2024 年 7 月 30 日,由于分布式拒绝服务 (DDoS) 攻击,Microsoft 的云服务遭受了重大中断。此事件从 UTC 时间 11:45 持续到 UTC 时间 19:43,影响了一系列服务,包括 Azure 应用服务、Application Insights 和 Azure 门户等,导致全球客户出现广泛的连接问题。
攻击和立即响应
Microsoft证实,最初的触发因素是DDoS攻击,其中对手以过多的流量淹没服务,使其陷入停滞。该攻击主要针对 Azure Front Door (AFD) 和 Azure 内容分发网络 (CDN) 组件。尽管已经建立了 DDoS 保护机制,但其实施过程中的错误放大了攻击的影响,而不是减轻了它的影响。
在 UTC 时间 11:45 发现问题后,Microsoft 的团队迅速实施了网络配置更改和故障转移到备用路径。到UTC时间14:10,他们已经减轻了大部分影响。但是,一些客户仍然遇到服务可用性欠佳的情况,促使他们在 UTC 时间 18:00 左右采取进一步行动。随后,首先在亚太地区和欧洲,随后在美洲推出了修订后的缓解策略,在 UTC 时间 19:43 之前将故障率正常化。
调查和未来的缓解措施
Microsoft 正在进行持续调查,并承诺在 72 小时内进行初步事故后审查。初步研究结果表明,为支持 DDoS 缓解而进行的网络配置更改导致了意想不到的副作用,从而加剧了问题。
该事件凸显了对 DDoS 缓解策略进行持续创新和投资的必要性。绿盟科技国际业务首席运营官Richard Zhao博士强调了不断变化的威胁形势以及强大的DDoS保护作为服务可靠性关键组成部分的必要性。他表示:“最近由于 DDoS 攻击导致的 Azure 服务中断清楚地提醒人们不断变化的威胁形势。鉴于Azure作为拥有大量网络资源和专业知识的领先云服务提供商的地位,这一事件凸显了DDoS攻击的复杂性和规模日益增加。
全球影响和客户响应
中断影响了多个 Microsoft 服务,包括 Azure IoT Central、Azure 日志搜索警报、Azure Policy 以及 Microsoft 365 和 Microsoft Purview 服务的子集。值得注意的是,即使在大多数服务恢复正常之后,新西兰用户在访问 Microsoft 365 服务(包括 Exchange Online、Outlook 和 Microsoft Teams)时仍然面临问题。
英国银行NatWest等公司受到停电的严重影响。该事件持续了近 10 个小时,发生在另一个问题不到两周后,该问题导致 Microsoft Windows 机器崩溃。
Microsoft 对该事件的回应涉及详细的内部回顾,以更好地了解该事件。该公司旨在实施改进的策略和解决方案,以防止将来发生此类情况。正如赵博士所指出的,“业界必须认识到,强大的DDoS保护不仅仅是一种防御措施,而是服务可靠性的关键组成部分。
这一事件提醒所有云服务提供商及其客户,必须采取先进且不断发展的 DDoS 保护措施,以确保基础设施抵御日益复杂的网络威胁。
技术在网络安全中的作用(ESOF产品)(TAC信息安全将如何在这种情况下提供帮助)
在像 Microsoft 这样的 DDoS 攻击的背景下,TAC Security 的 Enterprise Security in One Framework (ESOF) 产品可以提供几个关键特性和功能,以帮助缓解和预防此类事件。以下是ESOF如何受益:
1. 主动威胁检测和缓解
ESOF 旨在提供实时监控和分析,这有助于及早发现可能表明 DDoS 攻击开始的异常流量模式。通过及早识别这些威胁,ESOF使组织能够采取积极措施来减轻影响。
2. 全面的可视性
ESOF 提供了一个统一的仪表板,可提供组织安全状况的全面视图。这包括对网络流量和潜在漏洞的实时洞察,帮助安全团队快速识别和响应 DDoS 攻击。
3. 自动响应
ESOF 可以配置为自动响应检测到的威胁,例如通过重新路由流量、阻止恶意 IP 地址或激活其他防御措施。在 DDoS 攻击期间,这种自动响应功能至关重要,因为在 DDoS 攻击中,响应速度会显着影响结果。
4. 集成 DDoS 防护
ESOF 集成了先进的 DDoS 保护机制,可以吸收和转移恶意流量。这包括动态扩展资源以处理增加的负载的能力,以及使用机器学习算法来区分合法和恶意流量的能力。
5. 事后分析
攻击发生后,ESOF提供详细的事件报告和分析,帮助组织了解攻击的性质、执行方式以及利用了哪些漏洞。这些信息对于加强防御和防止未来的攻击至关重要。
6. 协作与协调
ESOF 通过提供用于管理安全事件的集中式平台,促进安全团队之间更好的协作和协调。这在具有分布式团队的大型组织中尤为重要,这些团队需要在安全事件期间协同工作。
7. 持续改进
通过持续的监控和反馈,ESOF 可帮助组织随着时间的推移改善其安全状况。它为增强安全策略、更新配置和修补漏洞提供了可操作的见解和建议。
DDoS 攻击期间的具体优势:
– 预警系统:ESOF的威胁情报能力可以提供有关潜在DDoS威胁的早期预警,从而采取先发制人的行动。
– 负载均衡和流量管理:ESOF可以帮助管理攻击期间的流量负载,确保合法流量仍然可以到达关键服务。
– 事件响应计划:ESOF 协助制定和执行事件响应计划,确保所有团队都知道他们在 DDoS 攻击期间的角色和职责。
通过利用 ESOF,组织可以增强抵御 DDoS 攻击的弹性,并确保其服务的持续可用性和可靠性。这种全面的安全方法有助于减轻此类攻击的影响并维护客户信任。
结论
对 Microsoft Azure 的 DDoS 攻击凸显了针对云服务提供商的网络攻击的持续威胁。在网络安全措施、事件响应计划和行业协作方面的持续投资对于降低此类风险和确保服务可靠性至关重要。