Les services Cloud F5 adoptés pour assurer une protection efficace contre les attaques DDoS majeures

Basée à Ogaki, dans la préfecture de Gifu, Mirai Communication Network Co., Ltd. propose une large gamme de services, incluant fournisseur d’accès internet (FAI), location de serveurs, gestion et exploitation de centres de données, acquisition, gestion et exploitation de domaines, ainsi que des réseaux de soutien aux entreprises reposant sur le réseau de fibre optique de la préfecture et l’autoroute de l’information de Gifu. Pour lutter contre les attaques DDoS, nous avons déployé F5 Distributed Cloud DNS. Nous avons échangé avec M. Yuki Kano et Mme Atsuko Tanaka du département technologique de Mirai Communication Network pour comprendre leurs exigences spécifiques, les fonctionnalités mises en place et les bénéfices attendus lors de cette implantation.

Le besoin

Avec la volonté d'être un « fournisseur d’accès à Internet à visage humain », Mirai Communication Network Co., Ltd. propose une large gamme de services réseau, destinés aussi bien aux entreprises privées qu’aux collectivités locales et institutions publiques. « Pour les services d'hébergement, nous accompagnons des clients partout dans le pays, mais notre force réside dans notre ancrage régional. Dans ce sens, nous incarnons un fournisseur d’accès à Internet avec un ‘visage humain’ », explique M. Yuki Kano du département technologique de l’entreprise. « Contrairement à la plupart des fournisseurs de serveurs classiques qui opèrent principalement à distance et dont le personnel reste invisible, nos équipes techniques et de maintenance, me comprenant, se déplacent directement chez les clients. Nous collaborons avec chaque client sur des projets spécifiques pour développer des solutions personnalisées », ajoute-t-il. La nécessité pour Mirai Communication Network de repenser son architecture système est née d’une large attaque DDoS en décembre 2023. « Nos serveurs DNS ont été ciblés, rendant la résolution des noms extrêmement difficile. Bien que nous ayons immédiatement bloqué les requêtes provenant des adresses IP identifiées comme source de l’attaque et rétabli les services rapidement, nous avons compris que même si le réseau fonctionne, une panne des serveurs DNS empêche toute communication. Cet incident a renforcé l’urgence de protéger les serveurs DNS contre les attaques », témoigne Kano. Avant l’attaque, l’entreprise avait déjà mis en place des dispositifs de surveillance du trafic réseau pour détecter les attaques DDoS et ne laisser passer que le trafic légitime. Toutefois, l’événement a révélé qu’il fallait adopter des contre-mesures plus ciblées dédiées aux serveurs DNS. Cela l’a conduite à envisager la mise en place d’un service spécialisé de protection DDoS.

La transformation numérique

Après environ trois mois de réflexion suite à l'attaque, Mirai Communication Network a choisi d’adopter le DNS Cloud distribué de F5. Mme Atsuko Tanaka, du département Technologie, qui a participé directement à l’évaluation des solutions, déclare : « Face à l’urgence, nous avons ciblé des solutions déployables facilement via des services cloud. Au départ, F5 ne figurait pas parmi nos options. Mais lors de notre analyse, F5 a proposé son service, auquel nous avons reconnu des atouts en termes de coût et de facilité d’intégration dans notre environnement existant. » Certains concurrents exigeaient une reconfiguration complète des serveurs DNS principaux et secondaires côté SaaS, d’autres offraient seulement une solution DNS primaire incompatible avec un DNS secondaire. « Avec d’autres services, vous deviez choisir dès le contrat si les mesures s’appliqueraient au DNS primaire ou secondaire. De plus, les coûts fluctuèrent selon le volume des requêtes, compliquant la gestion budgétaire », précise M. Kano en justifiant le choix de F5. Pour des clients publics, comme les collectivités locales, les achats passent souvent par appels d’offres, avec un budget fixé annuellement. Le prix du service ne pouvait donc pas subir d’augmentations imprévues liées à des attaques. F5 Distributed Cloud DNS adopte une tarification selon le nombre de zones, avec une structure souple : même dépassant les zones contractées, aucun frais supplémentaire ne s’applique pendant la durée du contrat. Le cas échéant, on ajuste ces éléments au renouvellement annuel du contrat. Mirai Communication Network a mis en place un environnement de preuve de concept (PoC) pour tester ce DNS Cloud distribué de F5. Kano explique : « Au moment de la décision d’intégration, nous avons reçu un compte PoC et un compte acheteur. L’interface est intuitive et claire, et grâce à l’accompagnement précis des ingénieurs F5, la vérification progresse efficacement. »

Le résultat

Les modifications DNS exigent des tests rigoureux, ainsi que des tâches comme l’enregistrement des enregistrements nécessaires sur le serveur de destination et le transfert des informations WHOIS. En revanche, les opérations post-migration resteront identiques à celles de notre environnement actuel. Nous n’envisageons pas de mobiliser des ressources humaines supplémentaires, déclare M. Kano. Avec F5 Distributed Cloud DNS, vous pouvez configurer le DNS primaire en mode Masqué, pour le protéger des attaques DDoS en le rendant invisible sur internet. On peut continuer à utiliser le serveur DNS existant pour la configuration, tandis que le DNS secondaire, placé sur le cloud distribué de F5, prend en charge toutes les requêtes DNS. Cela ne répond pas seulement à notre besoin initial de protection contre les DDoS, mais optimise aussi les temps de réponse grâce à un DNS secondaire basé sur le cloud, réparti géographiquement. De plus, nous pouvons confier à F5 les tâches de mise à jour des versions et autres opérations similaires, ce qui allège encore notre charge opérationnelle, ajoute M. Kano.

F5 Distributed Cloud DNS vous permet de configurer un DNS primaire/secondaire. Nous utilisons le DNS primaire existant uniquement pour la configuration, tandis que le DNS secondaire fonctionne dans le cloud F5 pour traiter les requêtes DNS. Cette architecture protège contre les attaques par déni de service distribué et accélère les temps de réponse grâce à un réseau cloud réparti géographiquement.

F5 met à votre disposition diverses fonctionnalités réseau et sécurité via ses services cloud distribués, dont Distributed Cloud DNS, adopté cette fois, ainsi que des équilibreurs de charge, pare-feu, passerelles API, WAF, sécurité API, protection contre les bots et plateformes Kubernetes gérées. « Nous envisageons actuellement d’offrir l’équilibrage de charge DNS en tant que service. Avec le nombre croissant d’entreprises déployant des systèmes sur plusieurs environnements, comme sur site et dans le cloud, le besoin d’équilibrage de charge basé sur le DNS devient évident », explique Mme Tanaka, évoquant l’éventualité d’adopter d’autres services au-delà de Distributed Cloud DNS. M. Kano souligne également les atouts remarqués lors de la formation pratique à l’utilisation des Services Cloud Distribués de F5 : « Nous avons constaté que le service propose des options de configuration très détaillées sans nuire à son ergonomie. Pour étendre les services, les fonctionnalités de surveillance comme les moniteurs HTTPS et DNS seront très efficaces, et nous sommes également impatients de tester des preuves de concept (PoC) pour Kubernetes géré à l’avenir. » F5 Distributed Cloud Services facilite la gestion et l’exploitation sécurisée d’applications et réseaux répartis sur plusieurs environnements, tout en accélérant le développement et la mise en production grâce aux plateformes Kubernetes. « Les services que nous proposons aujourd’hui via des appliances physiques et virtuelles peuvent évoluer vers des solutions SaaS, faciles à déployer et à monter en charge. Nous prévoyons une montée en puissance des cas d’usage pour les services cloud distribués de F5 », confirme M. Kano. Il entrevoit aussi des synergies pour collaborer avec F5 et répondre aux enjeux des collectivités, des conseils scolaires et des entreprises locales. « En exploitant plus largement les solutions F5 en les intégrant dans nos services, je suis convaincu que nous pourront détecter de nouveaux besoins chez nos clients actuels et leur offrir une valeur renforcée », conclut M. Kano.