Implementación del estándar de protección Azure DDoS para la resiliencia de las aplicaciones

Implementación del estándar de protección Azure DDoS para la resiliencia de las aplicaciones

14/09/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y configuración del estándar de protección DDoS de Azure para garantizar la resiliencia de las aplicaciones hospedadas en Azure. Los ataques de denegación de servicio distribuido (DDoS) son una de las mayores amenazas a la disponibilidad de los servicios en línea. Azure DDoS Protection Standard proporciona capacidades avanzadas de mitigación de ataques DDoS, protegiendo los recursos de Azure contra ataques volumétricos, de protocolo y de capa de aplicación, garantizando la continuidad del negocio y la experiencia del usuario [1].

Introducción

En el panorama digital actual, la disponibilidad de aplicaciones y servicios es tan crítica como su seguridad e integridad. Los ataques DDoS tienen como objetivo sobrecargar los recursos de un servicio, haciéndolo no disponible para usuarios legítimos. Estos ataques pueden provocar importantes pérdidas financieras, daños a la reputación y la interrupción de operaciones críticas. Azure DDoS Protection Standard es una solución nativa de Azure que brinda protección integral contra estos ataques, utilizando una red de mitigación global y algoritmos de detección basados ​​en aprendizaje automático para identificar y desviar el tráfico malicioso antes de que llegue a sus recursos [2].

Esta guía práctica cubrirá la creación de un plan de protección DDoS, la habilitación de la protección para redes virtuales y direcciones IP públicas, la integración con otros servicios de Azure como Azure Web Application Firewall (WAF) y Azure Firewall, y la validación de la protección mediante simulaciones de ataques. Se proporcionarán instrucciones paso a paso y ejemplos de comandos de la CLI de Azure para que el lector pueda implementar y probar una defensa sólida contra ataques DDoS, fortaleciendo la resiliencia de sus aplicaciones e infraestructura en la nube.

¿Por qué es crucial el estándar de protección Azure DDoS?

  • Mitigación integral: Protege contra ataques volumétricos (por ejemplo, inundaciones UDP, SYN), ataques de protocolo (por ejemplo, inundaciones SYN-ACK, fragmentación de IP) y ataques a la capa de aplicación (por ejemplo, inundaciones HTTP) [3].
  • Detección y adaptación automática: utiliza algoritmos de aprendizaje automático para detectar ataques en tiempo real y ajustar las políticas de mitigación sin intervención manual.
  • Escala global: aprovecha la escala global de la red de Azure para absorber y desviar grandes volúmenes de tráfico de ataques.
  • Telemetría detallada: proporciona telemetría enriquecida, registros de mitigación y métricas de ataques en Azure Monitor para análisis e investigación.
  • Integración nativa: se integra perfectamente con otros servicios de seguridad de Azure, como Azure Firewall y Azure WAF, para una defensa en profundidad.
  • Garantía de costos: proporciona protección de costos para recursos escalados durante un ataque DDoS, cubriendo créditos por recursos que se escalarían para absorber el ataque.

Requisitos previos

Para implementar Azure DDoS Protection Standard, necesitará los siguientes elementos:

  1. Suscripción activa de Azure: una suscripción de Azure para crear y administrar recursos.
  2. Acceso administrativo: una cuenta con el rol de "Propietario" o "Colaborador" en la suscripción de Azure, o en el grupo de recursos donde se encuentran las VNet y las IP públicas.
  3. Redes virtuales (VNet): las VNet que alojan los recursos que desea proteger (por ejemplo, máquinas virtuales, equilibradores de carga, puertas de enlace de aplicaciones).
  4. Direcciones IP públicas: recursos con direcciones IP públicas (por ejemplo, máquinas virtuales con IP pública, balanceadores de carga públicos, puertas de enlace de aplicaciones) que serán el objetivo potencial de ataques DDoS.
  5. Azure CLI o Azure PowerShell: herramientas de línea de comandos instaladas y configuradas para interactuar con Azure.

Paso a paso: Implementación del estándar de protección DDoS de Azure

Configuremos Azure DDoS Protection Standard para proteger sus recursos.

1. Crear un plan de protección DDoS

El primer paso es crear un plan de protección DDoS. Este plan es un recurso global que puede vincular a varias redes virtuales en diferentes regiones y suscripciones.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el campo de búsqueda superior, escriba "Planes de protección DDoS" y selecciónelo de los resultados.
  4. Haga clic en + Crear.
  5. Complete los detalles del plan:
    • Firma: SiSeleccione su suscripción de Azure.
    • Grupo de recursos: cree un nuevo grupo de recursos (por ejemplo, RG-DDoS-Protection) o seleccione uno existente.
    • Nombre: Dale un nombre a tu plan (ej: DDoS-Plan-Artigos).
    • Región: Seleccione la región donde desea que se administre el plan (no afecta la protección global).
  6. Haga clic en "Revisar + crear" y luego en "Crear".

2. Habilitar la protección DDoS para una red virtual

Después de crear el plan de protección DDoS, debe vincularlo a las redes virtuales que contienen los recursos que desea proteger.

  1. En Azure Portal, navegue hasta la VNet que desea proteger (por ejemplo, VNet-Hub creada en el artículo de Azure Firewall).
  2. En el panel de navegación izquierdo de VNet, seleccione Protección DDoS.
  3. En Plan de protección DDoS, seleccione el plan que creó (por ejemplo: DDoS-Plan-Artigos).

  4. Haga clic en "Guardar".

    • Comando de la CLI de Azure para habilitar la protección DDoS en una red virtual: ```golpecito # Obtener el ID del plan DDoS DDP_PLAN_ID=$(az network ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      Actualice la VNet para usar el plan DDoS

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ```

3. Proteger las direcciones IP públicas

Cuando una red virtual está habilitada para el estándar de protección DDoS, todos los recursos con direcciones IP públicas dentro de esa red virtual (por ejemplo, máquinas virtuales con IP pública, balanceadores de carga públicos, puertas de enlace de aplicaciones) se protegen automáticamente. No es necesario configurar la protección individualmente para cada IP pública.

  • Verificación: para confirmar que una IP pública está protegida, puede navegar hasta el recurso de IP pública en Azure Portal. En la sección "Descripción general", verá el "Plan de protección DDoS" asociado.

4. Integración con Azure Web Application Firewall (WAF) y Azure Firewall

Para una defensa en profundidad, se recomienda combinar Azure DDoS Protection Standard con otras soluciones de seguridad de red.

  • Azure Web Application Firewall (WAF): WAF protege las aplicaciones web contra ataques web comunes (por ejemplo, inyección SQL, secuencias de comandos entre sitios) que la protección DDoS no cubre. Implemente WAF frente a sus aplicaciones web (por ejemplo, con Azure Application Gateway o Azure Front Door). El estándar de protección DDoS protege la capa de red del WAF, mientras que el WAF protege la capa de aplicación [4].

  • Azure Firewall: Azure Firewall proporciona filtrado de tráfico de aplicaciones y redes, inteligencia sobre amenazas e IDPS. Cuando se utiliza junto con el estándar de protección DDoS, el firewall puede inspeccionar el tráfico legítimo después de la mitigación de DDoS, agregando otra capa de seguridad.

Validación y pruebas

Validar la eficacia del estándar de protección DDoS de Azure es crucial. Sin embargo, nunca realice un ataque DDoS real contra sus propios recursos sin el permiso explícito de Microsoft. Microsoft ofrece un programa de prueba de simulación DDoS para los clientes.

1. Comprobación de la telemetría de protección DDoS

Durante un ataque (o simulación), Azure DDoS Protection Standard proporciona métricas detalladas en Azure Monitor.

  1. En Azure Portal, navegue hasta su plan de protección DDoS (por ejemplo: DDoS-Plan-Artigos).
  2. En el panel de navegación izquierdo, seleccione Métricas.
  3. Puedes ver métricas como:
    • Tráfico de ataque DDoS (entrante): Tráfico de ataque entrante.
    • Paquetes de ataque DDoS (entrantes): Paquetes de ataque entrantes.
    • bytes de ataque DDoS (entrantes): Bytes de ataque entrantes.
    • Paquetes descartados por ataques DDoS (entrantes): Paquetes descartados por ataques DDoS.

2. Configuración de alertas para ataques DDoS

Es fundamental configurar alertas para recibir notificaciones cuando se esté produciendo un ataque DDoS.

  1. En Azure Portal, navegue hasta su plan de protección DDoS.
  2. En el panel de navegación izquierdo, seleccione Alertas.
  3. Haga clic en + Crear regla de alerta.
  4. Configure la condición de la alerta, utilizando métricas como "Bajo ataque DDoS o no" (el valor 1 indica ataque, 0 indica normal) o "Tráfico de ataque DDoS (entrante)".
  5. Configure las acciones de alerta (por ejemplo, enviar correo electrónico, SMS, webhook, activar una función de Azure o una aplicación lógica).

3. Realización de una simulación de ataque DDoS (con socios aprobados)

Microsoft colabora con un socioCapacidades de prueba de DDoS para permitir a los clientes simular ataques de forma controlada y segura contra sus recursos protegidos por Azure DDoS Protection Standard. Nunca intente simular un ataque DDoS por su cuenta sin la aprobación y coordinación de Microsoft y un socio aprobado.

  1. Comuníquese con un socio de pruebas de DDoS aprobado por Microsoft: Empresas como BreakingPoint (Keysight) o Radware ofrecen servicios de simulación de DDoS.
  2. Coordinar con Microsoft: informar a Microsoft de la prueba planificada para evitar que la mitigación automática de Azure interprete la prueba como un ataque real y tome acciones inesperadas.
  3. Supervisar durante las pruebas: durante la simulación, supervise las métricas de protección DDoS en Azure Monitor para observar la mitigación en acción y verificar la resiliencia de su aplicación.

Consejos de seguridad y mejores prácticas

  • Diseño de aplicación robusto: Azure DDoS Protection Standard es más eficaz cuando se combina con un diseño de aplicación sólido y resistente. Esto incluye arquitecturas escalables, equilibrio de carga, almacenamiento en caché y tolerancia a fallos.
  • Defensa en profundidad: No confíe únicamente en la protección DDoS. Combínelo con otras soluciones de seguridad como Azure Firewall, Azure WAF y NSG para crear una estrategia de defensa en profundidad.
  • Optimización de costos: el plan Estándar protege todos los recursos de IP públicos en redes virtuales vinculadas. Considere agrupar recursos en redes virtuales protegidas para optimizar los costos.
  • Monitoreo activo: configure alertas en Azure Monitor para ataques DDoS y supervise activamente la telemetría para comprender el comportamiento de los ataques y la eficacia de la mitigación.
  • Pruebas periódicas: realice periódicamente simulaciones de ataques DDoS con socios aprobados para validar la eficacia de su protección e identificar cualquier brecha.
  • Protección DNS: considere usar Azure DNS con protección DDoS integrada para proteger sus servidores DNS de ataques.
  • Protección de la capa de aplicaciones: para aplicaciones web, use Azure WAF para protegerse contra ataques de capa 7, que el estándar de protección DDoS no aborda directamente.
  • Limitación de velocidad: implemente limitaciones de velocidad en sus puertas de enlace de aplicaciones o servidores proxy inversos para mitigar los ataques a la capa de aplicaciones de bajo volumen.

Solución de problemas comunes

  • Protección DDoS no habilitada: Verifique que se haya creado el plan de protección DDoS y que la VNet esté vinculada a él. Confirme que los recursos que espera proteger tengan direcciones IP públicas.
  • Ataque DDoS no detectado: Verifique que el tráfico del ataque realmente se dirija a las IP públicas protegidas. Asegúrese de que las métricas de telemetría se recopilen en Azure Monitor. Puede haber un ligero retraso en la detección de ataques de bajo volumen.
  • La aplicación aún se ve afectada durante un ataque: esto puede indicar que el ataque no es puramente DDoS (por ejemplo, un ataque a la capa de aplicación que necesita WAF) o que la aplicación en sí no es lo suficientemente resistente. Revisar el diseño de la aplicación y la integración WAF.
  • Alertas DDoS no recibidas: verifique las reglas de alerta configuradas en Azure Monitor. Asegúrese de que las acciones de notificación estén configuradas correctamente y que los destinatarios estén recibiendo notificaciones.
  • Problemas de rendimiento después de la activación: DDoS Protection Standard es un servicio de red y generalmente no causa problemas de rendimiento. Si hay lentitud, investigue otros componentes de su arquitectura (por ejemplo, máquinas virtuales, equilibradores de carga, firewalls, WAF).

Conclusión

Azure DDoS Protection Standard es un servicio fundamental para cualquier organización que busque proteger sus aplicaciones y servicios contra la creciente amenaza de ataques DDoS. Al proporcionar una mitigación automática, escalable y completa, garantiza la disponibilidad y resiliencia de los recursos de Azure. La implementación efectiva del Estándar de protección DDoS, combinada con un diseño sólido de aplicaciones, defensa en profundidad con otras soluciones de seguridad y monitoreo continuo, permite a las organizaciones mantener la continuidad del negocio y proteger la experiencia del usuario. Con esta guía práctica, los profesionales de la seguridad estarán bien equipados para configurar, validar y administrar Azure DDoS Protection Standard, fortaleciendo la postura de seguridad y la resiliencia de sus aplicaciones en la nube.

Referencias:

[1] Microsoft aprende. * Descripción general profesionalProtección DDoS de Azure. Disponible en: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] Microsoft aprende. Tipos de ataques DDoS. Disponible en: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] Microsoft aprende. Comparación de capas de protección Azure DDoS. Disponible en: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] Microsoft aprende. Arquitecturas de referencia de protección DDoS*. Disponible en: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures