Descripción de las capas DDoS
Los servicios OCI proporcionan detección y mitigación de ataques DDoS para las diferentes capas de DDoS. Antes de diseñar la solución DDoS, revise las capas DDoS y los servicios de prevención que proporciona OCI.
Protección de capa de transporte de red (3 y 4) (TCP, UDP, ICMP)
Hoy en día, todos los centros de datos de Oracle Cloud cuentan con detección y mitigación de ataques DDoS para ataques de capa 3 o 4 DDoS de alto volumen. Estos servicios de protección DDoS de Oracle Cloud ayudan a garantizar la disponibilidad de los recursos de red de Oracle incluso bajo ataques sostenidos de capa 3 o 4.
Protección de capa de aplicación (7) (HTTP/HTTPS)
Los ataques de capa 7 (HTTP/HTTPS) se dirigen a aplicaciones que explotan vulnerabilidades y configuraciones incorrectas. El tamaño y la sofisticación de estos ataques están creciendo exponencialmente. Por lo tanto, es fundamental proteger las aplicaciones frente a amenazas cibernéticas, incluidos bots maliciosos, scripts de sitios, inyección SQL y otras vulnerabilidades definidas por Open Web Application Security Project (OWASP).
Acerca de la protección de Oracle DDoS
Los servicios de protección DDoS en OCI se aplican al ataque basado en red (capas 3 y 4 del modelo OSI) o a lo que mucha gente piensa como un ataque basado en volumen. Oracle controla todo su espacio de direcciones, incluido Traiga su dirección IP (BYOIP) para todos los clientes de Oracle Cloud. Si ve ataques de alto volumen, tiene las herramientas y los procesos necesarios para mitigar y limpiar el tráfico malicioso. Oracle gestiona completamente esta protección para los clientes de OCI.
Los ataques basados en DNS son frecuentes ya que existen en la capa de transporte como parte del protocolo UDP y pueden atacar a través de muchas vías. Para ayudar a detectar y mitigar estos ataques, los servicios de DNS se pueden desplegar en OCI como una entidad propiedad del cliente detrás de un equilibrador de carga de red, por ejemplo, para admitir servicios de DNS públicos.
Dado que el DNS de OCI es una red anycast mundial de centros de datos ubicados estratégicamente en varios continentes, utiliza una combinación de proveedores de tráfico de Internet redundante para ofrecer la mejor protección y resiliencia contra los ataques DDoS.
Los tipos y mitigaciones de ataques DDoS se resumen en el siguiente diagrama.
Descripción de la ilustración ddos-attack-types-and-oci-mitigations.png
Comprender la función de los servicios de prevención DDoS de OCI
Los siguientes servicios son necesarios para la prevención de OCI DDoS:
- Firewalls de aplicaciones web (WAF): el firewall de aplicaciones web (WAF) de Oracle Cloud Infrastructure es un servicio basado en la región y se asocia a un punto de aplicación, como un equilibrador de carga o un nombre de dominio de aplicaciones web. WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.
Hay dos tipos de soluciones WAF de OCI: política de perímetro de WAF y política de firewall de WAF. La política de perímetro de WAF se utiliza para aplicar políticas en el perímetro, mientras que una política de firewall de WAF está asociada a los equilibradores de carga de aplicaciones (ALB). WAF Edge aplica políticas de WAF antes de introducir la VCN de una organización.
-
Equilibrador de carga de red (NLB): el servicio Oracle Cloud Infrastructure Flexible Network Load Balance (Network Load Balancer) proporciona una distribución automatizada de tráfico desde un punto de entrada a varios servidores backend de la red virtual en la nube (VCN). Funciona a nivel de conexión y equilibra la carga de conexiones de clientes entrantes a servidores backend en perfectas condiciones basados en los datos de capa 3 y capa 4 (protocolo IP). El servicio ofrece un equilibrador de carga con una dirección IP pública o privada regional que se puede escalar o reducir verticalmente de forma flexible en función del tráfico del cliente sin necesidad de tener que configurar el ancho de banda. En OCI, los NLB funcionan de una manera de hash asimétrica. Este enfoque de hash requeriría una designación única para NGFW desplegado con ellos mediante NAT de origen y destino. El hash simétrico eliminaría el requisito de NAT en NGFW detrás de NLB.
- Equilibrador de carga flexible (FLB): el servicio de equilibrio de carga de Oracle Cloud Infrastructure proporciona una distribución automatizada del tráfico desde un punto de entrada a varios servidores a los que se puede acceder desde la red virtual en la nube (VCN). El servicio ofrece un equilibrador de carga con una dirección IP pública o privada o su elección, así como ancho de banda aprovisionado.
- Firewalls de última generación (NGFW): un firewall de última generación es la última generación de tecnología de firewall, que aprovecha los servicios de firewall tradicionales junto con filtrado avanzado de capa 7, detección/prevención de amenazas (DDoS), inspección de paquetes profunda y funciones de detección/prevención de intrusiones.
- Certificado TLS/SSL: un certificado TLS/SSL es un certificado digital que autentica la identidad de un sitio web y activa una conexión cifrada.
Hay dos tipos principales de certificados: certificados estándar y certificados comodín. Un certificado SSL de dominio único estándar protege un nombre de dominio. A. El certificado SSL comodín protege su dominio y un número ilimitado de subdominios de primer nivel. En general, los certificados comodín se consideran menos seguros, ya que el compromiso del certificado provocará un mayor conjunto de recursos afectados, mientras que un certificado de dominio único estándar es más seguro porque si hay un compromiso, solo se verán afectados los recursos que utilizan el certificado.