Ce billet de blog a été co-écrit par JR Mayberry, directeur principal Gestion de projets, Azure Networking.

Aujourd’hui, nous sommes heureux d’annoncer la disponibilité générale du service Azure DDoS Protection Standard dans toutes les régions de cloud public. Ce service intégré avec Azure Virtual Networks (VNet) fournit une protection et une défense pour les ressources Azure contre les impacts d’attaques par déni de service distribué (DDoS).

Les attaques DDoS visent à perturber un service en épuisant ses ressources (par exemple, la bande passante ou la mémoire). Elles constituent l’un des problèmes de disponibilité et de sécurité majeurs évoqués par les clients qui migrent leurs applications vers le cloud. L’extorsion de fonds et le hacktivisme étant les motivations les plus répandues des attaques DDoS, leur diversité, leur échelle et leur fréquence n’ont cessé de croître, car leur lancement est relativement facile et bon marché.

Ces préoccupations sont justifiées car, selon les données de Nexusguard, le nombre d’attaques par amplification de DDoS documentées a augmenté de plus de 357 % au cours du quatrième trimestre 2017 par rapport à 2016. En outre, plus de 56 % de toutes les attaques exploitent plusieurs combinaisons de vecteurs. En février 2018, Github a été attaqué via une exploitation de réflexion dans Memcached, générant 1,35 térabits de trafic d’attaque, ce qui en fait l’attaque DDoS la plus massive jamais enregistrée.

À mesure que la diversité et la sophistication des attaques réseau croissent, Azure s’engage à fournir à ses clients des solutions qui continuent de protéger la sécurité et la disponibilité des applications sur Azure. La sécurité et la disponibilité dans le cloud sont une responsabilité partagée. Azure fournit des fonctionnalités au niveau plateforme, et élabore des meilleures pratiques que les clients doivent adopter et appliquer dans des conceptions d’applications répondant à leurs objectifs stratégiques.

Offre du service Azure DDoS Protection

Azure propose deux offres de service DDoS qui assurent une protection contre les attaques réseau (couche 3 et 4) : la protection DDoS de base (DDoS Protection Basic) et la protection DDoS standard (DDoS Protection Standard).

Service Azure DDoS Protection de base

La protection de base est intégrée à la plateforme Azure par défaut sans frais supplémentaires. En vertu de son échelle et de sa capacité, le réseau déployé à l’échelle mondiale d’Azure assure une défense contre les attaques courantes de la couche réseau au travers d’une supervision permanente du trafic et de l’atténuation en temps réel. Aucune configuration ou modification d’application par l’utilisateur n’est nécessaire pour activer la protection DDoS de base. La protection de base protège également contre les avalanches de requêtes DNS de couche 7 et les attaques volumétriques les plus fréquentes qui ciblent vos zones Azure DNS. Ce service a également fait ses preuves dans la protection des services professionnels et grand public de Microsoft contre les attaques de grande envergure.

Service Azure DDoS Protection Standard

Le service Azure DDoS Protection Standard fournit des fonctionnalités améliorées d’atténuation des attaques DDoS pour votre application et les ressources déployées dans vos réseaux virtuels. La protection est simple à activer sur tout réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources. La protection DDoS Standard utilise une supervision et un apprentissage automatique dédiés pour configurer des stratégies de protection DDoS adaptées à vos profils de trafic réseau virtuel. Une télémétrie des attaques est fournie via Azure Monitor, qui permet d’alerter quand votre application est attaquée. La protection intégrée des applications de couche 7 peut être assurée par un pare-feu d’applications web (WAF) Application Gateway.

Fonctionnalités du service Azure DDoS Protection Standard

Intégration de plateforme native et protection clé en main

DDoS Protection Standard est intégré en mode natif à la plateforme Azure, et inclut une configuration via le portail Azure et PowerShell lorsque vous créez un plan de protection DDoS et activez DDoS Standard sur un réseau virtuel. Un approvisionnement simplifié protège immédiatement toutes les ressources d’un réseau virtuel sans nécessiter de modifications de l’application.

 

Supervision et réglage adaptatif toujours actifs

Lorsque la protection DDoS Standard est activée, vos modèles de trafic d’applications sont surveillés en permanence pour détecter des indicateurs d’attaques. La protection DDoS comprend la configuration de vos ressources et adapte la stratégie de protection DDoS à votre réseau virtuel. Des algorithmes d’apprentissage automatique définissent et ajustent les stratégies de protection à mesure que les modèles de trafic évoluent.

Protection L7 avec Application Gateway

Le service Azure DDoS Protection associé au pare-feu d’applications web Application Gateway fournit une protection DDoS contre les vulnérabilités et attaques web courantes.

• Limitation du taux de requêtes
• Violations de protocole HTTP
• Anomalies de protocole HTTP
• Injection de code SQL
• Scripts de site à site

Protection DDoS Standard activée sur un réseau virtuel de pare-feu d’applications web

Pour plus de détails sur les scénarios pris en charge, consultez la documentation Azure DDoS Protection Standard – Meilleures pratiques et conception de référence.

Télémétrie, supervision et génération d’alertes de Protection DDoS

Une télémétrie riche est exposée via Azure Monitor, dont des métriques détaillées pendant toute la durée d’une attaque DDoS. La génération d’alertes peut être configurée pour l’une des métriques Azure Monitor exposées par la protection DDoS. La journalisation peut être intégrée davantage avec Splunk (Azure Event Hubs), OMS Log Analytics et Stockage Azure à des fins d’analyse avancée via l’interface de diagnostic d’Azure Monitor.

Pour plus de détails, consultez la documentation Gérer le service Azure DDoS Protection Standard à l’aide du portail Azure.

Garantie et protection des coûts du Contrat de niveau de service

Le service DDoS Protection Standard est couvert par un Contrat de niveau de service garantissant une disponibilité de 99,99 %, et la protection des coûts fournit des crédits de ressources pour augmenter la taille des instances durant une attaque documentée. Pour plus de détails, consultez la page Contrat de niveau de service Azure.

Planification de la protection

La planification et la préparation d’une attaque DDoS sont essentielles pour comprendre la disponibilité et la réponse d’une application lors d’une attaque réelle. Les organisations doivent également établir un plan de réponse soigneusement contrôlé pour la gestion des incidents DDoS.

Pour vous aider dans cette planification, nous avons publié un guide complet Protection DDoS – Meilleures pratiques et architecture de référence , et encourageons tous les clients à appliquer ces pratiques lors de la conception d’applications à des fins de résilience suite à des attaques DDoS dans Azure.

Nous avons également travaillé en partenariat avec BreakingPoint Cloud pour proposer des outils permettant aux clients Azure de générer une charge de trafic dirigée contre des points de terminaison publics disposant de la protection DDoS afin de simuler des attaques. Une simulation BreakPoint Cloud vous offrira les possibilités suivantes :

• Valider la façon dont Microsoft Azure DDoS Protection protège vos ressources Azure contre les attaques DDoS
• Optimiser votre processus de réponse aux incidents en cas d’attaque DDoS
• Documenter la conformité DDoS
• Former des équipes de sécurité réseau

Prise en main

Pour en savoir plus sur le service, consultez la documentation Service Azure DDoS Protection.

Nous aimerions recevoir vos réactions, questions et commentaires via nos canaux habituels, à savoir les forums, StackOverFlow ou UserVoice.