Cet article de blog a été rédigé par Dave Burkhardt, chef de produit principal, et co-écrit par Harikrishnan MB, responsable de programme, et Yun Zheng, responsable de programme senior.
Au cours des dernières années, la complexité et l’ampleur des attaques par déni de service distribué (DDoS) ont considérablement augmenté dans l’industrie.
Comme mentionné précédemment, les attaques basées sur TCP et UDP et les attaques basées sur DNS sont toujours les plus courantes, mais les attaques basées sur la couche 7/HTTP(S) battaient des records de trafic de l’industrie en 2022. Comme exemple récent, nous avons réussi à atténuer un attaque Plus de 60 milliards de requêtes malveillantes ont été dirigées vers un domaine client hébergé sur Azure Front Door (AFD).
Les attaques de couche 7 peuvent affecter n’importe quelle organisation, des entreprises de médias et de divertissement aux institutions financières. Initialement, les attaques concernaient du trafic non chiffré basé sur HTTP (comme Slowloris et HTTP Flood), mais l’industrie constate maintenant une augmentation des attaques basées sur HTTPS de botnets armés (comme Mēris et Mirai).
Technologies d’atténuation avec Azure Front Door
Heureusement, il existe des cadres, des services et des outils éprouvés que les organisations peuvent utiliser pour atténuer une éventuelle attaque DDoS. Voici quelques étapes préliminaires à considérer :
- Les réseaux de diffusion de contenu (CDN) tels que l’AFD sont conçus pour redistribuer le trafic HTTP(S) DDoS loin des systèmes d’origine en cas d’attaque. En tant que tel, l’utilisation de plus de 185 POP de périphérie AFD dans le monde qui tirent parti de notre WAN privé massif vous permettra non seulement de fournir vos applications et services Web plus rapidement à vos utilisateurs, mais vous bénéficierez également de systèmes AFD distribués pour atténuer Attaques DDoS de couche 7. De plus, la protection DDoS des couches 3, 4 et 7 est incluse avec AFD, et les services WAF sont inclus sans frais supplémentaires avec AFD Premium.
- Les capacités de mise en cache de la porte d’entrée peuvent être utilisées pour protéger les backends des volumes de trafic élevés générés par l’attaque. Les ressources mises en cache seront renvoyées par les nœuds périphériques de la porte d’entrée afin qu’elles ne soient pas transmises à vos actifs. Même des délais d’expiration du cache courts (en secondes ou en minutes) sur les réponses dynamiques peuvent réduire considérablement la charge sur vos systèmes d’origine. Vous pouvez également en savoir plus sur la façon dont la mise en cache AFD peut vous protéger contre les attaques DDoS.
- Tirez parti de l’intégration d’Azure Web Application Firewall (Azure WAF) avec Azure Front Door pour atténuer les activités malveillantes et empêcher les attaques DDoS et de robots. Voici les principaux domaines Azure WAF à explorer avant (idéalement) ou pendant une attaque DDoS :
- Activez Limit Rating pour bloquer le nombre de requêtes malveillantes pouvant être effectuées sur une certaine période.
- Utilisez l’ensemble de règles par défaut géré par Microsoft pour déployer facilement une protection contre un ensemble commun de menaces de sécurité. Étant donné que ces règles sont gérées par Microsoft et prises en charge par l’équipe Microsoft Threat Intel, les règles sont mises à jour au besoin pour se protéger contre les nouvelles signatures d’attaque.
- Activez l’ensemble de règles de protection contre les bots pour bloquer les bots malveillants connus responsables des attaques DDoS. Cet ensemble de règles comprend des adresses IP malveillantes obtenues à partir du Microsoft Threat Intelligence Feed et est fréquemment mis à jour pour refléter les dernières informations de la formidable organisation Microsoft Security and Research.
- Créez des règles WAF personnalisées pour bloquer automatiquement les termes spécifiques à votre organisation.
- Tirez parti de la détection des anomalies basée sur l’apprentissage automatique pour bloquer automatiquement les pics de trafic malveillants à l’aide d’Azure WAF intégré à Azure Front Door.
- Activez le géofiltrage pour bloquer le trafic provenant d’une zone géographique spécifique ou bloquez les adresses IP et les domaines que vous identifiez comme malveillants.
- Sélectionnez tous vos vecteurs d’attaque. Dans cet article, nous avons principalement parlé des aspects de la couche 7 DDoS et de la façon dont les capacités de mise en cache Azure WAF et AFD peuvent aider à prévenir ces attaques. La bonne nouvelle est que l’AFD protégera vos actifs contre les attaques de couche 3 et de couche 4 si ces actifs sont configurés pour ne recevoir que le trafic de l’AFD. Cette protection des couches 3 et 4 est incluse avec AFD et est un service géré fourni par Microsoft – ce qui signifie que ce service est activé par défaut et est constamment amélioré et mis à jour par l’équipe d’ingénierie Azure. Toutefois, si vous disposez de ressources Azure accessibles sur Internet qui n’utilisent pas AFD, nous vous recommandons vivement d’envisager de tirer parti du produit Microsoft Azure DDOS Protection. Cela permettra aux clients de bénéficier d’avantages supplémentaires, notamment la protection des coûts, la garantie du contrat de niveau de service (SLA) et l’accès aux experts de l’équipe d’intervention rapide DDoS pour une assistance immédiate lors d’une attaque.
- Améliorez vos actifs hébergés dans Azure en leur permettant simplement de se connecter à l’AFD via un lien privé. Lorsque vous utilisez le lien privé, le trafic entre Azure Front Door et vos serveurs d’applications est acheminé via une connexion réseau privée. En tant que tel, exposer vos actifs sur l’Internet public n’est plus nécessaire. Dans le cas où vous n’utilisez pas le lien privé, les actifs connectés via des adresses IP publiques peuvent faire l’objet d’attaques DDOS et notre recommandation est d’activer Azure DDOS Protection (Réseau ou IP SKU).
- Surveiller les modèles de trafic : une surveillance régulière des modèles de trafic peut aider à identifier les pics de trafic inhabituels, qui peuvent indiquer une attaque DDoS. À ce titre, configurez l’alerte suivante pour informer votre organisation des anomalies :
- Créez des playbooks pour documenter comment répondre à une attaque DDoS et à d’autres incidents de cybersécurité.
- Effectuez un exercice pour identifier les lacunes potentielles et affiner.