Microsoft 拒絕服務防禦策略

  • 發行項

阻絕服務攻擊策略

Microsoft 防禦網路型分散式阻斷服務 (DDoS) 攻擊的策略是獨一無二的,因為全球使用量很大,因此 Microsoft 可以利用大部分其他組織無法使用的策略和技術。 此外,Microsoft 也參與並從廣泛的威脅情報網絡匯總的集體知識中進行,其中包括 Microsoft 合作夥伴和更廣泛的網際網路安全性社群。 此智慧與從線上服務和 Microsoft 全球客戶群收集的資訊,持續改善 Microsoft 的 DDoS 防禦系統,以保護所有 Microsoft 線上服務 的資產。

Microsoft DDoS 策略的基石是全球存在。 Microsoft 與網際網路提供者、對等互連提供者 (公用和私人) ,以及世界各地的私人公司合作。 這項參與可讓 Microsoft 在網際網路中擁有大量存在,並讓 Microsoft 在大型介面區中承受攻擊

隨著 Microsoft 的邊緣容量隨著時間成長,針對個別邊緣的攻擊重要性已大幅降低。 由於此減少,Microsoft 已分隔其 DDoS 防護系統的偵測和風險降低元件。 Microsoft 會在區域資料中心部署多層式偵測系統,以偵測更接近其飽和度點的攻擊,同時在邊緣節點上維持全域風險降低。 此策略可確保 Microsoft 服務可以同時處理多個攻擊。

Microsoft 針對 DDoS 攻擊所採用的最有效且低成本防禦之一,就是減少服務攻擊面。 不需要的流量會在網路邊緣卸載,而不是分析、處理和清除內嵌資料。

在公用網路的介面上,Microsoft 會使用特殊用途的安全性裝置來進行防火牆、網路位址轉譯和 IP 篩選功能。 Microsoft 也會使用全域等成本的多重路徑 (ECMP) 路由。 全域 ECMP 路由是一種網路架構,可確保有多個可連線到服務的全域路徑。 每個服務都有多個路徑,DDoS 攻擊僅限於攻擊的來源區域。 其他區域應該不受攻擊影響,因為終端使用者會使用其他路徑來連線到這些區域中的服務。 Microsoft 也開發了內部 DDoS 相互關聯和偵測系統,這些系統會使用流程資料、效能計量和其他資訊來快速偵測 DDoS 攻擊。

為了進一步保護雲端服務,Microsoft 使用 Azure DDoS 保護,這是 Microsoft Azure 持續監視和滲透測試程式內建的 DDoS 防禦系統。 Azure DDoS 保護的設計不僅是為了承受外部攻擊,也是為了抵禦來自其他 Azure 租使用者的攻擊。 Azure 使用標準偵測和風險降低技術,例如 SYN Cookie、速率限制和連線限制,以防止 DDoS 攻擊。 為了支援自動化保護,跨工作負載 DDoS 事件回應小組會識別跨小組的角色和責任、呈報準則,以及在受影響小組之間處理事件的通訊協定。

針對目標所發動的大部分 DDoS 攻擊都位於開放式 系統互連 (OSI) 模型的網路 (L3) 和傳輸 (L4) 層。 針對 L3 和 L4 層的攻擊是設計來讓網路介面或服務滿溢攻擊流量,以造成資源不足,並拒絕回應合法流量的能力。 為了防範 L3 和 L4 攻擊,Microsoft 的 DDoS 解決方案會使用來自資料中心路由器的流量取樣資料來保護基礎結構和客戶目標。 網路監視服務會分析流量取樣資料,以偵測攻擊。 偵測到攻擊時,自動化防禦機制會啟動以減輕攻擊,並確保導向一個客戶的攻擊流量不會對其他客戶造成附帶損害或網路服務品質降低。

Microsoft 也會對 DDoS 防禦採取冒犯性的方法。 Botnet 是常見的命令和控制來源,可進行 DDoS 攻擊以放大攻擊並維持匿名。 Microsoft 數位犯罪單位 (DCU) 著重于識別、調查及中斷惡意程式碼散發和通訊基礎結構,以減少 Botnet 的規模和影響。

應用層級防禦

Microsoft 的雲端服務是刻意建置來支援高負載,有助於防範應用層級 DDoS 攻擊。 Microsoft 的向外延展架構會將服務分散到多個全球資料中心,並針對相關工作負載提供區域隔離和工作負載特定的節流功能。

客戶系統管理員在服務初始設定期間識別的每位客戶國家/地區,都會決定該客戶資料的主要儲存位置。 客戶資料會根據主要/備份策略在備援資料中心之間複寫。 主要資料中心會裝載應用程式軟體,以及軟體上執行的所有主要客戶資料。 備份資料中心提供自動容錯移轉。 如果主要資料中心因為任何原因而停止運作,要求會重新導向至備份資料中心內軟體和客戶資料的複本。 在任何指定的時間,客戶資料可能會在主要或備份資料中心內處理。 若有一個資料中心受到攻擊,將資料分散到多個資料中心可減少受影響的介面區。 此外,受影響資料中心內的服務可以快速地重新導向至次要資料中心,以在攻擊期間維持可用性,並在降低攻擊風險後重新導向回主要資料中心。

作為另一個針對 DDoS 攻擊的風險降低措施,個別工作負載包含管理資源使用率的內建功能。 例如,Exchange Online和 SharePoint Online 中的節流機制是多層式方法的一部分,可防禦 DDoS 攻擊。

Azure SQL資料庫具有額外的安全性層級,其形式為名為 DoSGuard 的閘道服務,可根據 IP 位址追蹤失敗的登入嘗試。 如果達到來自相同 IP 的失敗登入嘗試閾值,DoSGuard 會封鎖該位址一段預先決定的時間量。

資源