BLOG | BUREAU DU CTO

Évolution de la protection DDoS à la périphérie

Miniature de Lori MacVittie
Lori MacVittie
Publié le 13 octobre 2020


Les attaques, comme tout autre trafic véhiculé par Internet, sont relativement prévisibles. Le lundi matin, on se précipite pour se connecter après le week-end. Après l'école, les enfants se connectent à des jeux en ligne. Les achats liés aux fêtes augmentent alors que les acheteurs tentent frénétiquement de trouver « le cadeau parfait » en ligne. Les tendances saisonnières et sectorielles sont reconnues par les chercheurs et anticipées par les professionnels de la sécurité depuis des années.

Mais l’année 2020 a inversé ces tendances et, au lieu de la traditionnelle diminution saisonnière des attaques DDoS, les rapports ont montré une augmentation. À savoir, le nombre moyen d’attaques par jour a augmenté au cours du deuxième trimestre civil de 2020 , atteignant près de 300 attaques par jour (9 avril). Au premier trimestre, le record quotidien a été de 242 attaques. Cette anomalie a été attribuée au passage brutal au travail à distance.

S’il est vrai que de nouveaux modèles d’attaques DDoS sont apparus, il est également vrai que les attaques DDoS au niveau de l’infrastructure restent des attaques DDoS. Ce sont ce que l’on pourrait appeler des attaques « traditionnelles ». Ce qui change, ce sont les objectifs et les opportunités qui accompagnent une main-d’œuvre distribuée.

Les craintes d’une nouvelle génération de menaces DDoS à grande échelle émergeant parallèlement aux réseaux 5G existent. Ces préoccupations sont aggravées à mesure qu’Edge apparaît de plus en plus comme une solution stratégique au défi croissant du maintien de la disponibilité et des performances des applications pour ce qui semble être une main-d’œuvre de plus en plus distante et distribuée en permanence.

C'est un défi existentiel. Plus de 15 % des travailleurs à distance rencontrent des problèmes de connectivité quotidiennement, et plus de la moitié (52 %) rencontrent des problèmes chaque mois. ( Waveform, rapport d'avril 2020 ) Le plus grand défi auquel les DSI ont été confrontés en 2020 a été de maintenir les performances des applications (66 %) et la fiabilité du réseau (63 %). ( Catchpoint, CIO New Normal Survey, 2020) Les consommateurs sont confrontés à des défis similaires en matière de connectivité, de performances et de disponibilité des applications des secteurs des services publics, de la banque, de la vente au détail et de la cuisine, qui sont rapidement passés à un modèle numérique (ou uniquement numérique). La capacité d’une attaque importante à exacerber ces frustrations n’est pas anodine.

L’ampleur de ces attaques—la taille moyenne d’une attaque DDoS en 2019 était de 12 Gbps—est déjà écrasante, nous devons donc adopter de nouvelles technologies pour contrer cette menace grandissante. Cependant, l’espace et les ressources restent limités. L’Edge peut parfaitement correspondre à une simple salle technique au pied d’une antenne relais isolée. Ce n’est clairement pas un emplacement de choix pour un centre de données. Les contraintes d’espace et la nature distante de l’edge computing interdisent d’opter pour la solution classique consistant à « ajouter plus de matériel ».

Une approche moderne consiste à utiliser du matériel plus intelligent pour résoudre le problème.

Il existe déjà un marché croissant pour les solutions accélérées à l’aide de matériel spécialisé. Dans l’espace émergent de l’IA et du ML, nous voyons les GPU assumer le rôle d’accélérateur des calculs mathématiques complexes nécessaires pour alimenter des analyses plus rapides et plus intelligentes. Dans l’espace réseau, nous voyons des approches similaires qui prennent la forme d’un FPGA. L'Intel PAC N3000 est l'un de ces appareils qui a permis à F5 d'appliquer ses plus de dix ans d'expertise en programmation FPGA pour bloquer plus efficacement les attaques DDoS entrantes.

Les tests de notre solution par rapport aux options logicielles uniquement ont montré que l'option compatible FPGA était capable de résister à une attaque DDoS jusqu'à 300 fois plus importante .

De plus, comme la solution s'appuie sur ce que l'on appelle communément un SmartNIC, aucun espace rack ou matériel supplémentaire n'est nécessaire. Il n’est pas nécessaire de disposer de matériel dédié pour bénéficier des avantages d’une solution assistée par matériel. Cela en fait une solution plus adaptée aux fournisseurs de services qui sont confrontés à une croissance exponentielle du trafic due au changement de main-d’œuvre et au déploiement continu de la 5G.

Une option logicielle associée à une carte réseau vous offre un choix bien plus adapté pour déployer en périphérie, là où les contraintes d’espace et de ressources rendent impossible tout déploiement matériel à grande échelle.

La performance et la fiabilité aux extrémités du réseau Internet — dans nos foyers et maintenant, apparemment, sur nos lieux de travail — poseront toujours un défi. Vous devrez adopter de nouvelles méthodes pour résoudre ces problématiques traditionnelles. Nous utilisons des équipements plus intelligents pour déployer des solutions à grande échelle dans des sites Edge aux ressources limitées ; c’est l’une des pistes à explorer.

Vous pouvez en apprendre davantage sur la manière dont F5 fait évoluer la sécurité à la périphérie dans ce blog .