Insights

Guia de resposta de proteção contra DDoS da Microsoft

(Texto “Guia de resposta de proteção contra DDoS da Microsoft” de Anupam Vij Principal PM Manager, Azure Networking, originalmente publicado no blog post da Microsoft).

Recebendo ameaças de ataque de Distributed Denial of Service (DDoS)?

As ameaças de DDoS tiveram um aumento significativo na frequência ultimamente, e a Microsoft interrompeu vários desses ataques em grande escala no ano passado. Este guia fornece uma visão geral do que a Microsoft oferece no nível da plataforma, informações sobre mitigações recentes e práticas recomendadas.

Plataforma Microsoft DDoS

  • A Microsoft oferece uma proteção robusta contra ataques de DDoS de camada três (L3) e camada quatro (L4), que incluem os do tipo TCP SYN, de novas conexões e UDP/ICMP/TCP Floods.
  • A proteção contra DDoS da Microsoft utiliza a escala de implantação global do Azure, é distribuída por natureza e oferece 60 Tbps de capacidade global de mitigação de ataques.
  • Todos os serviços da Microsoft (incluindo Microsoft365, Azure e Xbox) são protegidos por proteção de DDoS no nível da plataforma. Os serviços de nuvem da Microsoft são criados intencionalmente para suportar cargas altas, o que ajuda a proteger contra ataques de DDoS no nível da aplicação.
  • Todos os VIPs (endereços IP virtuais) públicos de endpoints no Azure são protegidos em limites seguros na plataforma. A proteção se estende aos fluxos de tráfego de entrada da Internet, de saída para a Internet e de região para região.
  • A Microsoft usa técnicas padrão de detecção e mitigação, como cookies SYN, limitação de taxa e limites de conexão para proteção contra ataques de DDoS. Para oferecer suporte a proteções automatizadas, uma equipe de resposta a incidentes com cargas de trabalho de DDoS cruzadas identifica as funções e responsabilidades entre as equipes, os critérios para escalações e os protocolos para tratamento de incidentes entre as equipes afetadas.
  • A Microsoft também adota uma abordagem proativa para defesa contra DDoS. Botnets são uma fonte comum de comando e controle para a realização de ataques DDoS para amplificar os ataques e manter o anonimato. A Unidade de Crimes Digitais (DCU) da Microsoft se concentra na identificação, investigação e interrupção da distribuição de malware e da infraestrutura de comunicação para reduzir a escala e o impacto dos botnets.

Incidentes recentes

Na Microsoft, apesar dos desafios em evolução no cenário cibernético, a equipe de proteção contra DDoS do Azure conseguiu mitigar com sucesso alguns dos maiores ataques de DDoS de todos os tempos, tanto no Azure quanto ao longo da história.

  • Em outubro de 2021, a Microsoft relatou um ataque de DDoS de 2,4 terabit por segundo (Tbps) no Azure que mitigamos com sucesso. Desde então, mitigamos três ataques maiores.
  • Em novembro de 2021, a Microsoft atenuou um ataque de DDoS com uma taxa de transferência de 3,47 Tbps e uma taxa de pacotes de 340 milhões de pacotes por segundo (pps), visando um cliente do Azure na Ásia. Em fevereiro de 2022, (acredita-se que este seja o maior ataque já relatado na história), vimos um ataque distribuído originário de aproximadamente 10.000 fontes e de vários países em todo o mundo, incluindo Estados Unidos, China, Coréia do Sul, Rússia, Tailândia, Índia, Vietnã, Irã, Indonésia e Taiwan.

Proteja seus aplicativos no Azure contra ataques de DDoS em três etapas:

Os clientes podem proteger suas cargas de trabalho do Azure integrando-se ao Azure DDoS Protection Standard. Para cargas de trabalho da Web, é recomendável usar o firewall de aplicativo da web em conjunto com o DDoS Protection Standard para proteção extensiva L3-L7.

1. Avalie os riscos para suas aplicações no Azure. Este é o momento de entender o escopo dos seus riscos de um ataque de DDoS, caso ainda não o tenha feito.

  1. Se houver redes virtuais com aplicações expostas na Internet pública, é altamente recomendável ativar a proteção contra DDoS nessas redes virtuais. Os recursos em uma rede virtual que requer proteção contra ataques DDoS são: Azure Application Gateway e Azure Web Application Firewall (WAF), Azure Load Balancer, máquinas virtuais, Bastion, Kubernetes e Azure Firewall. Revise as “Arquiteturas de referência de proteção contra DDoS” e obtenha mais detalhes para proteger seus recursos em redes virtuais contra ataques DDoS.
DDoS Protection

2. Valide suas suposições. O planejamento e a preparação são cruciais para entender como um sistema funcionará durante um ataque de DDoS. Você deve ser proativo para se defender contra ataques de DDoS e não esperar que um aconteça para então agir.

  1. É essencial que você entenda o comportamento normal de uma aplicação e se prepare para agir se ela não estiver se comportando conforme o esperado durante um ataque de DDoS. Tenha monitores configurados para as aplicações críticas do seu negócio para “imitar” o comportamento do client e notificar quando forem detectadas anomalias relevantes. Consulte as práticas recomendadas de monitoramento e diagnóstico para obter informações sobre a integridade da sua aplicação.
  1. O Azure Application Insights é um serviço de gerenciamento de desempenho de aplicação (APM) extensível para desenvolvedores da Web em várias plataformas. Use o Application Insights para monitorar sua aplicação Web ao vivo. Ele detecta automaticamente anomalias de desempenho. Ele inclui ferramentas de análise para ajudar você a diagnosticar problemas e entender o que os usuários fazem com sua aplicação. Ele foi projetado para ajudá-lo a melhorar continuamente o desempenho e a usabilidade.
  1. Por fim, teste suas suposições sobre como seus serviços responderão a um ataque gerando tráfego contra suas aplicações simulando um ataque DDoS. Não espere que um ataque real aconteça! Fizemos uma parceria com a Ixia, uma empresa da Keysight, para fornecer um gerador de tráfego de autoatendimento (BreakingPoint Cloud) que permite que os clientes do Azure DDoS Protection simulem o tráfego de teste DDoS em seus endpoints públicos do Azure.

3. Configure alertas e análises de ataque. A Proteção DDoS do Azure identifica e mitiga ataques sem qualquer intervenção do usuário.

  1. Para ser notificado quando houver uma mitigação ativa para um IP público protegido, recomendamos configurar um alerta para ataques nas métricas ou não. Os alertas de mitigação de ataques de DDoS são enviados automaticamente para o Microsoft Defender for Cloud.
  1. Você também deve configurar a análise de ataque para entender a escala da ameaça, para tráfegos sendo descartados e outros detalhes.
Azure DDoS Protection Workbook

Boas práticas a serem seguidas

  • Provisione uma capacidade de serviço que seja suficiente e habilite o dimensionamento automático para absorver a explosão inicial de um ataque de DDoS.
  • Reduza as superfícies de ataque; reavalie os endpoints públicos e decida se eles precisam ser acessíveis publicamente.
  • Configure o monitoramento e o alerta, caso ainda não o tenha feito. Alguns dos contadores para monitorar:
  • Conexão TCP estabelecida
    • Conexões atuais da Web
    • Tentativas de conexão com a web
  • Opcionalmente, use ofertas de segurança de terceiros, como web application firewalls ou appliances virtuais inline, do Azure Marketplace para proteção L7 adicional que não é coberta pela Proteção DDoS do Azure e pelo Azure WAF (Azure Web Application Firewall).

Quando entrar em contato com o suporte da Microsoft?

  • Se durante um ataque você descobrir que o desempenho do recurso protegido está gravemente degradado ou o recurso não está disponível. Revise a etapa dois acima sobre como configurar monitores para detectar problemas de disponibilidade e desempenho de recursos.
  • Se você acha que seu recurso está sob ataque, mas o serviço de proteção não está mitigando o ataque de forma eficaz.
  • Você está planejando um evento viral que aumentará significativamente seu tráfego de rede.

Como fazemos

Nossos resultados testados oferecem um poderoso retorno sobre o investimento.

Quase 3 décadas de consultoria e serviços de TI

Presença global em quatro continentes

Certificações* em CMMI 5, ISO 9001, ISO 45001 e ISO 27001

~30,000 especialistas pelo mundo

Microsoft Azure Expert MSP

ISO 9001 and 45001 (certificates issued to Beyondsoft International (Singapore) Pte Ltd). ISO 27001 (certificates issued to Beyondsoft International (Singapore) Pte Ltd, Beyondsoft (Malaysia) Sdn. Bhd., and Beyondsoft Consulting Inc., Bellevue, WA, USA)