Al operar una gran red global que admite miles de aplicaciones web y servicios multimedia de transmisión, mitigar los ataques de denegación de servicio distribuido (DDoS) es parte de nuestras operaciones diarias. Tener una plataforma de mitigación de DDoS resistente e inteligente es esencial para el funcionamiento de nuestra red y para los servicios web que dependen de ella.
Para proporcionar esa protección, desarrollamos Stonefish, nuestra plataforma de detección y mitigación de DDoS que evita que los ataques de capa 3/4 impacten en las aplicaciones web de nuestros clientes. Stonefish es la primera capa de defensa en la solución de seguridad holística de Edgio en el borde, trabajando 24x7x365, analizando millones de paquetes por segundo, calificándolos en busca de amenazas, tomando medidas automáticamente cuando sea necesario y siendo monitoreado por nuestro equipo de soporte para que puedan realizar análisis adicionales y acciones mitigativas en tiempo real si es necesario.
Junto con la solución de Protección de Web y API (WAAP) de Edgio, Edgio proporciona seguridad unificada de múltiples capas que se ejecuta en todos los servidores de toda nuestra red perimetral. Edgio WAAP incluye reglas de control de acceso (ACL), seguridad de API, protección DDoS de capa de aplicación, administración avanzada de bots, reglas de seguridad personalizadas, así como reglas de seguridad administradas. Cada solicitud está siendo procesada por estas capas de seguridad sofisticada con una latencia mínima. Estamos orgullosos de ofrecer esto a nuestros clientes como una ventanilla única para detectar y mitigar los ataques de capa 3/4 y 7 para todas las aplicaciones web que se encuentran detrás de nuestra plataforma, mientras que mejora el rendimiento y la fiabilidad de su sitio a través de un único panel de control.
Objetivos de diseño Stonefish
Stonefish es una plataforma de mitigación de DDoS diseñada específicamente para proteger nuestra red e infraestructura y todos nuestros servicios críticos al cliente que se ejecutan en ella. Desarrollamos nuestra pila de seguridad DDoS utilizando una mezcla de software de código abierto y personalizado que se ejecuta en cada punto de presencia (POP), lo que nos permite proporcionar una plataforma DDoS altamente escalable y automatizada que mejora la capacidad de nuestro equipo de soporte de primera línea para proporcionar soporte de mitigación de DDoS.
Diseñamos Stonefish para:
- Detecte y filtre el tráfico malo en cuestión de segundos.
- Defiéndese contra una amplia gama de ataques DDoS, desde ataques volumétricos hasta agotamiento de estado, a través de las capas OSI 3 y 4 (los ataques de capa 7 están cubiertos por nuestro WAAP holístico).
- Aproveche nuestra arquitectura de red existente combinada con políticas de detección y mitigación definidas por software.
- Ser implementable a través de un panel único basado en la nube del panel de control de vidrio (con API de gestión disponibles)
- Actualice las reglas de manera eficiente y aplique políticas globalmente en todos nuestros POP casi en tiempo real, además de las reglas creadas automáticamente sobre la marcha en respuesta a los ataques.
Nuestros esfuerzos resultaron en un sistema totalmente automatizado que detecta y bloquea la gran mayoría de los ataques DDoS, proporcionando seguridad y tranquilidad mejoradas.
Arquitectura Stonefish
Adoptar un enfoque definido por software para Stonefish nos permite alojar nuestra mitigación de DDoS en nuestra infraestructura distribuida, permitiendo que cada pop en nuestra red global funcione como un centro de depuración que puede detectar y filtrar el tráfico incorrecto. Stonefish está construido con una arquitectura de software modular, que nos permite agregar fácilmente funcionalidad al sistema contra un panorama de amenazas en constante evolución sin el uso de ningún hardware especializado.
Stonefish aprovecha nuestra masiva red global Anycast. La red de Anycast distribuida globalmente nos permite enrutar el tráfico malicioso al POP más cercano. Esto nos permite mitigar cualquier ataque en el borde cerca de la fuente del ataque antes de que pueda llegar a la red y el centro de datos de un cliente. La mitigación es perfecta, por lo que la mayoría de las veces, los clientes no son conscientes de que están siendo atacados. Nuestros servicios, por su parte, están siempre activados, utilizando valores como la dirección IP/puerto de origen, IP/puerto de destino y campos de paquetes para identificar posibles ataques y detenerlos antes de que puedan causar daños.
Muestreo y puntuación
Todo el tráfico de red entrante es muestreado y analizado por Stonefish. Un sistema de puntuación se utiliza para determinar la gravedad de la maliciosidad y bloquear automáticamente el tráfico malo. Los resultados del análisis también se envían a nuestro SOC 24x7x365 y se evalúan si se necesita una acción adicional. Así es como funciona.
- Un cliente envía una solicitud de contenido a una aplicación orientada a Internet.
- Nuestro router recibe la solicitud y la dirige a nuestra infraestructura de equilibrio de carga.
- Una muestra del tráfico se envía desde los balanceadores de carga a Stonefish.
- Stonefish analiza y califica el tráfico.
- Si se identifica tráfico malicioso, Stonefish envía instrucciones al balanceador de carga para eliminar el tráfico en función de la señal identificada por Stonefish.
- El SOC de Edgio es notificado de un ataque y hará un seguimiento si se necesita más acción.
Mejora de Stonefish
Recientemente hemos mejorado nuestro motor de búsqueda y análisis distribuidos para usar Elasticsearch, que ahora alimenta el “cerebro” de Stonefish. Los datos de Elasticsearch se analizan continuamente en busca de cambios en las métricas de paquetes a través de una aplicación de software personalizada. Nuestro software recupera puntuaciones de intervalos de tiempo y las compara con intervalos anteriores para cambios anómalos o fuera de límites. Cada protocolo tiene una lógica de consulta y detección personalizada para la identificación más precisa posible, como paquetes TCP, UDP o ICMP. Además, hemos estado invirtiendo en tecnología XDP (Express Data Path) en los últimos años y hemos actualizado nuestro muestreo de paquetes para que se realice en la capa XDP. También hemos aprovechado las rutas de datos programables de alto rendimiento en XDP para soltar los paquetes de ataque de manera más efectiva.
Cómo nuestro SOC y Stonefish trabajan juntos
Stonefish es una de las muchas herramientas que nuestro SOC utiliza para monitorear nuestras aplicaciones desde un punto de vista de seguridad y rendimiento. Está integrado en un panel de control que alerta a nuestro equipo de soporte de sofisticados ataques en tiempo real. Mientras que Stonefish bloquea los ataques DDoS automáticamente, también está configurado para alertar de anomalías, lo que involucra a nuestros especialistas en SOC para investigar y tomar medidas.
La mitigación de DDoS está incluida en cada uno de nuestros planes de servicio. Los clientes pueden acceder a nuestro equipo de soporte para asistencia DDoS por teléfono o correo electrónico 24x7x365. El soporte y las escalaciones mejoradas para los ataques DDoS no requieren tarifas o niveles de servicios de seguridad especializados, incluida la mitigación proactiva y el soporte al cliente en el caso de rescate DDoS. Edgio tampoco cobra más si estás bajo ataque, ofreciendo a nuestros clientes precios predecibles (y sin cargos sorpresa).
Stonefish previene un ataque DDoS masivo
El 14 de junio de 2022, Edgio evitó un gran ataque DDoS que midió ~176 millones de paquetes por segundo (Mpps), dirigido a un cliente multinacional de comercio electrónico con sede en Asia. El ataque duró unos 30 minutos y se originó en la UE; nuestra red Anycast repartió rápidamente la carga y mitigó el ataque dentro de la región de la UE a pesar de que la infraestructura de los clientes se encontraba en Asia.
Unas semanas más tarde, Stonefish detectó y detuvo un ataque doble de este tamaño, aprox. 355 Mpps; el cliente, una organización francesa líder, no se vio afectado. Ese ataque fue aproximadamente la mitad del tamaño del ataque DDoS más grande jamás registrado cuando se midió en Mpps.
A pesar de la magnitud masiva de este ataque, fue un evento sin evento para nuestro cliente que no vio ningún impacto en su origen, ya que la red de Edgio absorbió el 100% del tráfico de ataque. Nuestro SOC 24×7 notificó al cliente para informarle a pesar de que no era necesaria ninguna acción por parte de ellos. Edgio tiene una capacidad de 250 Tbps de ancho de banda y es una de las únicas plataformas perimetrales en el mercado que proporciona una seguridad de aplicaciones totalmente completa y protección DDoS L3/4/7, respaldada por nuestro equipo de seguridad gestionada y SOC las 24 horas del día, los 7 días de la semana.
Conclusión
Como una de las plataformas de seguridad más grandes del mundo que procesa más del 4% de todo el tráfico de Internet, defendemos y mitigamos los ataques DDoS contra miles de sitios web de clientes diariamente.
La mitigación de DDoS es solo una capa en una defensa de seguridad efectiva, pero sigue siendo esencial. Construimos Stonefish para defender automáticamente las aplicaciones web de nuestros clientes de ataques de capa 3 y 4 mediante la integración de una pila de software inteligente en nuestro extremo de red masiva que puede detectar y mitigar estas amenazas. Trabajando en conjunto con nuestros equipos de servicio, los clientes tienen soporte DDoS proactivo que puede trabajar con ellos para bloquear los ataques DDoS de todas las capas.
Si está interesado en obtener más información sobre cómo Edgio puede ayudar a su organización a fortalecer su postura de ciberseguridad, póngase en contacto con nosotros hoy mismo para programar una evaluación completa con uno de nuestros expertos.
