F5 Cloud Services adoptados para ofrecer una protección sólida contra DDoS tras un ataque masivo

Con sede en la ciudad de Ogaki, prefectura de Gifu, Mirai Communication Network Co., Ltd. ofrece numerosos servicios, incluyendo proveedor de servicios de Internet (ISP), alquiler de servidores, operación y gestión de centros de datos, adquisición y administración de dominios, además de redes de soporte empresarial que aprovechan la red de fibra óptica de toda la prefectura de Gifu y la superautopista de la información de Gifu. Para protegerse contra ataques DDoS, la empresa implementó F5 Distributed Cloud DNS. Charlamos con el Sr. Yuki Kano y la Sra. Atsuko Tanaka del Departamento de Tecnología de Mirai Communication Network sobre los requisitos concretos, las funcionalidades y los beneficios esperados que caracterizan su implementación.

La necesidad

Con la idea de ser un "proveedor de servicios de internet con un rostro humano", Mirai Communication Network Co., Ltd. ofrece una amplia gama de servicios relacionados con la red, no solo a empresas privadas, sino también a gobiernos locales y agencias públicas. "En los servicios de hosting, atendemos clientes en todo el país, pero nuestra diferenciación está en un enfoque comercial centrado en cada región. Por eso nos consideramos un proveedor de servicios de internet con un 'rostro humano'", explica el Sr. Yuki Kano del Departamento de Tecnología de la empresa. "A diferencia de muchos proveedores habituales que solo ofrecen servicios remotos y cuyo personal nunca se ve, nuestro equipo técnico y de mantenimiento, incluido yo mismo, visita las oficinas de los clientes. Colaboramos directamente con ellos proyecto a proyecto para crear soluciones hechas a medida", añade. Mirai Communication Network decidió reevaluar su arquitectura de sistema tras un gran ataque DDoS en diciembre de 2023. "Nuestros servidores DNS fueron el objetivo del ataque, lo que dificultó enormemente la resolución de nombres. Bloqueamos de inmediato las consultas desde las IP detectadas como origen del ataque y restauramos el servicio rápidamente, pero comprendimos que, aunque la red funcione, quedarse sin DNS impide totalmente la comunicación. Ese incidente nos recordó lo crucial que es proteger los servidores DNS de ataques", reflexiona Kano. Antes del ataque, ya controlábamos el tráfico de red para detectar posibles ataques DDoS y permitíamos solo el tráfico legítimo. Sin embargo, el incidente nos hizo ver la necesidad de aplicar medidas más específicas para los servidores DNS. Por eso empezamos a evaluar la implementación de un servicio dedicado de protección DDoS.

La transformación digital

Tras cerca de tres meses de análisis después del ataque, Mirai Communication Network decidió adoptar Distributed Cloud DNS de F5. Atsuko Tanaka, del Departamento de Tecnología y directamente implicada en la evaluación de las distintas herramientas, comentó: «Por la urgencia del momento, nos centramos en soluciones que se pudieran desplegar fácilmente mediante servicios en la nube.» Al principio, el servicio de F5 no estaba entre nuestras opciones. Sin embargo, durante la evaluación F5 presentó una propuesta que nos permitió identificar ventajas en coste y en la integración con nuestro entorno actual.» Algunos competidores requerían reconfigurar tanto los servidores DNS primarios como secundarios en el entorno SaaS, mientras otros solo ofrecían una solución DNS primaria sin posibilidad de integrar un servidor secundario. «Con otros servicios había que decidir desde el contrato si las medidas se aplicarían al DNS primario o al secundario. Además, el coste dependía del volumen de consultas, lo que complicaba gestionar el presupuesto», explicó el Sr. Kano al exponer las razones por las que eligieron F5. En el sector público, como en los gobiernos locales, las compras suelen efectuarse por licitación y los presupuestos se asignan anualmente. Por eso, no pueden repercutir posibles ajustes por ataques imprevistos en el precio del servicio. Distributed Cloud DNS de F5 utiliza un modelo de precios basado en número de zonas y cuenta con una estructura flexible: si superas esas zonas contratadas, no aplicamos cargos adicionales durante el periodo del contrato. Podrás ajustar las condiciones al renovar el contrato en años fiscales posteriores, si es necesario. Mirai Communication Network configuró un entorno de Prueba de Concepto (PoC) para validar Distributed Cloud DNS de F5. Kano detalló: «Al tomar la decisión de implementar el servicio, nos facilitaron una cuenta PoC y otra de comprador. La interfaz es intuitiva y clara, y con el soporte detallado que proporcionaron los ingenieros de F5, el proceso de validación ha avanzado sin contratiempos.»

EL RESULTADO

Los cambios en DNS requieren pruebas exhaustivas, además de tareas como registrar los registros necesarios en el servidor de destino y transferir la información WHOIS. Sin embargo, las operaciones posteriores a la migración seguirán siendo las mismas que en nuestro entorno actual. No anticipamos la necesidad de recursos humanos adicionales, afirma el Sr. Kano. Con F5 Distributed Cloud DNS, puedes configurar el DNS principal como Oculto, manteniéndolo protegido frente a ataques DDoS al no estar visible en internet. El servidor DNS actual puede seguir usándose para configuraciones, mientras que el DNS secundario se coloca en la nube distribuida de F5 para gestionar todas las consultas DNS. No solo cumple con nuestro requisito inicial de protección contra DDoS, sino que también mejora los tiempos de respuesta gracias a un DNS secundario basado en la nube, distribuido geográficamente. Además, puedes delegar las tareas de actualización de versiones y operaciones similares a F5, lo que reduce aún más tu carga operativa, añade el Sr. Kano.

F5 Distributed Cloud DNS te permite configurar DNS Primario/Secundario. Usamos el DNS primario existente solo para la configuración, mientras colocamos el DNS secundario en la nube de F5 para responder consultas DNS. Con esta configuración proteges tu red contra ataques DDoS y mejoras los tiempos de respuesta gracias a una red en la nube distribuida geográficamente.

F5 ofrece diversas funcionalidades de red y seguridad como parte de F5 Distributed Cloud Services, incluido Distributed Cloud DNS, que adoptamos esta vez, además de balanceadores de carga, firewalls, gateways de API, WAF, seguridad en API, protección contra bots y plataformas Kubernetes gestionadas. Actualmente, estamos valorando ofrecer balanceo de carga DNS como servicio. "Cada vez más empresas operan sistemas en múltiples entornos, como locales y en la nube, por lo que la necesidad de balanceo de carga basado en DNS es clara", señala la Sra. Tanaka, al mencionar la posible ampliación de servicios más allá de Distributed Cloud DNS. El Sr. Kano también resalta los beneficios que descubrieron durante la formación práctica con los Servicios de Nube Distribuida de F5: "El servicio ofrece opciones de configuración muy detalladas y, a la vez, mantiene una usabilidad excelente. Al considerar ampliar el servicio, funcionalidades de monitorización como HTTPS y monitores DNS serán especialmente útiles, y además queremos probar pruebas de concepto (PoC) para Kubernetes gestionado en el futuro." F5 Distributed Cloud Services facilita la gestión y operación segura de aplicaciones y redes distribuidas en múltiples entornos, así como el desarrollo e implementación ágiles de aplicaciones mediante plataformas Kubernetes. "Los servicios que ofrecemos actualmente a través de dispositivos físicos y virtuales pueden transformarse en soluciones SaaS, fáciles de desplegar y escalar. Esperamos que cada vez surjan más casos de uso para F5 Distributed Cloud Services", comenta el Sr. Kano. También ve oportunidades para colaborar con F5 y afrontar los retos de gobiernos locales, consejos escolares y empresas regionales. "Si seguimos aprovechando las soluciones de F5 e integrándolas con nuestros servicios, creeremos que podemos descubrir nuevas necesidades entre nuestros clientes actuales y ofrecer aún más valor", añade el Sr. Kano.