Descrever a proteção contra DDoS do Azure

  • 4 minutos

Qualquer empresa, grande ou pequena, pode ser alvo de um ataque grave à rede. A natureza desses ataques pode ser fazer uma declaração, ou porque o atacante queria um desafio.

Ataques distribuídos de negação de serviço

O objetivo de um ataque de negação de serviço distribuído (DDoS) é sobrecarregar os recursos em seus aplicativos e servidores, tornando-os sem resposta ou lentos para usuários genuínos. Um ataque DDoS geralmente tem como alvo qualquer dispositivo voltado para o público que possa ser acessado pela internet.

Os três tipos mais frequentes de ataque DDoS são:

  • Ataques volumétricos: são ataques baseados em volume que inundam a camada de rede com tráfego aparentemente legítimo, sobrecarregando a largura de banda disponível. O tráfego legítimo não pode passar.
  • Ataques de protocolo: os ataques de protocolo tornam um alvo inacessível ao esgotar os recursos do servidor com solicitações de protocolo falsas que exploram fraquezas nos protocolos de camada 3 (rede) e camada 4 (transporte).
  • Ataques de camada de recursos (aplicativos): esses ataques têm como alvo pacotes de aplicativos da Web, para interromper a transmissão de dados entre hosts.

O que é o Azure DDoS Protection?

O serviço Proteção contra DDoS do Azure foi projetado para ajudar a proteger seus aplicativos e servidores, analisando o tráfego de rede e descartando qualquer coisa que se pareça com um ataque DDoS.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

O serviço Azure DDoS Protection protege na camada 3 (camada de rede) e na camada 4 (camada de transporte). Os principais benefícios fornecidos incluem:

  • Monitoramento de tráfego sempre ativo: seus padrões de tráfego de aplicativos são monitorados 24 horas por dia, 7 dias por semana, procurando indicadores de ataques DDoS. A Proteção contra DDoS do Azure atenua instantaneamente e automaticamente o ataque, assim que é detetado. Como parte da mitigação, o tráfego enviado para o recurso protegido é redirecionado pelo serviço de proteção contra DDoS e várias verificações são executadas. A Proteção contra DDoS do Azure descarta o tráfego de ataque e encaminha o tráfego restante para o destino pretendido. Dentro de alguns minutos após a deteção de ataque, você será notificado usando as métricas do Azure Monitor.
  • Ajuste adaptativo em tempo real: o perfil de tráfego inteligente aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil ajusta-se à medida que o tráfego muda ao longo do tempo.
  • Telemetria, monitoramento e alerta da Proteção contra DDoS: a Proteção contra DDoS do Azure expõe telemetria avançada por meio do Azure Monitor. Você pode configurar alertas para qualquer uma das métricas do Azure Monitor usadas pela Proteção contra DDoS. Pode integrar o registo com os Hubs de Eventos do Azure, os registos do Azure Monitor e o Armazenamento do Azure para análise avançada através da interface de Diagnóstico do Azure Monitor.

A Proteção contra DDoS do Azure suporta dois tipos de camadas, Proteção contra IP DDoS e Proteção de Rede DDoS. A camada é configurada no portal do Azure quando você configura a Proteção contra DDoS do Azure.

  • Proteção de rede DDoS: O serviço de proteção de rede DDoS (disponível como uma SKU), combinado com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual. A proteção é fácil de ativar em qualquer rede virtual nova ou existente e não requer nenhuma alteração da aplicação ou dos recursos.
  • Proteção IP DDoS: Proteção IP DDoS é um modelo IP pago por protegido. O DDoS IP Protection contém os mesmos recursos principais de engenharia que o DDoS Network Protection, mas difere porque não inclui os serviços de valor agregado, como suporte de resposta rápida DDoS, proteção de custos e descontos no Web Application Firewall (WAF) que fazem parte do DDoS Network Protection. Para obter uma lista completa dos recursos e camadas correspondentes, consulte Sobre a comparação da camada de proteção contra DDoS do Azure

Uma pergunta comum que é frequentemente levantada é por que considerar a adição de serviços de Proteção contra DDos se os serviços executados no Azure são inerentemente protegidos pela proteção DDoS padrão no nível da infraestrutura? O motivo é porque a proteção que protege a infraestrutura tem um limite mais alto do que a maioria dos aplicativos tem a capacidade de lidar e não fornece telemetria ou alerta. Assim, embora o volume de tráfego possa ser percebido como inofensivo pela plataforma, pode ser devastador para o aplicativo que o recebe. Ao integrar o Serviço de Proteção contra DDoS do Azure, o aplicativo obtém monitoramento dedicado para detetar ataques e limites específicos do aplicativo. Um serviço será protegido com um perfil ajustado ao volume de tráfego esperado, proporcionando uma defesa mais apertada contra ataques DDoS.

Como mencionado anteriormente, a Proteção contra DDos do Azure protege na camada 3 e na camada 4. Para proteção de aplicativos Web na camada 7 (a camada de aplicativo), você precisa adicionar proteção na camada de aplicativo usando uma oferta WAF (Web Application Firewall), descrita em uma unidade subsequente deste módulo.