Estrategia de defensa contra denegación de servicio de Microsoft

  • Artículo

Estrategia de defensa de denegación de servicio

La estrategia de Microsoft para defenderse frente a ataques de denegación de servicio distribuido (DDoS) basados en red es única debido a una gran superficie global, lo que permite a Microsoft usar estrategias y técnicas que no están disponibles para la mayoría de las demás organizaciones. Además, Microsoft contribuye y se basa en el conocimiento colectivo agregado por una amplia red de inteligencia sobre amenazas, que incluye asociados de Microsoft y la comunidad de seguridad de Internet más amplia. Esta inteligencia, junto con la información recopilada de servicios en línea y la base de clientes global de Microsoft, mejora continuamente el sistema de defensa DDoS de Microsoft que protege todos los recursos de Microsoft servicios en línea.

La piedra angular de la estrategia DDoS de Microsoft es la presencia global. Microsoft se involucra con proveedores de Internet, proveedores de emparejamiento (públicos y privados) y empresas privadas de todo el mundo. Esta interacción proporciona a Microsoft una presencia significativa en Internet y permite a Microsoft absorber ataques en una gran superficie

A medida que la capacidad perimetral de Microsoft ha crecido con el tiempo, la importancia de los ataques contra bordes individuales ha disminuido considerablemente. Debido a esta disminución, Microsoft ha separado los componentes de detección y mitigación de su sistema de prevención de DDoS. Microsoft implementa sistemas de detección de varios niveles en centros de datos regionales para detectar ataques más cercanos a sus puntos de saturación mientras mantiene la mitigación global en los nodos perimetrales. Esta estrategia garantiza que los servicios de Microsoft puedan controlar varios ataques simultáneos.

Una de las defensas más eficaces y de bajo costo empleadas por Microsoft contra ataques DDoS es la reducción de las superficies de ataque de servicio. El tráfico no deseado se quita en el perímetro de la red en lugar de analizar, procesar y limpiar los datos insertados.

En la interfaz con la red pública, Microsoft usa dispositivos de seguridad de uso especial para el firewall, la traducción de direcciones de red y las funciones de filtrado de IP. Microsoft también usa el enrutamiento global de varias rutas de acceso (ECMP) de igual costo. El enrutamiento ECMP global es un marco de red para asegurarse de que hay varias rutas de acceso globales para llegar a un servicio. Con varias rutas de acceso a cada servicio, los ataques DDoS se limitan a la región desde la que se origina el ataque. El ataque no debería afectar a otras regiones, ya que los usuarios finales usarían otras rutas de acceso para llegar al servicio en esas regiones. Microsoft también ha desarrollado sistemas internos de correlación y detección de DDoS que usan datos de flujo, métricas de rendimiento y otra información para detectar rápidamente ataques DDoS.

Para proteger aún más los servicios en la nube, Microsoft usa Azure DDoS Protection, un sistema de defensa DDoS integrado en los procesos de supervisión continua y pruebas de penetración de Microsoft Azure. Azure DDoS Protection está diseñado no solo para soportar ataques externos, sino también ataques de otros inquilinos de Azure. Azure usa técnicas estándar de detección y mitigación, como cookies SYN, limitación de velocidad y límites de conexión para protegerse frente a ataques DDoS. Para admitir protecciones automatizadas, un equipo de respuesta a incidentes DDoS entre cargas de trabajo identifica los roles y las responsabilidades entre los equipos, los criterios para escalaciones y los protocolos para el control de incidentes entre los equipos afectados.

La mayoría de los ataques DDoS lanzados contra destinos se encuentran en las capas De red (L3) y Transporte (L4) del modelo de interconexión de sistemas abiertos (OSI). Los ataques dirigidos a las capas L3 y L4 están diseñados para inundar una interfaz de red o un servicio con tráfico de ataque para sobrecargar los recursos y denegar la capacidad de responder al tráfico legítimo. Para protegerse frente a ataques L3 y L4, las soluciones DDoS de Microsoft usan datos de muestreo de tráfico de enrutadores de centros de datos para proteger la infraestructura y los objetivos de los clientes. Un servicio de supervisión de red analiza los datos de muestreo de tráfico para detectar ataques. Cuando se detecta un ataque, se inician mecanismos de defensa automatizados para mitigar el ataque y asegurarse de que el tráfico de ataque dirigido a un cliente no da lugar a daños colaterales o a una menor calidad de servicio de la red para otros clientes.

Microsoft también adopta un enfoque ofensivo para la defensa de DDoS. Las botnets son una fuente común de comando y control para realizar ataques DDoS con el fin de amplificar los ataques y mantener el anonimato. La Unidad de delitos digitales (DCU) de Microsoft se centra en identificar, investigar e interrumpir la infraestructura de distribución y comunicaciones de malware para reducir la escala y el impacto de las redes de bots.

Defensas de nivel de aplicación

Los servicios en la nube de Microsoft se crean intencionadamente para admitir cargas altas, lo que ayuda a protegerse frente a ataques DDoS de nivel de aplicación. La arquitectura escalada de Microsoft distribuye servicios entre varios centros de datos globales con aislamiento regional y características de limitación específicas de la carga de trabajo para cargas de trabajo pertinentes.

El país o región de cada cliente, que el administrador del cliente identifica durante la configuración inicial de los servicios, determina la ubicación de almacenamiento principal de los datos de ese cliente. Los datos del cliente se replican entre centros de datos redundantes según una estrategia principal o de copia de seguridad. Un centro de datos principal hospeda el software de la aplicación junto con todos los datos del cliente principal que se ejecutan en el software. Un centro de datos de copia de seguridad proporciona conmutación por error automática. Si el centro de datos principal deja de funcionar por cualquier motivo, las solicitudes se redirigen a la copia de los datos del software y del cliente en el centro de datos de copia de seguridad. En un momento dado, los datos del cliente se pueden procesar en el centro de datos principal o en el centro de datos de copia de seguridad. La distribución de datos entre varios centros de datos reduce el área expuesta afectada en caso de que se ataque un centro de datos. Además, los servicios del centro de datos afectado se pueden redirigir rápidamente al centro de datos secundario para mantener la disponibilidad durante un ataque y redirigirlos al centro de datos principal una vez que se haya mitigado un ataque.

Como otra mitigación contra ataques DDoS, las cargas de trabajo individuales incluyen características integradas que administran el uso de recursos. Por ejemplo, los mecanismos de limitación de Exchange Online y SharePoint Online forman parte de un enfoque multicapa para defenderse frente a ataques DDoS.

Azure SQL Database tiene una capa adicional de seguridad en forma de un servicio de puerta de enlace llamado DoSGuard que realiza un seguimiento de los intentos de inicio de sesión erróneos en función de la dirección IP. Si se alcanza el umbral para los intentos de inicio de sesión erróneos desde la misma dirección IP, DoSGuard bloquea la dirección durante un período de tiempo predeterminado.

Recursos