Lorsque nous exploitons un vaste réseau mondial qui prend en charge des milliers d’applications Web et de services de streaming multimédia, la lutte contre les attaques par déni de service distribué (DDoS) fait partie de nos opérations quotidiennes. Disposer d’une plateforme d’atténuation des attaques DDoS résiliente et intelligente est essentiel au fonctionnement de notre réseau et aux services web qui en dépendent.
Pour fournir cette protection, nous avons développé Stonefish, notre plateforme de détection et d’atténuation des attaques DDoS qui empêche les attaques de couche 3/4 d’avoir un impact sur les applications Web de nos clients. Stonefish est la première couche de défense de la solution de sécurité holistique d’Edgio à la périphérie, fonctionnant 24h/24, 7j/7 et 365j/an, analysant des millions de paquets par seconde, les évaluant pour les menaces, prenant automatiquement des mesures si nécessaire et étant surveillé par notre équipe de support afin qu’ils puissent effectuer des analyses supplémentaires et des mesures d’atténuation en temps réel si nécessaire.
En conjonction avec la solution Web and API protection (WAAP) d’Edgio, Edgio fournit une sécurité unifiée multi-couches qui fonctionne sur chaque serveur de l’ensemble de notre réseau périphérique. Edgio WAAP inclut des règles de contrôle d’accès (ACL), la sécurité API, la protection DDoS de la couche application, la gestion avancée des bots, des règles de sécurité personnalisées ainsi que des règles de sécurité gérées. Chaque requête est traitée par ces couches de sécurité sophistiquées avec une latence minimale. Nous sommes fiers de fournir cela à nos clients comme un guichet unique pour détecter et atténuer les attaques de couche 3/4 et 7 pour toutes les applications Web situées derrière notre plate-forme tout en améliorant les performances et la fiabilité de leur site via un panneau de contrôle unique.
Objectifs de conception Stonefish
Stonefish est une plate-forme d’atténuation des attaques DDoS spécialement conçue pour protéger notre réseau et notre infrastructure, ainsi que tous nos services clients critiques qui s’y exécutent. Nous avons développé notre pile de sécurité DDoS en utilisant un mélange de logiciels open source et personnalisés qui s’exécutent sur chaque point de présence (POP), ce qui nous permet de fournir une plateforme DDoS hautement évolutive et automatisée qui améliore la capacité de notre équipe d’assistance de première ligne à fournir une assistance en matière de protection contre les attaques DDoS.
Nous avons conçu stonefish pour:
- Détectez et filtrez le mauvais trafic en quelques secondes.
- Défendez-vous contre un large éventail d’attaques DDoS, des attaques volumétriques à l’épuisement des États, sur les couches OSI 3 et 4 (les attaques de couche 7 sont couvertes par notre WAAP holistique).
- Exploitez notre architecture réseau existante combinée à des politiques de détection et d’atténuation définies par logiciel.
- Déployable via un panneau de contrôle basé sur le cloud, à panneau unique (avec API de gestion disponibles)
- Mettez à jour efficacement les règles et appliquez les politiques à l’échelle mondiale dans tous nos POP en temps quasi réel, en plus des règles créées automatiquement à la volée en réponse aux attaques.
Nos efforts ont abouti à un système entièrement automatisé qui détecte et bloque la grande majorité des attaques DDoS, offrant ainsi une sécurité et une tranquillité d’esprit accrues.
Architecture Stonefish
L’adoption d’une approche logicielle de stonefish nous permet d’héberger notre système de protection contre les attaques DDoS sur notre infrastructure distribuée, permettant ainsi à chaque pop de notre réseau mondial de fonctionner comme un centre de nettoyage capable de détecter et de filtrer le mauvais trafic. Stonefish est construit avec une architecture logicielle modulaire, ce qui nous permet d’ajouter facilement des fonctionnalités au système contre un paysage de menaces en constante évolution sans l’utilisation de matériel spécialisé.
Stonefish exploite notre vaste réseau Anycast mondial. Le réseau Anycast distribué à l’échelle mondiale nous permet d’acheminer le trafic malveillant vers le point de vente le plus proche. Cela nous permet d’atténuer toute attaque à la périphérie près de la source de l’attaque avant qu’elle ne puisse atteindre le réseau et le centre de données d’un client. L’atténuation est transparente, de sorte que la plupart du temps, les clients ne sont pas conscients qu’ils sont attaqués. Nos services, quant à eux, sont toujours activés, en utilisant des valeurs telles que l’adresse IP source/port, l’adresse IP/port de destination et les champs de paquets pour identifier les attaques potentielles et les arrêter avant qu’elles ne causent des dommages.
Échantillonnage et notation
Tout le trafic réseau entrant est échantillonné et analysé par stonefish. Un système de notation est utilisé pour déterminer la gravité de la malveillance et bloquer automatiquement le mauvais trafic. Les résultats de l’analyse sont également envoyés à notre SOC 24x7x365 et évalués si des mesures supplémentaires sont nécessaires. Voici comment cela fonctionne.
- Un client envoie une demande de contenu à une application orientée Internet.
- Notre routeur reçoit la requête et l’achemine vers notre infrastructure d’équilibrage de charge.
- Un échantillon du trafic est envoyé des équilibreurs de charge à stonefish.
- Stonefish analyse et évalue le trafic.
- Si un trafic malveillant est identifié, stonefish envoie des instructions au répartiteur de charge pour supprimer le trafic en fonction du signal identifié par stonefish.
- Le SOC d’Edgio est informé d’une attaque et assurera un suivi si des mesures supplémentaires sont nécessaires.
Amélioration du poisson-pierre
Nous avons récemment amélioré notre moteur de recherche et d’analyse distribué pour utiliser Elasticsearch, qui alimente désormais le « cerveau » de stonefish. Les données Elasticsearch sont continuellement analysées pour détecter les modifications apportées aux métriques de paquets via une application logicielle personnalisée. Notre logiciel récupère les scores pour les intervalles de temps et les compare aux intervalles précédents pour les changements anormaux ou hors limites. Chaque protocole possède une logique de requête et de détection personnalisée pour une identification la plus précise possible, comme les paquets TCP, UDP ou ICMP. De plus, nous avons investi dans la technologie XDP (Express Data Path) au cours des dernières années et nous avons mis à jour notre échantillonnage de paquets pour qu’il soit effectué dans la couche XDP. Nous avons également exploité les chemins de données programmables hautes performances de XDP pour éliminer les paquets d’attaque plus efficacement.
Comment notre SOC et Stonefish travaillent ensemble
Stonefish est l’un des nombreux outils que notre SOC utilise pour surveiller nos applications du point de vue de la sécurité et des performances. Il est intégré dans un tableau de bord qui alerte notre équipe de support en temps réel des attaques sophistiquées. Bien que stonefish bloque automatiquement les attaques DDoS, il est également configuré pour alerter en cas d’anomalies, ce qui engage nos spécialistes SOC à enquêter et à prendre des mesures.
La protection contre les attaques DDoS est incluse dans chacun de nos plans de service. Les clients peuvent accéder à notre équipe de support pour une assistance DDoS par téléphone ou par e-mail 24h/24, 7j/7 et 365j/an. L’amélioration de la prise en charge et des escalades des attaques DDoS ne nécessite pas de taux ou de niveaux de service de sécurité spécialisés, y compris l’atténuation proactive et le support client en cas de rançon DDoS. Edgio ne facture pas plus si vous êtes attaqué non plus, offrant à nos clients des prix prévisibles (et sans frais surprise).
Stonefish empêche les attaques DDoS massives
Le 14 juin 2022, Edgio a empêché une attaque DDoS de grande envergure mesurant environ 176 millions de paquets par seconde (Mpps) qui ciblait un client de commerce électronique multinational basé en Asie. L’attaque a duré environ 30 minutes et a pris naissance dans l’UE ; notre réseau Anycast a rapidement réparti la charge et atténué l’attaque dans la région de l’UE, bien que l’infrastructure du client soit située en Asie.
Quelques semaines plus tard, Stonefish a détecté et stoppé une attaque du double de cette taille, approx. 355 Mpps ; le client, une organisation française de premier plan, n’a pas été affecté. Cette attaque représentait environ la moitié de la plus grande attaque DDoS jamais enregistrée, mesurée en Mpps.
Malgré la taille massive de cette attaque, il s’agissait d’un non-événement pour notre client qui n’a vu aucun impact sur son origine puisque le réseau d’Edgio a absorbé 100% du trafic d’attaque. Notre SOC 24h/24 et 7j/7 a informé le client pour le sensibiliser même si aucune action n’était nécessaire de sa part. Edgio dispose d’une capacité de bande passante de 250 Tbps et est l’une des seules plates-formes périphériques du marché à fournir une sécurité applicative complète et une protection DDoS L3/4/7, prises en charge par notre équipe de sécurité gérée et notre SOC 24h/24, 7j/7.
Conclusion
En tant que l’une des plus grandes plates-formes de sécurité de périphérie au monde qui traite plus de 4 % de tout le trafic Internet, nous défendons et atténuons les attaques DDoS contre des milliers de sites Web de clients chaque jour.
La protection contre les attaques DDoS n’est qu’une couche d’une défense de sécurité efficace, mais elle reste essentielle. Nous avons construit Stonefish pour défendre automatiquement les applications Web de nos clients contre les attaques de couches 3 et 4 en intégrant une pile logicielle intelligente à la périphérie de notre réseau massif qui peut détecter et atténuer ces menaces. En collaboration avec nos équipes de service, les clients bénéficient d’un support DDoS proactif qui peut travailler avec eux pour bloquer les attaques DDoS de toutes les couches.
Si vous souhaitez en savoir plus sur la façon dont Edgio peut aider votre organisation à renforcer sa position en matière de cybersécurité, contactez-nous dès aujourd’hui pour planifier une évaluation complète avec l’un de nos experts.