JR Mayberry, jefe de PM principal de Redes de Azure, es coautor de esta entrada de blog.
Hoy nos complace anunciar la disponibilidad general del servicio Azure DDoS Protection Standard en todas las regiones de nube pública. Este servicio se integra con Redes virtuales (VNet) de Azure y ofrece protección y defensa de recursos de Azure contra el impacto de ataques de DDoS.
Los ataques por denegación de servicio distribuido (DDoS) tienen por objeto interrumpir un servicio agotando sus recursos (por ejemplo, ancho de banda, memoria). Los ataques DDoS son una de las principales preocupaciones sobre seguridad y disponibilidad que expresan los clientes que mueven sus aplicaciones a la nube. Con la extorsión y el hacktivismo como motivaciones comunes detrás, los ataques DDoS han estado aumentando constantemente en cuanto a tipo, escala y frecuencia de repetición ya que son relativamente fáciles y baratos de lanzar.
Estas preocupaciones se justifican porque el número de ataques de amplificación DDoS documentados aumentó en más del 357 por ciento en el cuarto trimestre de 2017, en comparación con 2016, según datos de Nexusguard. Además, más del 56 por ciento de todos los ataques aprovechan múltiples combinaciones de vectores. En febrero de 2018, Github fue atacado mediante una vulnerabilidad de reflejo en Memcached que generó 1,35 terabits de tráfico durante el ataque, el mayor ataque DDoS que se ha registrado jamás.
A medida que aumentan los tipos y la sofisticación de los ataques a la red, Azure se compromete a proporcionar a sus clientes soluciones que continúen protegiendo la seguridad y la disponibilidad de las aplicaciones en Azure. La seguridad y disponibilidad en la nube es responsabilidad de todos. Azure ofrece funcionalidades de nivel de plataforma y procedimientos recomendados de diseño para que los clientes los adopten y apliquen en diseños de aplicaciones que cumplan con sus objetivos de negocio.
Ofertas de servicio de Azure DDoS Protection
Azure tiene dos ofertas de servicio de DDoS que ofrecen protección frente a ataques de la red (niveles 3 y 4): DDoS Protection Basic y DDoS Protection Standard.
Servicio Azure DDoS Protection Basic
La protección básica se integra en la plataforma de Azure de forma predeterminada y sin costo adicional. En su conjunto, el tamaño y la capacidad de la red de implementación global de Azure proporciona una defensa contra los ataques al nivel de red más comunes mediante la supervisión del tráfico siempre activa y la mitigación en tiempo real. No se requiere ningún cambio en la configuración de usuarios o aplicaciones para habilitar DDoS Protection Basic. La protección básica defiende también contra los ataques "flood" y volumétricos de consulta de DNS de capa 7 más comunes y frecuentes que se dirigen a sus zonas Azure DNS. Este servicio también tiene un historial comprobado en la protección de los servicios empresariales y de consumo de Microsoft contra ataques a gran escala.
Servicio Azure DDoS Protection Standard
Azure DDoS Protection Standard ofrece funcionalidades mejoradas de mitigación de DDoS a su aplicación y los recursos implementados en las redes virtuales. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos. DDoS Protection Standard utiliza supervisión y aprendizaje automático dedicados para configurar directivas de protección contra DDoS que se ajusten a los perfiles de tráfico de su red virtual. Existe telemetría de ataques disponible a través de Azure Monitor, lo que permite generar alertas cuando la aplicación está siendo atacada. El firewall de aplicaciones web (WAF) de Application Gateway puede ofrecer protección de la aplicación de capa 7 integrada.
Características del servicio Azure DDoS Protection Standard
Integración nativa en la plataforma y protección llave en mano
DDoS Protection Standard se integra de manera nativa en la plataforma Azure e incluye la configuración a través de Azure Portal y PowerShell al crear un plan de DDoS Protection y habilitar DDoS Standard en una red virtual. El aprovisionamiento simplificado protege inmediatamente todos los recursos de una red virtual sin necesidad de realizar cambios adicionales en las aplicaciones.
Supervisión siempre activa y ajuste adaptable
Cuando DDoS Protection Standard se habilita, los patrones de tráfico de la aplicación se supervisan continuamente en busca de indicadores de ataques. DDoS Protection reconoce los recursos y la configuración de recursos, y personaliza la directiva de DDoS Protection para la red virtual. Los algoritmos de aprendizaje automático establecen y ajustan las directivas de protección a medida que los patrones de tráfico cambian con el tiempo.
Protección L7 con Application Gateway
El servicio Azure DDoS Protection junto con Firewall de aplicaciones web de Application Gateway ofrecen DDoS Protection contra vulnerabilidades y ataques web comunes.
- Limitación de la tasa de solicitudes
- Infracciones del protocolo HTTP
- Anomalías del protocolo HTTP
- Inyección de código SQL
- Scripts entre sitios
Habilitación de DDoS Protection Standard en una red virtual de firewall de aplicaciones
Pueden encontrarse más detalles sobre los escenarios admitidos en la documentación sobre procedimientos recomendados y arquitecturas de referencia para Azure DDoS Protection.
Telemetría, alertas y supervisión de DDoS Protection
A través de Azure Monitor se expone telemetría enriquecida como, por ejemplo, métricas detalladas durante un ataque de DDoS. Se pueden configurar alertas para cualquiera de las métricas de Azure Monitor que DDoS Protection expone. El registro se puede integrar después con Splunk (Azure Event Hubs), Log Analytics de OMS y Azure Storage para realizar análisis avanzados con la interfaz de Azure Monitor Diagnostics.
Pueden encontrarse más detalles en la documentación sobre administración de Azure DDoS Protection Standard mediante Azure Portal.
Garantía del contrato de nivel de servicio y protección de costos
El servicio DDoS Protection Standard está cubierto por un contrato de nivel de servicio del 99,99 %, y la protección de costos proporcionará créditos de recursos para el escalado horizontal durante un ataque documentado. Para obtener más información, consulte la página de contratos de nivel de servicio de Azure.
Planeamiento de la protección
El planeamiento y la preparación para un ataque de DDoS es fundamental para reconocer la disponibilidad y la respuesta de una aplicación durante un ataque real. Las organizaciones deben además establecer un plan de respuesta de administración de incidentes de DDoS bien analizado.
Como ayuda en este planeamiento, hemos publicado una completa guía sobre procedimientos recomendados y arquitecturas de referencia para Azure DDoS Protection y animamos a todos los clientes a aplicar esos procedimientos al diseñar aplicaciones con resistencia contra ataques de DDoS en Azure.
Nos hemos asociado con BreakingPoint Cloud para crear herramientas con las que los clientes de Azure puedan generar carga de tráfico en puntos de conexión públicos habilitados para DDoS Protection para simular ataques. La simulación de BreakPoint Cloud le permitirá:
- Comprobar en qué medida Microsoft Azure DDoS Protection protege sus recursos de Azure frente a ataques de DDoS.
- Optimizar el proceso de respuesta a incidentes durante el ataque de DDoS.
- Documentar el cumplimiento normativo de DDoS.
- Enseñar a los equipos de seguridad de red.
Introducción
Para obtener más información sobre el servicio, revise la documentación sobre el servicio Azure DDoS Protection.
Nos encantaría escuchar sus opiniones, preguntas y comentarios a través de nuestros canales regulares entre los que se incluyen foros, StackOverFlow y UserVoice.