Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015
Trocha statistiky na úvod Hlavní zjištění RADWARE Network Security Report 2014-‐2015 • Kon%nuální útoky na vzestupu • Neočekávané cíle útoků -‐ nikdo není imunní • Bod zranitelnos% v 2014 je internetová trubka • Reflexivní útoky – největší bolest • Ne toliko DDoS středem zájmu útočníků • Hybridní ochrana nabývá na významu • Postupující migrace do Cloud mění pravidla boje • Bezpečnostním hrozbám věnují pozornost také CEO a boards
Kontinuální útoky na vzestupu
Delší, masivnější a sofisHkovanější útoky • V předchozích letech míra útoků považovaných za trvalé nepřesahovala 6% • V roce 2014 jich bylo již 19% • Celkem 52% společnos] konstatuje, že není schopna čelit kampani trvajcící jeden den nebo kratší
Neočekávané cíle – nikdo není imunní
Hrozby v nových odvětvích, velikostech organizací • Zdravotnictví a vdělávání , neočekávané cíle, nyní v ohrožení • Gaming, hos%ng a ISP – stále se zvyšující pravděpodobnost útoku • Odvětví, kde se překvapivě hrozba snížila, jsou finanční služby
Internetová trubka je úzkým hrdlem #1
Poprvé v roce 2014 mezi zranitelnostmi začíná převažovat saturace připojení
Reflexivní útoky – největší bolest
Reflexivní útoky narostly ze 7% v roce 2013 na 16% v roce 2014 • Extra masivní útoky byly na denním pořádku • Cíleno na všechny typy organizací • Umožněno “vylepšenou” technologií reflexivních útoků
Ne toliko DDoS středem zájmu útočníků
DDoS útoky stále převládaly, ostatní hrozby jsou rovněž slušně zastoupeny • V těsném závěsu za DDoS jsou různé formy neautorizovaného přístupu • Dobré umístění mají také “advanced persistent threats”
Hybridní ochrana nabývá na významu
Více než 36% organizací nyní již využívá hybridního řešení • V roce 2015 bude již téměř polovina (48%) využívat hybridní ochranu před DDoS • Kombinace on premise & in-‐the-‐cloud mi%gace se stává nutnos] • On premise pro řešení slabších útoků, včetně útoků na bázi SSL, cloud pro volumetrické případy
Migrace podniků do Cloud mění pravidla
Plány velkých podniků migrovat v roce 2014 • Migrace IT infrastruktur do Cloud pokračuje, tradiční perimetr a IT je na (u nás pomalém) ústupu, což vyžaduje nové přístupy k otázkám bezpečnos%
Alternativy řešení útoků
Filozofie hybridní služby Integruje „domácí“ CPE zařízení s cloud technologií Služba na bázi měsíční pojistky pro% saturaci vstupní linky nežádoucím provozem Předplacený objem datového provozu k čištění od vektorů útoku Komplexní ochrana před DDoS útoky pro společnos% s vlastním IP rozsahem nebo DNS
Jak služba funguje DDoS Cloud
! Internet
Zákazník
Online služby
CPE
Přesměrování provozu Přesměrování pomocí BGP • Přesměrování pomocí BGP je preferováno a garantováno. • Zákazník musí mít přiděleny IP adresy a vlastní autonomní systém. • Při útoku dojde k propagaci IP adres přímo ze strany DDoS Cloud. • Je zajištěno přesměrování veškerého provozu do DDoS Cloud. • Tento typ přesměrování uchrání také konek%vitu, nikoli jen serverové zdroje. • Zpět je provoz posílán pomocí GRE tunnel přímo do směrovače zákazníka. • Při č̌ištění volumetrického provozu ze zahraničí se mohou veřejné adresy zákazníka přesunout na směrovač̌ v DDoS Cloudu a pak je započítávána zahraniční konek%vita. Ta je z 50% přeúčtována zákazníkovi, aby byl poskytovatel mo%vován zajis%t filtrování na upstream providerech.
Přesměrování provozu Přesměrování pomocí DNS
• Je zde využito ADC v roli reverzní proxy umístěné v DDoS Cloud. • Zákazník musí mít zajištěnu součinnost se svým ISP, kde musí dojít k zablokování zdrojů mimo DDoS Cloud, aby nemohlo dojít k přímému pře]žení těchto zdrojů.
… takové to “domácí zařízení” Umístěno v infrastruktuře zákazníka
CPE INVEA-‐TECH FlowMon DDoS Defender RADWARE DefensePro Juniper DDoS Secure …a další
Spolupracuje s DDoS Cloud Zajišťuje detekci/vyhodnocení útoků v sí% zákazníka Čis] slabší útoky Případně iniciuje potřebu přesměrování provozu Informuje DDoS Cloud o povaze a struktuře přesměrovaného útoku
DDoS Cloud Technologie MITIGACE&IPS RADWARE DefensePro ROUTING Juniper MX80 LOAD BALANCING Citrix NetScaler FIREWALL Juniper SRX PROTOKOL FlowSpec
Cloud konektivita
Celková současná kapacita 50G do zahraničí
Poskytovatelé TTI + Cogent + TeliaSonera + TMCZ
Připojení 10G do NIX.CZ
Klíčové vlastnosti služby Možnost opera%vního zvýšení množství čištěných dat
Minimální nároky na know-‐how u zákazníka
Nízké celkové náklady vlastnictví
Pokry] všech vektorů útoku
Rychlá reakce na útok
Provoz je přesměrován až jako poslední možnost
Služba je technicky zabezpečena a provozována z ČR
Integrovaný repor%ng
Profesionální podpora 24x7
Varianty „pojištění“ za vstupní kapacitu
• měsíční platba za předem stanovenou (nejvyšší očekávanou) vstupní kapacitu provozu do DDoS Cloud, příchozí provoz nad tuto kapacitu je „zahazován“
za legiHmní kapacitu
• měsíční platba za předem stanovenou a garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi
za útok za legiHmní kapacitu
• jednorázová platba v případě útoku za garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi
„Pojistné“ a možnost otestování v LABu ...navštivte prosím stánek DDoSBusters
ComSource s.r.o. Nad Vršovskou horou 1423/10, Praha 10,101 00 www.comsource.cz
Děkuji