Na początku sierpnia Microsoft udostępnił raport o trendach ataków DDoS na Azure w pierwszej połowie 2021 roku. Ich liczba wzrosła o 25% w porównaniu do Q4 2020, choć maksymalna przepustowość spadła z 1 Tb/s do 625 Mbps. Jednak w ostatnim tygodniu sierpnia nastąpił największy atak tego typu. Microsoft chwali się, że Azure poradził sobie z nim bez problemu i jest przygotowany na znacznie większe ataki.
Wspomniany atak DDoS (Distributed Denial-of-Service) został wymierzony przeciwko klientowi Azure w Europie, a jego przepustowość wynosiła rekordowe 2,4 Tbps (terabita na sekundę). To o 140% więcej niż maksymalna przepustowość ataków z 2020 roku i więcej niż jakiekolwiek wolumetryczne zdarzenie wykryte do tej pory na platformie Azure.
Ruch ataków pochodził z około 70 000 źródeł z wielu krajów regionu Azji i Pacyfiku, takich jak Malezja, Wietnam, Tajwan, Japonia i Chiny, a także z USA. Zalewanie celu taką objętością ruchu ma oczywiście na celu udławienie przepustowości sieci. To jednak niewiele dla platformy ochrony przed DDoS dla Azure, która potrafi potężnie skalować się do nawet największych zagrożeń i absorbować nawet dziesiątki terabitów ataków DDoS.
Cykl życia łagodzenia ataków jest orkiestrowany przez naszą logikę płaszczyzny kontroli, która dynamicznie przydziela zasoby łagodzące do najbardziej optymalnych lokalizacji, znajdujących się najbliżej źródeł ataków. W tym przypadku ruch ataków, który pochodzi z regionu Azji i Pacyfiku oraz Stanów Zjednoczonych, nie dotarł do regionu klienta, ale został złagodzony w krajach źródłowych.
Azure zapewnia dodatkowe zabezpieczenia wykraczające poza możliwości łagodzenia skutków. Łagodzenie ataków DDoS w Azure wykorzystuje szybkie wykrywanie i łagodzenie dużych ataków poprzez ciągłe monitorowanie naszej infrastruktury w wielu punktach sieci. Gdy odchylenia od linii bazowych są bardzo duże, nasza logika płaszczyzny kontroli DDoS przecina normalne etapy wykrywania, potrzebne w przypadku zalania o mniejszej objętości, aby natychmiast załagodzić skutki. Zapewnia to najkrótszy czas do złagodzenia skutków i zapobiega dodatkowym uszkodzeniom spowodowanym tak dużymi atakami.
— Amir Dahan, Senior Program Manager w Azure Networking, Microsoft
Microsoft pomaga klientom Azure opracować strategię reagowania na ataki DDoS. Azure DDoS Protection Standard zapewnia rozszerzone funkcje zapobiegania atakom i jest automatycznie dostrojony, by chronić wszystkie publiczne adresy IP w sieciach wirtualnych. Jego składnikiem jest też ochrona kosztów, dzięki której klienci otrzymują kredyt na transfer danych i usługę skalowania aplikacji na pokrycie kosztów zasobów, poniesionych z powodu udokumentowanych ataków DDoS.
341f31d.png)