Protección DDoS como servicio en Microsoft Azure

in DDoS Protection Plan on by Gisela Torres

Otro de los servicios relacionado con la seguridad de tu negocio en la nube es Azure DDoS protection. Se trata de un plan, todavía en preview, que te permite proteger tu negocio en el cloud de los ataques de tipo denegación de servicio distribuido.

Azure DDoS protection

Es importante saber que la plataforma tiene por defecto un sistema de protección DDoS que es totalmente transparente para ti llamado Basic. Se encarga de monitorizar y mitigar los ataques más comunes. Este modo no tiene ningún cargo adicion

Por otro lado, ahora existe el modo Standard, el cual proporciona capacidades adicionales para la mitigación de este tipo de ataques sobre las redes virtuales que tu elijas. Los ataques que mitiga el servicio Standard son los siguientes:

  • Ataques por volumetría: aquellos que tienen como cometido saturar la red con una gran cantidad de tráfico que puede parecer legítimo (UDP floods, amplification floods, etcétera).
  • Ataques a protocolos: estos ataques dejan a un objetivo inaccesible explotando vulnerabilidades de la capa 3 y 4 (SYN flood, reflection, etcétera).

Respecto a los ataques a nivel de aplicación (SQL Injection, Cross-site scripting, etcétera), se recomienda el uso del WAF de Application Gateway.

Con un Azure DDoS protection plan es suficiente para toda tu organización, siempre y cuando todas las suscripciones estén bajo el mismo tenant de Azure Active Directory.

Dar de alta el plan de protección DDoS

Para darlo de alta basta con hacer clic en el botón del menú izquierdo (Create a resource) y buscar DDoS protection plan. Una vez seleccionado el servicio, es necesario indicar los siguientes parámetros:

Create Azure DDoS Protection Plan

Name: Nombre identificativo interno que quieres darle al servicio.
Subscription: Elige la suscripción en la que quieres alojarlo. Esto no significa que sólo puedas utilizar el plan en dicha suscripción.
Resource group: todo recurso debe estar alojado en un resource group. Elige o crea uno dentro de la suscripción seleccionada.
Location: Al igual que los resource groups, todo servicio debe estar alojado en una región. Elige aquella donde estén tus aplicaciones.

Una vez creado verás que tienes un nuevo servicio con un apartado llamado Protected virtual networks, donde aparecerán aquellas redes virtuales que tengan activado este plan.

¿Cómo se habilita? Sólo tienes que ir a la red virtual que quieres proteger y acceder a la sección DDoS Protection. En ella estará seleccionado por defecto el plan Basic, que es el que te conté que viene por defecto en la plataforma Microsoft Azure. Selecciona la opción Standard y haz clic en el plan que acabas de crear.

Azure virtual network – DDoS protection

En el caso de que quieras habilitarlo en otra suscripción diferente a donde has creado el plan puedes copiar el Id del recurso y utilizarlo en la suscripción de destino, seleccionando el check I know my resource ID. El ID de tu plan puedes localizarlo a través del comando Get-AzureRmDdosProtectionPlan de PowerShell:

Get-AzureRmDdosProtectionPlan – ID

Ambas suscripciones deben estar bajo el mismo tenant de Azure Active Directory.

A partir de este momento, sin ninguna configuración más por tu parte, las redes que aparezcan en el Azure DDoS Protection plan estarán protegidas:

myDDoSProtectionPlan with 2 protected virtual networks

Todo recurso que tenga una IP pública dentro de la red virtual (máquinas virtuales, balanceadores y application gateways) será protegida por el plan.

¿Cómo compruebo que funciona?

Microsoft tiene un acuerdo con la empresa BreakingPoint Cloud que te permite, a través de una interfaz muy sencilla, lanzar ataques contra una IP pública de tu suscripción con el fin de poder hacer simulaciones.

BreakingPoint Cloud – Microsoft Azure DDoS Protection Validation

La forma de trabajar con este servicio es súper sencilla: escoge una de las IPs públicas de alguna de las virtual networks que has protegido con el plan, el puerto, el tipo de ataque y cómo de distribuido quieres que sea el mismo y lanza el test:

BreakingPoint Cloud – UDP Flood attack – simulation

Antes de lanzar ningún ataque necesitas validar que el objetivo al que quieres atacar pertenece a una de tus suscripciones de Azure.

Tienes una versión trial del servicio con 100 GB gratuitos, para que puedas jugar con él y obtener tus métricas.

Métricas

El último punto, y uno de los más importantes, son las métricas que puedo obtener gracias a este servicio. En el apartado Metrics (preview) puedes obtener información relacionada con los paquetes recibidos, rechazados, si se considera que se está bajo un ataque o no, etcétera. Para ello necesitas seleccionar las IPs públicas de los servicios que están asociados a el plan:

myDDoSProtectionPlan – Metrics

En la imagen anterior, se puede apreciar que ha habido un momento en el que se ha considerado que la IP del servicio ha estado bajo un ataque de DDoS (el valor de Under DDoS attack or not es 1 si es que sí y 0 si es que no).

Por supuesto, se pueden configurar alertas en base a estas métricas, para ser avisados de que algo anómalo está pasando.

¡Saludos!