Ataques DDoS en Azure. ¿Estás preparado?

En otras ocasiones ya os hemos hablado de los ataques distribuidos o de tipo DDoS. Por mucha seguridad informática que implementes en tu empresa, si te saturan y hacen que tu aplicación no sea accesible, el atacante consigue atarte completamente de manos sin que puedas ofrecer servicio mientras dure dicho ataque, y por supuesto, dañar gravemente con ello tu imagen.

Si el atacante escoge un momento muy concreto y muy visible (ataques en plena juntas de accionistas, promociones/Black Fridays, anuncios corporativos, presentación de nueva imagen,…), aunque sea por unos pocos minutos, alguien va a pedir alguna cabeza en bandeja de plata y las candidatas siempre son las del CSO, CTO o CIO…

Medidas anti-DDOS clouds privados

En ICM ya hace años que tenemos implementadas medidas anti-DDoS, desde las que aplicamos en nuestros carriers con soluciones de tipo Arbor DDoS  donde se paran ataques en el propio CPD de peering de origen haciéndolos pasar por una red de “limpieza” hasta las que aplicamos a nivel de proyecto cómo por ejemplo funcionalidades de “rate limiting” de nuestro servicio WAF.

Por que al final, muchas veces cuando hablamos de DDoS pensamos en ataques de varios GB’s o TB’s de forma coordinada, pero la realidad de nuestro día a día, es que muchos proyectos de publicación, con pocas decenas o centenares de peticiones a una URL concreta (tristemente muchas veces, la propia página inicial del site), se deshacen como azucarillos en agua.

Cómo ya os he comentado, en nuestras Clouds tenemos herramientas para evitar dichos ataques, pero…

Medidas anti-DDOS en Azure

¿Qué pasa en las clouds públicas?

Más concretamente en nuestra querida Azure:

Si tengo en ella mi Web App o mis servers. ¿Qué medidas anti DDoS toma Microsoft?

Siempre es mejor una imagen (o una tabla) que mil palabras:

Permitirme que os haga un resumen muy rápido.

Microsoft en Azure ofrece DDoS de forma gratuita, es su llamado DDoS Protection Basic, pero lo hace para toda la región de forma genérica, no tienes avisos, informes ni nada de nada. De cara a soporte tienes un “Best Effort”, pero claro, si pagas cero tampoco puedes exigir mucho. Vamos, que Azure hace DDoS, pero no tienes ni idea de qué medidas toman, ni cómo te afectan en concreto ni nada.

Eh, repito, cero euros, que está genial si eres de los que consideras que en la ignorancia está la felicidad o no tienes que cumplir alguna ISO de seguridad o políticas internas que te exijan algo más de detalle y auditoría.

Si quieres un DDoS con un mínimo de control, personalización e informes deberás de contratar DDoS Protection Standard, su precio no es para todos los bolsillos, puedes consultarlo aquí, pero la ventaja es que te cubre hasta 100 dispositivos y es un servicio realmente bueno y con muchas opciones de personalización, informes e integraciones con terceros o APIs.

Una de las funcionalidades, de las que entran por méritos propios en categoría de “flipaniños”, es la de poder realizar simulaciones de varios tipos de DDoS por un tercero externo y así ver que tal responden tus sistemas y protocolos establecidos. Hasta ahora este tercero solo podía ser la gente de “BreakingCloud”, pero hace muy pocos días también se han añadido a los señores de “Red Button”. Ambos integrados en el propio Portal de Azure.

Recordar que las simulaciones de DDoS solo se pueden hacer con las IPs que tenéis asignadas vosotros mismos (que ya os estaba viendo venir y poner la IP de la competencia vuestra XD) y que es necesario tener contratado el plan Standard de DDoS Protection de Azure.

Puedes obtener más información en:

https://azure.microsoft.com/es-es/blog/microsoft-announces-new-collaboration-with-red-button-for-attack-simulation-testing/

Y ya para finalizar, si eres una empresa con un budget mucho más acotado, el DDoS Basic se te queda corto y el DDoS Standard se te va de presupuesto, podemos implementar una solución intermedia que encaje por coste en el proyecto y desplegar un appliance de seguridad como FortiWEB que te sirva para añadir ése extra de protección DDoS y también añadir otras funcionalidades de seguridad WAF para reforzar la seguirdad de tu aplicación en todos los niveles.

Como siempre, mil gracias por haber llegado hasta aquí y nos vemos en el próximo post.