1. Saiba como implantar a prevenção de camadas 3 e 4 DDoS no Oracle Cloud Infrastructure
  2. Entender as Camadas DDoS

Entender as Camadas DDoS

Os serviços do OCI fornecem detecção e mitigação de ataque do DDoS para as diferentes camadas DDoS. Antes de projetar sua solução DDoS, analise as camadas DDoS e os serviços de prevenção que a OCI fornece.

Camada de Transporte de Rede (3 e 4) Proteção (TCP, UDP, ICMP)

Hoje, todos os data centers do Oracle Cloud têm detecção e mitigação de ataques DDoS para ataques de camada 3 ou 4 DDoS de alto volume. Esses serviços de proteção DDoS do Oracle Cloud ajudam a garantir a disponibilidade dos recursos de rede da Oracle mesmo sob ataques sustentados de camada 3 ou 4.

Camada de Aplicativos (7) Proteção (HTTP/HTTPS)

Os ataques da camada 7 (HTTP/HTTPS) destinam-se a aplicativos que exploram vulnerabilidades e configurações incorretas. O tamanho e a sofisticação desses ataques estão crescendo exponencialmente. Portanto, é vital proteger os aplicativos contra ameaças cibernéticas, incluindo bots maliciosos, scripts entre sites, injeção de SQL e outras vulnerabilidades definidas pelo Open Web Application Security Project (OWASP).

Sobre a Proteção do Oracle DDoS

Os serviços de proteção DDoS na OCI se aplicam ao ataque baseado em rede (camadas 3 e 4 do Modelo OSI) ou ao que muitas pessoas pensam como um ataque baseado em volume. A Oracle monitora todo o seu espaço de endereço, incluindo BYOIP (Bring Your IP Address, Traga seu endereço IP) para todos os clientes do Oracle Cloud. Se ele vir ataques baseados em alto volume, ele terá as ferramentas e os processos para mitigar e esfregar o tráfego malicioso. A Oracle está gerenciando totalmente essa proteção para clientes da OCI.

Ataques baseados em DNS são prevalentes, pois existem na camada de transporte como parte do protocolo UDP e podem atacar por muitas vias. Para ajudar a detectar e mitigar esses ataques, os Serviços de DNS podem ser implantados no OCI como uma entidade de propriedade do cliente por trás de um balanceador de carga de rede, por exemplo, para suportar serviços de DNS públicos.

Como o OCI DNS é uma rede anycast global de vários data centers estrategicamente localizados em vários continentes, ele usa uma combinação de provedores de trânsito da internet redundante para máxima resiliência e proteção contra ataques DDoS.

Os tipos de ataque e mitigações DDoS são resumidos no diagrama abaixo.


Veja a seguir a descrição da ilustração ddos-attack-types-and-oci-mitigations.png
Descrição da ilustração ddos-attack-types-and-oci-mitigations.png

Compreender a Função dos Serviços de Prevenção DDoS do OCI

Os seguintes serviços são necessários para a prevenção do OCI DDoS:

  • WAF (Web Application Firewalls) - O Oracle Cloud Infrastructure Web Application Firewall (WAF) é um serviço de imposição de borda e baseado em região conectado a um ponto de aplicação, como um balanceador de carga ou um nome de domínio de aplicativo web. O WAF protege aplicativos contra tráfego mal-icioso e indesejado na internet. O WAF pode proteger qualquer ponto final voltado para a Internet, fornecendo aplicação de regras consistente entre os aplicativos de um cliente.

    Há dois tipos de soluções OCI WAF: Política de Borda de WAF e Política de Firewall de WAF. A Política de Borda do WAF é usada para impor políticas na borda, enquanto uma Política de Firewall do serviço WAF está associada aos Balanceadores de Carga do Aplicativo (ALBs). A Borda do WAF impõe políticas de WAF antes de inserir a VCN de uma organização.

  • Network Load Balancer (NLB) - O serviço Oracle Cloud Infrastructure Flexível de Balanceamento de Carga de Rede (Network Load Balancer) fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores de backend na sua VCN (rede virtual na nuvem). Ele opera no nível de conexão e balanceia de carga de conexões do cliente de entrada para servidores de backend saudáveis, com base nos dados da camada 3 e da camada 4 (protocolo IP). O serviço oferece um balanceador de carga com sua escolha de endereço IP público ou privado regional que é dimensionável de forma elástica e pode ser expandido ou reduzido de acordo com o tráfego do cliente, sem necessidade de configuração de largura de banda. Na OCI, os NLBs funcionam de maneira assimétrica. Essa abordagem de hash exigiria uma designação exclusiva para NGFW implantada com eles usando NAT de origem e destino. Hash simétrico removeria o requisito de NAT em NGFW por trás de NLBs.

  • Balanceador de Carga Flexível (FLB) - O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores acessíveis pela sua VCN (rede virtual na nuvem). O serviço oferece um balanceador de carga com a sua escolha de endereço IP público ou privado e largura de banda provisionada.
  • NGFW (Next Generation Firewalls) - Um firewall de última geração é a última geração da tecnologia de firewall, aproveitando serviços de firewall tradicionais combinados com filtragem de camada 7 avançada, detecção/prevenção de ameaças (DDoS), inspeção profunda de pacotes e recursos de detecção/prevenção de intrusão.
  • Certificado TLS/SSL - Um certificado TLS/SSL é um certificado digital que autentica a identidade de um site e ativa uma conexão criptografada.

    Há dois tipos principais de certificados: certificados padrão e certificados curinga. Um certificado SSL de domínio único padrão protege um nome de domínio. A. certificado SSL curinga protege seu domínio e um número ilimitado de subdomínios de primeiro nível. Em geral, os certificados curinga são considerados menos seguros, pois o comprometimento do certificado levará a um conjunto maior de recursos afetados, enquanto um certificado de domínio único padrão é mais seguro porque, se houver um comprometimento, apenas os recursos que usam o certificado serão afetados.