BLOG | BÜRO DES CTO

Skalierung des DDoS-Schutzes am Rand

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 13. Oktober 2020


Angriffe sind, wie auch anderer Internetverkehr, bis zu einem gewissen Grad vorhersehbar. Montagmorgens Ansturm auf die Anmeldung nach dem Wochenende. Nach der Schule platzt der Unterricht, da sich die Kinder bei Online-Spielen anmelden. Feiertagsbedingte Anstiege, da Käufer verzweifelt versuchen, online „das perfekte Geschenk“ zu finden. Saisonale und branchenbezogene Muster sind seit Jahren bekannt und werden von Sicherheitsexperten vorhergesehen.

Doch das Jahr 2020 widersetzte sich diesem Trend, und statt des üblichen saisonalen Rückgangs der DDoS-Angriffe zeigten die Berichte einen Anstieg. So stieg beispielsweise die durchschnittliche Zahl der Angriffe pro Tag im zweiten Kalenderquartal 2020 an und erreichte (9. April) fast 300 Angriffe pro Tag. Im ersten Quartal lag der Tagesrekord bei 242 Angriffen. Diese Anomalie wird auf die abrupte Umstellung der Belegschaft auf Remote-Arbeit zurückgeführt.

Zwar sind neue DDoS-Angriffsmuster aufgetaucht, doch stimmt auch, dass DDoS-Angriffe auf der Infrastrukturebene immer noch DDoS-Angriffe sind. Es handelt sich dabei um das, was wir als „traditionelle“ Angriffe bezeichnen könnten. Was sich ändert, sind die Ziele und Möglichkeiten, die eine verteilte Belegschaft mit sich bringt.

Es bestehen Befürchtungen, dass parallel zu 5G-Netzwerken eine neue Generation hyperskaliger DDoS-Bedrohungen entsteht. Diese Bedenken werden dadurch verstärkt, dass Edge zunehmend als strategische Lösung für die wachsende Herausforderung erscheint, die Verfügbarkeit und Leistung von Anwendungen für eine Belegschaft aufrechtzuerhalten, die offenbar immer häufiger dauerhaft an entfernten Standorten und verteilt arbeitet.

Dies ist eine existenzielle Herausforderung. Über 15 % der Remote-Mitarbeiter haben täglich Verbindungsprobleme, bei über der Hälfte (52 %) ist dies sogar monatlich der Fall. ( Waveform, Bericht April 2020 ) Die größte Herausforderung für CIOs im Jahr 2020 bestand darin, die Anwendungsleistung (66 %) und die Netzwerkzuverlässigkeit (63 %) aufrechtzuerhalten. ( Catchpoint, CIO New Normal Survey, 2020) Verbraucher stehen vor ähnlichen Herausforderungen hinsichtlich Konnektivität, Leistung und Verfügbarkeit von Anwendungen aus den Bereichen Versorgungswirtschaft, Banken, Einzelhandel und Gastronomie, die schnell auf ein Digital-First- (oder rein digitales) Modell umgestiegen sind. Dass ein massiver Angriff diese Frustrationen noch verstärken kann, ist nicht unerheblich.

Das Ausmaß solcher Angriffe – 2019 lag die durchschnittliche Größe eines DDoS-Angriffs bei 12 Gbit/s – übersteigt bereits die Kapazitäten, weshalb neue Technologien entscheidend sind, um dieser wachsenden Bedrohung zu begegnen. Platz und Ressourcen sind jedoch weiterhin begrenzt. Das Edge kann schließlich ein Hauswirtschaftsraum am Fuße eines abgelegenen Mobilfunkmasts sein. Das ist keine erstklassige Rechenzentrums-Immobilie. Die Platz- und Standortbeschränkungen beim Edge-Computing machen es unmöglich, einfach mehr Hardware einzusetzen, um das Problem zu lösen.

Ein moderner Ansatz besteht darin, das Problem mit intelligenterer Hardware zu lösen.

Es gibt bereits einen wachsenden Markt für Lösungen, die durch den Einsatz spezieller Hardware beschleunigt werden. Im aufstrebenden KI- und ML-Bereich übernehmen GPUs unserer Ansicht nach die Rolle der Beschleunigung der komplexen mathematischen Berechnungen, die für schnellere und intelligentere Analysen erforderlich sind. Im Netzwerkbereich sehen wir ähnliche Ansätze in Form eines FPGA. Der Intel PAC N3000 ist ein solches Gerät, das es F5 ermöglicht hat, seine über zehnjährige Erfahrung in der FPGA-Programmierung anzuwenden, um eingehende DDoS-Angriffe effizienter zu blockieren.

Tests unserer Lösung im Vergleich zu reinen Softwareoptionen zeigten, dass die FPGA-fähige Option einem bis zu 300-mal stärkeren DDoS-Angriff standhalten kann.

Und weil die Lösung das nutzt, was allgemein als SmartNIC bezeichnet wird, ist kein zusätzlicher Rack-Platz oder zusätzliche Hardware erforderlich. Es ist keine dedizierte Hardware erforderlich, um die Vorteile einer hardwaregestützten Lösung zu nutzen. Dadurch eignet es sich besser für Dienstanbieter, die aufgrund von Personalverlagerungen und der laufenden 5G-Einführung mit einem exponentiellen Anstieg des Datenverkehrs konfrontiert sind.

Eine Softwareoption, die sich mit einer Netzwerkkarte verbindet, macht sie zu einer weitaus besseren Wahl für den Einsatz an Edge-Standorten, an denen Platz- und Ressourcenknappheit großflächige Hardwareinstallationen unmöglich macht.

Leistung und Zuverlässigkeit am Rand des Internets – in Ihren Häusern und jetzt scheinbar auch an Ihren Arbeitsplätzen – bleiben eine Herausforderung. Um sie zu meistern, benötigen Sie neue Ansätze für diese bewährten Probleme. Eine Möglichkeit besteht darin, intelligentere Hardware zu nutzen, um Lösungen an ressourcenbeschränkten Edge-Standorten zu skalieren.

In diesem Blog erfahren Sie mehr darüber, wie F5 die Sicherheit am Edge skaliert.