Proteção contra DDoS de aplicativos (camada 7)

O WAF do Azure tem vários mecanismos de defesa que podem ajudar a evitar ataques distribuídos de negação de serviço (DDoS). Os ataques DDoS podem ter como alvo a camada de rede (L3/L4) ou a camada de aplicação (L7). O Azure DDoS protege o cliente contra ataques volumétricos de grandes camadas de rede. O Azure WAF operando na camada 7 protege aplicativos Web contra ataques DDoS L7, como HTTP Floods. Essas defesas podem impedir que invasores alcancem seu aplicativo e afetar a disponibilidade e o desempenho do aplicativo.

Como pode proteger os seus serviços?

Esses ataques podem ser atenuados adicionando o Web Application Firewall (WAF) ou colocando DDoS na frente do serviço para filtrar solicitações incorretas. O Azure oferece WAF em execução na borda da rede com o Azure Front Door e em data centers com o Application Gateway. Essas etapas são uma lista generalizada e precisam ser ajustadas para se adequar ao serviço de requisitos do aplicativo.

• Implante o Azure Web Application Firewall (WAF) com o Azure Front Door Premium ou o Application Gateway WAF v2 SKU para proteger contra ataques da camada de aplicativos L7.
• Aumente a contagem de instâncias de origem para que haja capacidade ociosa suficiente.
• Habilite a Proteção contra DDoS do Azure nos IPs públicos de origem para proteger seus IPs públicos contra ataques DDoS de camada 3(L3) e camada 4(L4). As ofertas de DDoS do Azure podem proteger automaticamente a maioria dos sites contra ataques volumétricos L3 e L4 que enviam um grande número de pacotes para um site. O Azure também oferece proteção de nível de infraestrutura para todos os sites hospedados no Azure por padrão.

Azure WAF com Azure Front Door

O WAF do Azure tem muitos recursos que podem ser usados para mitigar muitos tipos diferentes de ataques, como inundações HTTP, desvio de cache, ataques lançados por botnets.

• Use o conjunto de regras gerenciadas de proteção de bot para proteger contra bots mal-intencionados conhecidos. Para obter mais informações, consulte Configurando a proteção de bot.

• Aplique limites de taxa para evitar que os endereços IP liguem para o seu serviço com muita frequência. Para obter mais informações, consulte Limitação de taxa.

• Bloqueie endereços IP e intervalos que você identificar como maliciosos. Para obter mais informações, consulte Restrições de IP.

• Bloqueie ou redirecione para uma página da Web estática qualquer tráfego de fora de uma região geográfica definida ou dentro de uma região definida que não se encaixe no padrão de tráfego do aplicativo. Para obter mais informações, consulte Filtragem geográfica.

• Crie regras WAF personalizadas para bloquear e limitar automaticamente os ataques HTTP ou HTTPS que tenham assinaturas conhecidas. Assinatura, como um agente de usuário específico ou um padrão de tráfego específico, incluindo cabeçalhos, cookies, parâmetros de cadeia de caracteres de consulta ou uma combinação de várias assinaturas.

Além do WAF, o Azure Front Door também oferece proteção padrão contra DDoS da Infraestrutura do Azure para proteção contra ataques DDoS L3/4. Habilitar o cache no Azure Front Door pode ajudar a absorver o pico repentino de volume de tráfego na borda e proteger as origens de back-end contra ataques também.

Para obter mais informações sobre recursos e proteção contra DDoS no Azure Front Door, consulte Proteção contra DDoS no Azure Front Door.

Azure WAF com o Azure Application Gateway

Recomendamos o uso do Application Gateway WAF v2 SKU que vem com os recursos mais recentes, incluindo recursos de mitigação de DDoS L7, para se defender contra ataques DDoS L7.

Os SKUs WAF do Application Gateway podem ser usados para mitigar muitos ataques DDoS L7:

• Configure o Application Gateway para aumentar automaticamente a escala e não impor o número máximo de instâncias.

• Usar o conjunto de regras gerenciadas de proteção de bot fornece proteção contra bots mal-intencionados conhecidos. Para obter mais informações, consulte Configurando a proteção de bot.

• Aplique limites de taxa para evitar que os endereços IP liguem para o seu serviço com muita frequência. Para obter mais informações, consulte Configurando regras personalizadas de limitação de taxa.

• Bloqueie endereços IP e intervalos que você identificar como maliciosos. Para obter mais informações, consulte exemplos em Criar e usar regras personalizadas v2.

• Bloqueie ou redirecione para uma página da Web estática qualquer tráfego de fora de uma região geográfica definida ou dentro de uma região definida que não se encaixe no padrão de tráfego do aplicativo. Para obter mais informações, consulte exemplos em Criar e usar regras personalizadas v2.

• Crie regras WAF personalizadas para bloquear e limitar automaticamente os ataques HTTP ou HTTPS que tenham assinaturas conhecidas. Assinaturas como um agente de usuário específico ou um padrão de tráfego específico, incluindo cabeçalhos, cookies, parâmetros de cadeia de caracteres de consulta ou uma combinação de várias assinaturas.

Outras considerações

• Bloqueie o acesso a IPs públicos na origem e restrinja o tráfego de entrada para permitir apenas o tráfego da Porta da Frente do Azure ou do Gateway de Aplicativo para a origem. Consulte as orientações sobre o Azure Front Door. Os gateways de aplicativos são implantados em uma rede virtual, garantindo que não haja IPs expostos publicamente.

• Mude a política WAF para o modo de prevenção. A implantação da política no modo de deteção opera somente no log e não bloqueia o tráfego. Depois de verificar e testar sua política WAF com tráfego de produção e ajuste fino para reduzir quaisquer falsos positivos, você deve ativar a política para o modo de prevenção (modo de bloqueio/defesa).

• Monitore o tráfego usando os logs WAF do Azure para verificar se há anomalias. Você pode criar regras personalizadas para bloquear qualquer tráfego ofensivo – IPs suspeitos enviando um número anormalmente alto de solicitações, cadeia de caracteres de agente do usuário incomum, padrões de cadeia de caracteres de consulta anômalos, etc.

• Você pode ignorar o WAF para tráfego legítimo conhecido criando Match Custom Rules com a ação de Allow para reduzir falsos positivos. Essas regras devem ser configuradas com uma prioridade alta (valor numérico mais baixo) do que outras regras de limite de bloco e taxa.

• No mínimo, você deve ter uma regra de limite de taxa que bloqueie a alta taxa de solicitações de qualquer endereço IP único. Por exemplo, você pode configurar uma regra de limite de taxa para não permitir que nenhum endereço IP do cliente envie mais de XXX tráfego por janela para seu site. O WAF do Azure suporta duas janelas para rastrear solicitações, 1 e 5 minutos. Recomenda-se usar a janela de 5 minutos para uma melhor mitigação dos ataques HTTP Flood. Esta regra deve ser a regra de prioridade mais baixa (a prioridade é ordenada com 1 sendo a prioridade mais alta), para que regras mais específicas de Limite de Taxa ou Correspondência possam ser criadas para corresponder antes dessa regra. Se você estiver usando o Application Gateway WAF v2, poderá usar configurações adicionais de limitação de taxa para rastrear e bloquear clientes por métodos diferentes do IP do cliente. Mais informações sobre limites de taxa no waf do Application Gateway podem ser encontradas em Visão geral de limitação de taxa.

  A consulta do Log Analytics a seguir pode ser útil para determinar o limite que você deve usar para a regra acima. Para uma consulta semelhante, mas com o Application Gateway, substitua "FrontdoorAccessLog" por "ApplicationGatewayAccessLog".

  AzureDiagnostics
  | where Category == "FrontdoorAccessLog"
  | summarize count() by bin(TimeGenerated, 5m), clientIp_s
  | summarize max(count_), percentile(count_, 99), percentile(count_, 95)
  

• As regras gerenciadas, embora não sejam diretamente direcionadas para defesas contra ataques DDoS, fornecem proteção contra outros ataques comuns. Para obter mais informações, consulte Regras gerenciadas (Azure Front Door) ou Regras gerenciadas (Application Gateway) para saber mais sobre vários tipos de ataque contra os quais essas regras podem ajudar a proteger.

Análise de log WAF

Você pode analisar os logs do WAF no Log Analytics com a consulta a seguir.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Para obter mais informações, consulte Azure WAF with Azure Front Door.

Gateway de Aplicação do Azure

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Para obter mais informações, consulte Azure WAF com o Azure Application Gateway.

Próximos passos

• Crie uma política WAF para o Azure Front Door.

• Crie um gateway de aplicativo com um firewall de aplicativo Web.

• Saiba como o Azure Front Door pode ajudar a proteger contra ataques DDoS.

• Proteja seu gateway de aplicativo com a Proteção de Rede DDoS do Azure.

• Saiba mais sobre a Proteção contra DDoS do Azure.