Boas práticas para evitar ataques DDoS

Um ataque DDoS, consiste em um computador mestre denominado master possuindo sob seu comando até milhares de computadores zumbis, que se atacam um determinado recurso num determinado servidor numa mesma hora de uma mesma data. Como servidores web possuem um número limitado de utilizadores que pode atender simultaneamente (slots), o grande e repentino número de requisições de acesso esgota esse número, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.

Pensando nisso o Google disponibilizou documento de boas práticas sobre como prevenir esse tipo de ataque em sua plataforma nuvem. Alguns procedimentos são:

• Proteção com descarga CDN 
• O Google Cloud CDN atua como um proxy entre seus clientes e sua origem servidores. Para o conteúdo armazenado em cache, Cloud NNC armazena em cache e presta serviços de manutenção a este conteúdo de pontos de presença (POPs) mais próximo de seus usuários em oposição para enviá-los para servidores backend (instâncias). No caso de DDoS ataque para conteúdo em cache, os pedidos são enviados para POPs em todo o globo em oposição aos seus servidores de origem, proporcionando assim um conjunto maior de locais para absorver o ataque.
• Se você usa a conexão de CDN, você pode aproveitar os DDoS adicionais Proteção fornecida pelos nossos parceiros de interconexão CDN. Você pode verificar o página de parceiros para detalhes sobre seus recursos de proteção DDoS.
• Implementar soluções de proteção DDoS de terceiros 
• Para atender às suas necessidades específicas de proteção para ataque DDoS prevenção / mitigação, considere a compra de DDoS de terceiros especializados soluções de proteção para proteger contra tais ataques .
• Você também pode implantar soluções DDoS disponíveis no Google Cloud Launcher.
• Implementação do App Engine 
• O App Engine foi projetado para ser um sistema totalmente multi-inquilino e implementa um número de salvaguardas destinadas a garantir que uma única aplicação incorreta não impacta o desempenho ou a disponibilidade de outros aplicativos no plataforma. 
• O App Engine fica atrás do Google Front End que atenua e absorve muitos ataques de camada 4 e abaixo, como inundações SYN, inundações de fragmentos de IP, exaustão do porto, etc. 
•  Isolar o tráfego interno do mundo externo
•  Implemente instâncias sem IPs públicas, a menos que seja necessário.
• Você pode configurar um gateway NAT ou bastião SSH para limitar o número de instâncias que estão expostas à internet.
• Quando disponível, implemente o Balanceamento Interno de Carga para o seu cliente interno instâncias que acessam serviços implantados internamente evitando assim exposição ao mundo externo.
•  Proteção DDoS, ativando o balanceamento de carga baseado em proxy
• Quando você habilita o Balanceamento de Carga HTTP (S) ou o Balanceamento de Carga do proxy SSL, A infra-estrutura do Google mitiga e absorve muitos Layer 4 e abaixo ataques, como inundações SYN, inundações de fragmentos de IP, exaustão de porto, etc.
• Se você tiver balanceamento de carga HTTP (S) com instâncias em várias regiões, você é capaz de dispersar seu ataque em várias ocasiões em todo o mundo

Para ver mais práticas recomendáveis, acesse o documento disponibilizado neste link.

Referências:

GOOGLE. Best Practices for DDoS Protection and Mitigation on Google Cloud Platform. Disponível em: https://cloud.google.com/files/GCPDDoSprotection-04122016.pdf?hl=pt-br