Ao operar uma grande rede global que suporta milhares de aplicações web e serviços de streaming de mídia, mitigar ataques distribuídos de negação de serviço (DDoS) faz parte das nossas operações diárias. Ter uma plataforma de mitigação de DDoS resiliente e inteligente é essencial para o funcionamento da nossa rede e para os serviços web que dependem dela.
Para fornecer essa proteção, desenvolvemos a Stonefish, a nossa plataforma de deteção e mitigação DDoS que impede que os ataques da camada 3/4 tenham impactos nas aplicações web dos nossos clientes. A Stonefish é a primeira camada de defesa na solução de segurança holística do Edgio, trabalhando 24 horas por dia, 7 dias por semana, analisando milhões de pacotes por segundo, marcando-os em busca de ameaças, tomando medidas automaticamente quando necessário, e sendo monitorada pela nossa equipa de suporte para que possam realizar análises adicionais e ações mitigativas em tempo real, se necessário.
Em conjunto com a solução de Proteção de API e Web do Edgio (WAAP), o Edgio oferece segurança unificada de várias camadas que é executada em todos os servidores de toda a nossa rede de borda. O Edgio WAAP inclui regras de controlo de acesso (ACL), segurança da API, proteção DDoS da camada de aplicação, gestão avançada de bots, regras de segurança personalizadas, bem como regras de segurança geridas. Cada solicitação está sendo processada por essas camadas de segurança sofisticada com latência mínima. Temos orgulho em fornecer isso aos nossos clientes como um balcão único para detetar e mitigar ataques das camadas 3/4 e 7 para todas as aplicações web que estão por trás da nossa plataforma, melhorando o desempenho e a confiabilidade do seu site através de um único painel de controle.
Objetivos de Design da Stonefish
A Stonefish é uma plataforma de mitigação de DDoS criada especificamente para proteger a nossa rede e infraestrutura e todos os nossos serviços críticos ao cliente que são executados nela. Desenvolvemos a nossa pilha de segurança DDoS usando uma mistura de software de código aberto e personalizado que é executado em Todos os Pontos de Presença (POP), permitindo-nos fornecer uma plataforma DDoS altamente escalável e automatizada que aumenta a capacidade da nossa equipa de suporte de linha de frente para fornecer suporte de mitigação DDoS.
Concebemos a Stonefish para:
- Detecte e filtre o tráfego mau em segundos.
- Defenda-se contra uma ampla gama de ataques DDoS, desde ataques volumétricos até exaustão do estado, nas camadas 3 e 4 do OSI (ataques da camada 7 são cobertos pelo nosso WAAP holístico).
- Potencialize a nossa arquitetura de rede existente combinada com políticas de deteção e mitigação definidas por software.
- Ser implementável através de um painel de controlo de vidro baseado na nuvem (com APIs de gestão disponíveis)
- Atualizar regras de forma eficiente e aplicar políticas globalmente em todos os nossos POPs quase em tempo real, além de regras criadas automaticamente em resposta a ataques.
Os nossos esforços resultaram num sistema totalmente automatizado que deteta e bloqueia a grande maioria dos ataques DDoS, proporcionando maior segurança e paz de espírito.
Stonefish Architecture
Adotar uma abordagem definida por software para a Stonefish permite-nos alojar a nossa mitigação DDoS na nossa infraestrutura distribuída, permitindo que cada pop da nossa rede global funcione como um centro de análise que pode detetar e filtrar o mau tráfego. A Stonefish é construída com uma arquitetura de software modular, que nos permite adicionar facilmente funcionalidades ao sistema contra um cenário de ameaças em constante evolução sem o uso de qualquer hardware especializado.
A Stonefish aproveita a nossa enorme rede global de Anycast. A rede Anycast distribuída globalmente permite-nos encaminhar o tráfego malicioso para o pop mais próximo. Isto permite-nos mitigar qualquer ataque na borda perto da fonte do ataque antes de poder alcançar a rede e o centro de dados de um cliente. A atenuação é perfeita, por isso, na maioria das vezes, os clientes não sabem que estão a ser atacados. Os nossos serviços, entretanto, estão sempre ligados, usando valores como o endereço/porta IP de origem, IP/porta de destino e campos de pacotes para identificar potenciais ataques e pará-los antes que possam causar qualquer dano.
Amostragem e pontuação
Todo o tráfego de entrada da rede é amostrado e analisado pela Stonefish. Um sistema de pontuação é usado para determinar a gravidade da malícia e bloquear automaticamente o mau tráfego. Os resultados da análise também são enviados para o nosso SOC 24 horas por dia, 7 dias por semana, 365 dias por ano e avaliados se é necessária mais ação. Aqui está como funciona.
- Um cliente envia um pedido de conteúdo para uma aplicação voltada para a Internet.
- O nosso router recebe o pedido e encaminha-o para a nossa infraestrutura de equilíbrio de carga.
- Uma amostra do tráfego é enviada dos equilibradores de carga para a Stonefish.
- A Stonefish analisa e marca o tráfego.
- Se for identificado um tráfego malicioso, a Stonefish envia instruções ao balanceador de carga para baixar o tráfego com base no sinal identificado pela Stonefish.
- O SOC de Edgio é avisado de um ataque e irá acompanhar se for necessária mais ação.
Melhoria para a Stonefish
Recentemente, aperfeiçoámos o nosso motor de pesquisa e análise distribuída para usar o Elasticsearch, que agora alimenta o cérebro da Stonefish. Os dados do Elasticsearch são continuamente analisados quanto a mudanças nas métricas de pacotes através de um aplicativo de software personalizado. O nosso software recupera pontuações para intervalos de tempo e compara-as com intervalos anteriores para alterações anômalas ou fora dos limites. Cada protocolo tem uma lógica personalizada de consulta e deteção para a identificação mais precisa possível, como pacotes TCP, UDP ou ICMP. Além disso, temos investido na tecnologia XDP (Express Data Path) nos últimos anos e atualizado a nossa amostragem de pacotes para ser feita na camada XDP. Também aproveitámos os caminhos de dados programáveis de alto desempenho no XDP para largar os pacotes de ataque de forma mais eficaz.
Como o nosso SOC e a Stonefish trabalham juntos
A Stonefish é uma das muitas ferramentas que o nosso SOC usa para monitorizar as nossas aplicações do ponto de vista da segurança e do desempenho. Está integrado num painel de instrumentos que alerta a nossa equipa de suporte de ataques sofisticados em tempo real. Enquanto a Stonefish bloqueia os ataques DDoS automaticamente, ela também está configurada para alertar sobre anomalias, o que envolve nossos especialistas de SOC para investigar e agir.
A atenuação de DDoS está incluída em todos os nossos planos de serviço. Os clientes podem aceder à nossa equipa de suporte para assistência DDoS por telefone ou e-mail 24 horas por dia, 7 dias por semana, 365 dias por ano. O suporte melhorado e as escalações para ataques DDoS não exigem taxas ou níveis de serviço de segurança especializados, incluindo mitigação proativa e suporte ao cliente no caso de resgate DDoS. O Edgio também não cobra mais se você estiver sob ataque, oferecendo aos nossos clientes preços previsíveis (e sem cobranças surpresa).
A Stonefish previne ataques DDoS massivos
Em 14 de junho de 2022, Edgio impediu um grande ataque DDoS medindo cerca de 176 milhões de pacotes por segundo (Mpps) que visava um cliente multinacional de comércio eletrónico com sede na Ásia. O ataque durou cerca de 30 minutos e teve origem na UE; a nossa rede Anycast rapidamente espalhou a carga e mitigou o ataque na região da UE apesar da infraestrutura dos clientes estar localizada na Ásia.
Algumas semanas depois, Stonefish detetou e parou um ataque duplo deste tamanho, aproximadamente 355 Mpps; o cliente, uma organização francesa líder, não foi afetado. Esse ataque era cerca de metade do tamanho do maior ataque DDoS já registado quando medido em Mpps.
Apesar do enorme tamanho deste ataque, foi um não evento para o nosso cliente que não teve qualquer impactos na sua origem, uma vez que a rede de Edgio absorveu 100% do tráfego de ataque. O nosso SOC 24 x 7 notificou o cliente para torná-lo consciente, mesmo que não fosse necessária nenhuma ação. O Edgio tem 250 Tbps de capacidade de largura de banda e é uma das únicas plataformas de ponta do mercado a fornecer uma segurança de aplicações totalmente abrangente e proteção DDoS L3/4/7, apoiada pela nossa equipa de segurança gerida e SOC 24 x 7.
Conclusão
Como uma das maiores plataformas de segurança globais de ponta que processa mais de 4% de todo o tráfego da Internet, defendemos e mitigamos ataques DDoS contra milhares de sites de clientes diariamente.
A atenuação de DDoS é apenas uma camada numa defesa de segurança eficaz, mas continua a ser essencial. Construímos a Stonefish para defender automaticamente as aplicações web dos nossos clientes dos ataques das camadas 3 e 4, integrando uma pilha de software inteligente na nossa enorme margem de rede que pode detetar e mitigar estas ameaças. Trabalhando em conjunto com as nossas equipas de serviços, os clientes têm um suporte DDoS proativo que pode trabalhar com eles para bloquear ataques DDoS de todas as camadas.
Se você está interessado em saber mais sobre como o Edgio pode ajudar sua organização a fortalecer sua postura de segurança cibernética, entre em contato conosco hoje mesmo para agendar uma avaliação abrangente com um de nossos especialistas.