Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan procedimientos recomendados para crear servicios resistentes a DDoS en Azure. Use esta guía para proteger las aplicaciones con Azure DDoS Protection en las áreas de selección de capas, diseño de seguridad, escalabilidad, defensa multicapa, supervisión, pruebas y planeamiento de respuestas.
Elección del nivel de protección adecuado
Azure DDoS Protection ofrece dos niveles para satisfacer diferentes necesidades de protección:
- DDoS IP Protection: Protección por IP para un pequeño número de direcciones IP públicas. Ideal para implementaciones pequeñas que necesitan protección contra DDoS principal sin características avanzadas.
- Protección de red DDoS: protección mejorada para los recursos de red virtual con características adicionales, como compatibilidad con respuesta rápida de DDoS (DRR), garantías de protección de costos y descuentos del firewall de aplicaciones web (WAF).
Evalúe sus requisitos en función del número de recursos de ip pública, la necesidad de compatibilidad con respuesta rápida de DDoS y las necesidades de protección de costos. Para obtener una comparación detallada de las características, las limitaciones y los precios entre los dos niveles, consulte Acerca de la comparación de niveles de Azure DDoS Protection.
Diseño para la seguridad
Asegúrese de que la seguridad es una prioridad durante todo el ciclo de vida de una aplicación, desde el diseño y la implementación hasta la implementación y las operaciones. Las aplicaciones pueden tener errores que permiten que un volumen relativamente bajo de solicitudes use una cantidad excesiva de recursos, lo que da lugar a una interrupción del servicio.
Para proteger el servicio en Azure:
- Comprender la arquitectura de la aplicación: céntrese en los cinco pilares de la calidad del software. Conozca los volúmenes de tráfico típicos, el modelo de conectividad entre la aplicación y otras aplicaciones, y los puntos de conexión de servicio expuestos a la red pública de Internet.
- Planear la denegación de servicio: asegúrese de que una aplicación sea lo suficientemente resistente como para controlar una denegación de servicio dirigida a la capa de aplicación, como las inundaciones HTTP.
- Aplicar prácticas de desarrollo seguro: La seguridad y la privacidad están integradas en la plataforma de Azure, comenzando con el Ciclo de vida de desarrollo de seguridad (SDL). El SDL aborda la seguridad en cada fase de desarrollo y garantiza que Azure se actualice continuamente para que sea aún más seguro.
- Siga las líneas base de seguridad de Azure: Revise la línea de base de seguridad de Azure para la protección contra DDoS para alinear la configuración con el punto de referencia de seguridad en la nube de Microsoft.
Diseño para escalabilidad
La escalabilidad es la forma en que un sistema puede controlar una mayor carga. Diseñe las aplicaciones para escalar horizontalmente para satisfacer la demanda de una carga amplificada, específicamente en caso de un ataque DDoS. Si la aplicación depende de una sola instancia de un servicio, crea un único punto de error. El aprovisionamiento de varias instancias hace que el sistema sea más resistente y más escalable.
Tenga en cuenta las siguientes estrategias de escalabilidad:
- Azure App Service: seleccione un plan App Service que ofrezca varias instancias. Configurar reglas de escalado automático para escalar automáticamente en función de métricas como el uso de CPU o el recuento de solicitudes.
- Azure Virtual Machines: asegúrese de que la arquitectura de la máquina virtual incluya más de una máquina virtual y de que cada máquina virtual esté incluida en un conjunto availability. Use Virtual Machine Scale Sets para las funcionalidades de escalado automático.
- Almacenamiento en caché y distribución de carga: use Azure Front Door para equilibrio de carga global, descarga de SSL y almacenamiento en caché de contenido estático. El almacenamiento en caché reduce la carga en los recursos de back-end y minimiza el impacto de los picos de tráfico.
- Azure Load Balancer: distribuya el tráfico entre varias instancias para evitar que se sobrepase cualquier recurso único.
Para obtener arquitecturas de protección contra DDoS recomendadas para tipos comunes de cargas de trabajo, consulte Arquitecturas de referencia de DDoS Protection.
Implementación de defensa multicapa
Una estrategia de defensa en profundidad usa varias capas de seguridad para reducir el riesgo de un ataque exitoso. Use las funcionalidades integradas de la plataforma Azure para implementar diseños seguros para las aplicaciones.
Reducir la superficie expuesta a ataques
Reduzca la exposición minimizando el área expuesta accesible públicamente:
- Use Azure Private Link para acceder a Azure servicios PaaS a través de un punto de conexión privado de la red virtual, lo que elimina la exposición a la red pública de Internet.
- Use una lista de permitidos para restringir el espacio de direcciones IP expuesto y los puertos de escucha que no son necesarios en los equilibradores de carga (Azure Load Balancer y Azure Application Gateway).
- Utilice grupos de seguridad de red (NSGs) para restringir el tráfico.
- Use etiquetas de servicio y grupos de seguridad de aplicaciones para simplificar la creación de reglas de seguridad y configurar la seguridad de red como una extensión natural de la estructura de una aplicación.
- Implemente servicios Azure en una red virtual siempre que sea posible para que los recursos de servicio se comuniquen a través de direcciones IP privadas. Use puntos de conexión de servicio para cambiar el tráfico de servicio para que use direcciones privadas de red virtual como direcciones IP de origen.
Proteger la capa de red (L3/L4)
Azure DDoS Protection proporciona protección automática contra ataques volumétricos, de protocolos y de capas de recursos en la capa de red (L3/L4). Entre las funcionalidades clave se incluyen:
- Supervisión del tráfico siempre activa: DDoS Protection supervisa los patrones de tráfico de la aplicación para detectar anomalías. La protección se activa automáticamente cuando el tráfico supera los umbrales.
- Ajuste adaptable en tiempo real: DDoS Protection genera perfiles de tráfico de la aplicación a lo largo del tiempo y selecciona el perfil de mitigación más adecuado para su servicio.
- Integración de Azure Firewall: combine Azure Firewall con DDoS Protection en una red virtual para proporcionar filtrado adicional a nivel de red e inteligencia de amenazas. Para obtener instrucciones de arquitectura, consulte Azure Firewall y arquitecturas de referencia de DDoS Protection.
Protección del nivel de aplicación (L7)
Azure protección contra DDoS se centra en ataques de capa de red (L3/L4). Para ataques de capa de aplicación (L7), como inundaciones HTTP y slowloris, combine DDoS Protection con un firewall de aplicaciones web (WAF):
- Implemente Azure Web Application Firewall en Azure Front Door o Azure Application Gateway para protegerse frente a ataques L7.
- Use reglas personalizadas de WAF para limitar la velocidad para detectar y bloquear automáticamente el tráfico malintencionado.
- Habilite la protección de bots para bloquear bots malintencionados conocidos.
- Utilice el filtrado geográfico para restringir el tráfico de regiones en las que no prevé usuarios legítimos.
Para obtener instrucciones detalladas sobre las estrategias de defensa DDoS de capa de aplicación, consulte Protección contra DDoS de la aplicación.
Integración con Microsoft Sentinel
Use la solución DDoS Azure para Microsoft Sentinel para identificar orígenes DDoS infractores, correlacionar los datos de ataque con otros eventos de seguridad y evitar que los atacantes cambien a otros tipos de ataque, como la filtración de datos.
Protección de entornos híbridos
Si va a conectar un entorno local a Azure, minimice la exposición de los recursos locales a la red pública de Internet. Utiliza la capacidad de escalado y las funcionalidades avanzadas de protección contra DDoS de Azure al implementar tus entidades públicas conocidas en Azure. Dado que estas entidades accesibles públicamente suelen ser un destino para ataques DDoS, colocarlas en Azure reduce el impacto en los recursos locales.
Configuración de la supervisión y las alertas
Configure la supervisión y las alertas para detectar ataques DDoS rápidamente y comprender el estado de protección:
- Configurar alertas de métricas: cree alertas sobre métricas clave de DDoS Protection, como estar o no bajo ataque DDoS, paquetes de entrada descartados por DDoS y paquetes SYN de entrada, para activar la mitigación de DDoS. Las alertas le notifican inmediatamente cuando se detecta un ataque. Para obtener instrucciones paso a paso, consulte Configurar alertas de métricas de protección DDoS de Azure.
- Visualización de alertas en Microsoft Defender for Cloud: Protección contra DDoS envía automáticamente alertas de mitigación a Microsoft Defender for Cloud cuando se detecta un ataque. Use Defender for Cloud para obtener una vista unificada de las alertas de DDoS junto con otras alertas de seguridad. Para obtener más información, consulte Ver alertas de DDoS Protection de Azure en Microsoft Defender for Cloud.
- Habilitar el registro de diagnóstico: habilite los registros de diagnóstico para capturar informes de mitigación de DDoS, registros de flujo y notificaciones. Use estos registros para el análisis posterior al ataque y la auditoría de cumplimiento.
- Revise la telemetría de DDoS Protection: use las métricas y los registros de diagnóstico para comprender los patrones de tráfico durante los ataques y evaluar la eficacia de la mitigación. Para obtener instrucciones detalladas sobre la supervisión, consulte Monitor Azure DDoS Protection.
- Monitor rendimiento de la aplicación: use Azure Application Insights para supervisar la aplicación web y detectar anomalías en el rendimiento. Comprender el comportamiento normal de la aplicación le ayuda a identificar la degradación durante un ataque DDoS. Para obtener instrucciones detalladas, consulte Estrategia de respuesta de DDoS.
Prueba y validación de la protección
Pruebe periódicamente la protección contra DDoS para validar que las aplicaciones y las alertas funcionan según lo previsto durante un ataque:
- Ejecutar pruebas de simulación: use asociados de pruebas aprobados por Microsoft para simular ataques DDoS contra los puntos de conexión de Azure. Las simulaciones ayudan a validar la configuración de protección, la configuración de alertas y los procedimientos de respuesta.
- Revisar los resultados de las pruebas: después de la simulación, revise las métricas de DDoS Protection y los registros de diagnóstico para confirmar que las directivas de mitigación se desencadenaron correctamente.
Para probar asociados, requisitos previos e instrucciones paso a paso, consulte Prueba a través de simulaciones.
Planear la estrategia de respuesta de DDoS
Establezca un plan de respuesta claro antes de que se produzca un ataque para garantizar una respuesta rápida y eficaz:
- Crear un equipo de respuesta de DDoS: asigne miembros del equipo responsables de coordinar la respuesta a un ataque. Incluya miembros de los equipos de redes, aplicaciones y operaciones.
- Participación en la respuesta rápida de DDoS (DRR): con la protección de red DDoS, puede interactuar con el equipo de respuesta rápida de DDoS durante un ataque activo para la investigación y el análisis posterior al ataque.
- Documentar y ensayar: cree runbooks, defina rutas de escalación y ensaye la respuesta a los ataques DDoS. Revise y actualice periódicamente el plan de respuesta.
Para obtener instrucciones detalladas sobre cómo crear la estrategia de respuesta, consulte Estrategia de respuesta de DDoS.
Pasos siguientes
- Acerca de la comparación de niveles de Azure DDoS Protection
- Arquitecturas de referencia de DDoS Protection
- Monitor Azure DDoS Protection
- Configurar alertas de métricas de DDoS Protection de Azure
- Prueba a través de simulaciones
- Estrategia de respuesta de DDoS
- Protección contra DDoS de la aplicación
- Optimización de costos de DDoS Protection