métricas resumidas de cada ataque são acessíveis através do Monitor Azure.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alerta de ataque: Os alertas podem ser configurados no início e na paragem de um ataque, e durante a duração do ataque, usando métricas de ataque incorporadas.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. Os alertas integram-se no seu software operacional como os registos do Microsoft Azure Monitor, Splunk, Azure Storage, Email e o portal Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Garantia de custos: Créditos de serviço de transferência de dados e de aplicação para ataques DDoS documentados.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.

Mitigação padrão de proteção DDosDDoS Protection Standard mitigation

A DDoS Protection Standard monitoriza a utilização real do tráfego e compara-a constantemente com os limiares definidos na Política DDoS.DDoS Protection Standard monitors actual traffic utilization and constantly compares it against the thresholds defined in the DDoS Policy. Quando o limiar de tráfego é ultrapassado, a mitigação do DDoS é iniciada automaticamente.When the traffic threshold is exceeded, DDoS mitigation is initiated automatically. Quando o tráfego volta abaixo do limiar, a mitigação é removida.When traffic returns below the threshold, the mitigation is removed.

Mitigação

Durante a mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de proteção DDoS e são realizadas várias verificações, tais como as seguintes verificações:During mitigation, traffic sent to the protected resource is redirected by the DDoS protection service and several checks are performed, such as the following checks:

  • Certifique-se de que os pacotes estão em conformidade com as especificações da Internet e não estão mal formados.Ensure packets conform to internet specifications and are not malformed.
  • Interaja com o cliente para determinar se o tráfego é potencialmente um pacote falsificado (por exemplo: SYN Auth ou SYN Cookie ou deixando cair um pacote para a fonte retransmitê-lo).Interact with the client to determine if the traffic is potentially a spoofed packet (e.g: SYN Auth or SYN Cookie or by dropping a packet for the source to retransmit it).
  • Pacotes de limite de taxas, se nenhum outro método de execução puder ser executado.Rate-limit packets, if no other enforcement method can be performed.

A proteção DDoS bloqueia o tráfego do ataque e reencaminha o tráfego restante para o destino pretendido.DDoS protection blocks attack traffic and forwards the remaining traffic to its intended destination. Em poucos minutos após a deteção do ataque, vai ser notificado através das métricas do Azure Monitor.Within a few minutes of attack detection, you are notified using Azure Monitor metrics. Ao configurar a gravação na telemetria DDoS Protection Standard, pode escrever os registos para as opções disponíveis para análise futura.By configuring logging on DDoS Protection Standard telemetry, you can write the logs to available options for future analysis. Os dados métricos do Azure Monitor para a Norma de Proteção DDoS são mantidos durante 30 dias.Metric data in Azure Monitor for DDoS Protection Standard is retained for 30 days.

A Microsoft estabeleceu uma parceria com a BreakingPoint Cloud para construir uma interface onde pode gerar tráfego contra endereços IP públicos ativados pela Proteção DDoS para simulações.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. A simulação breakpoint cloud permite-lhe:The BreakPoint Cloud simulation allows you to:

  • Validar como o Microsoft Azure DDoS Protection Standard protege os seus recursos Azure de ataques DDoSValidate how Microsoft Azure DDoS Protection Standard protects your Azure resources from DDoS attacks
  • Otimize o seu processo de resposta a incidentes sob ataque DDoSOptimize your incident response process while under DDoS attack
  • Conformidade do DDoS do documentoDocument DDoS compliance
  • Treine as suas equipas de segurança de redeTrain your network security teams

Passos seguintesNext steps