Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Protección contra ataques DDoS en Azure

Protección contra ataques DDos en Azure

Los ataques DDoS (Distributed Denial of Service) son la evolución lógica de los ataques DoS (Denial of Service). Por ello, antes de hablar de DDoS prefiero recordar qué es un ataque DoS, que traducido al castellano se conoce como “Denegación de Servicios”.

Este tipo de ataques consiste en generar una cantidad masiva de peticiones al servidor, provocando así una sobrecarga del mismo y, por consiguiente, la caída del servicio. Los ataques DoS son muy fáciles de detener. Basta con identificar la dirección IP de la máquina que está realizando las peticiones masivas, y se bloquea su acceso.

Los ataques DDoS son una modalidad más sofisticada, que se traduce al castellano como “Denegación distribuida de servicios”. Por este motivo, los ataques DDoS son mucho más devastadores y más complejos de detener. Son varios los equipos que realizan estas llamadas masivas y constantes al servidor. Las llamadas coinciden en patrón, pero  pueden ser cientos o miles los ordenadores que participen, y a menudo, los equipos empleados para estos ataques DDoS son ordenadores personales infectados con un malware. ¿Te suena el término zombie utilizado en la computación? ¡Pues justo aquí es cuando entra en acción!

Si tenemos nuestros servicios en la nube, un ataque DDoS podría suponer un gran problema de rendimiento. Este problema se puede solucionar parcialmente si contamos con escalabilidad… pero lamentablemente esta no sería una solución total, y además supondría otro problema añadido: la elevación de costes imprevistos.

Por suerte, aunque todavía en fase preliminar, Microsoft acaba de lanzar un novedoso y avanzado sistema de protección que permite proteger los recursos de Azure frente a amenazas de ataques por denegación de servicio distribuido (DDoS) en las capas OSI 3-7, mediante supervisión y mitigación automática de ataques de red. Esta protección ofrece:

  • Supervisión y mitigación automática de ataques de red siempre activas
  • Ajuste adaptable basado en el conocimiento único de la plataforma de Azure
  • Protección en el nivel de aplicación con el firewall de aplicaciones web de Azure Application Gateway
  • Integración con Azure Monitor para realizar análisis y obtener conocimiento
  • Protección contra los costes imprevistos de un ataque DDoS

¿Cómo funciona este servicio de protección?

El amplísimo despliegue de datacenters de Azure por todo el mundo, permite a Microsoft  identificar los ataques DDoS casi en tiempo real, mediante el análisis heurístico del tráfico.

La protección aprovecha la escalabilidad y la elasticidad de la red global de Microsoft para incorporar capacidad de mitigación de ataques DDoS masivos en todas las regiones de Azure, y se consigue la protección porque Azure limpia el tráfico en el perímetro de la red antes de que afecte a la disponibilidad del servicio.

La implementación y configuración de este servicio es muy sencilla y completamente simplificada, ya que no es necesaria ninguna intervención por parte del usuario. La protección erradicará los ataques de forma instantánea y automática cuando se detecta. Esta respuesta inmediata permitirá salvar la estabilidad de nuestros servicios. Además, si nuestra infraestructura se ve obligada a escalar debido a un ataque DDoS, la contratación del servicio de protección asumirá los costes imprevistos que suponga.

La protección contra ataques DDoS se integra nativamente con Azure Monitor, de modo que expone métricas y telemetría de ataque, así como mecanismos de alerta flexible que nos avisaría si recibimos algún ataque.

¿Cuánto cuesta este servicio?

Por ahora la protección contra DDoS sólo está disponible en versión preview. Durante este tiempo, el servicio será completamente gratuito. En un futuro, el servicio de protección tendrá un coste fijo mensual además de una tarifa de procesamiento de datos.
Todos los clientes que decidan probar este servicio, Microsoft les enviará una información actualizada sobre los precios 30 días antes de que el servicio entre en fase de disponibilidad general y final.

En cuanto a fechas de cuándo entrará en fase de disponibilidad general (GA), todavía no hay información a respecto, pero pronto lo conoceremos en su roadmap.

mm

Sobre Dani Alonso

Daniel Alonso es un apasionado de todas las tecnologías y plataformas, experto en ciberseguridad y soluciones cloud. Cuenta con más de 17 años de experiencia en ciberseguridad y arquitectura IT y desde 2011 forma parte del equipo de MVPs de Microsoft. Actualmente es Cloud Solutions Principal Advisor en ENCAMINA, puesto desde el cual se encarga de seguir impulsando nuestro liderazgo en soluciones Cloud y Office 365.
Esta entrada ha sido publicada en Azure, seguridad y etiquetada como , , . Enlace permanente .
ENCAMINA, piensa en colores