BLOG | BÜRO DES CTO

Skalierung des DDoS-Schutzes am Rand

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 13. Oktober 2020


Angriffe sind, wie auch anderer Internetverkehr, bis zu einem gewissen Grad vorhersehbar. Montagmorgens Ansturm auf die Anmeldung nach dem Wochenende. Nach der Schule platzt der Unterricht, da sich die Kinder bei Online-Spielen anmelden. Feiertagsbedingte Anstiege, da Käufer verzweifelt versuchen, online „das perfekte Geschenk“ zu finden. Saisonale und branchenbezogene Muster sind seit Jahren bekannt und werden von Sicherheitsexperten vorhergesehen.

Doch das Jahr 2020 widersetzte sich diesem Trend, und statt des üblichen saisonalen Rückgangs der DDoS-Angriffe zeigten die Berichte einen Anstieg. So stieg beispielsweise die durchschnittliche Zahl der Angriffe pro Tag im zweiten Kalenderquartal 2020 an und erreichte (9. April) fast 300 Angriffe pro Tag. Im ersten Quartal lag der Tagesrekord bei 242 Angriffen. Diese Anomalie wird auf die abrupte Umstellung der Belegschaft auf Remote-Arbeit zurückgeführt.

Zwar sind neue DDoS-Angriffsmuster aufgetaucht, doch stimmt auch, dass DDoS-Angriffe auf der Infrastrukturebene immer noch DDoS-Angriffe sind. Es handelt sich dabei um das, was wir als „traditionelle“ Angriffe bezeichnen könnten. Was sich ändert, sind die Ziele und Möglichkeiten, die eine verteilte Belegschaft mit sich bringt.

Es bestehen Befürchtungen, dass parallel zu 5G-Netzwerken eine neue Generation hyperskaliger DDoS-Bedrohungen entsteht. Diese Bedenken werden dadurch verstärkt, dass Edge zunehmend als strategische Lösung für die wachsende Herausforderung erscheint, die Verfügbarkeit und Leistung von Anwendungen für eine Belegschaft aufrechtzuerhalten, die offenbar immer häufiger dauerhaft an entfernten Standorten und verteilt arbeitet.

Dies ist eine existenzielle Herausforderung. Über 15 % der Remote-Mitarbeiter haben täglich Verbindungsprobleme, bei über der Hälfte (52 %) ist dies sogar monatlich der Fall. ( Waveform, Bericht April 2020 ) Die größte Herausforderung für CIOs im Jahr 2020 bestand darin, die Anwendungsleistung (66 %) und die Netzwerkzuverlässigkeit (63 %) aufrechtzuerhalten. ( Catchpoint, CIO New Normal Survey, 2020) Verbraucher stehen vor ähnlichen Herausforderungen hinsichtlich Konnektivität, Leistung und Verfügbarkeit von Anwendungen aus den Bereichen Versorgungswirtschaft, Banken, Einzelhandel und Gastronomie, die schnell auf ein Digital-First- (oder rein digitales) Modell umgestiegen sind. Dass ein massiver Angriff diese Frustrationen noch verstärken kann, ist nicht unerheblich.

Das Ausmaß solcher Angriffe – die durchschnittliche Größe eines DDoS-Angriffs im Jahr 2019 betrug 12 Gbit/s – ist bereits überwältigend, und es bedarf neuer Technologien, um dieser wachsenden Bedrohung zu begegnen. Aber Platz und Ressourcen sind immer noch begrenzt. Schließlich könnte es sich bei „The Edge“ auch um einen Hauswirtschaftsraum am Fuße eines abgelegenen Mobilfunkmasts handeln. Dies ist keine erstklassige Rechenzentrumsimmobilie. Aufgrund der Platzbeschränkungen und der Remote-Natur von Edge-Computing ist der traditionelle Ansatz, das Problem mit mehr Hardware zu lösen, nicht zielführend.

Ein moderner Ansatz besteht darin, das Problem mit intelligenterer Hardware zu lösen.

Es gibt bereits einen wachsenden Markt für Lösungen, die durch den Einsatz spezieller Hardware beschleunigt werden. Im aufstrebenden KI- und ML-Bereich übernehmen GPUs unserer Ansicht nach die Rolle der Beschleunigung der komplexen mathematischen Berechnungen, die für schnellere und intelligentere Analysen erforderlich sind. Im Netzwerkbereich sehen wir ähnliche Ansätze in Form eines FPGA. Der Intel PAC N3000 ist ein solches Gerät, das es F5 ermöglicht hat, seine über zehnjährige Erfahrung in der FPGA-Programmierung anzuwenden, um eingehende DDoS-Angriffe effizienter zu blockieren.

Tests unserer Lösung im Vergleich zu reinen Softwareoptionen zeigten, dass die FPGA-fähige Option einem bis zu 300-mal stärkeren DDoS-Angriff standhalten kann.

Und weil die Lösung das nutzt, was allgemein als SmartNIC bezeichnet wird, ist kein zusätzlicher Rack-Platz oder zusätzliche Hardware erforderlich. Es ist keine dedizierte Hardware erforderlich, um die Vorteile einer hardwaregestützten Lösung zu nutzen. Dadurch eignet es sich besser für Dienstanbieter, die aufgrund von Personalverlagerungen und der laufenden 5G-Einführung mit einem exponentiellen Anstieg des Datenverkehrs konfrontiert sind.

Eine Softwareoption, die mit einer Netzwerkkarte gekoppelt werden kann, macht es außerdem zu einer wesentlich besseren Wahl für die Bereitstellung an Edge-Standorten, wo Platz- und Ressourcenbeschränkungen groß angelegte Hardwarebereitstellungen unhaltbar machen.

Die Frage der Leistung und Zuverlässigkeit an den Schnittstellen des Internets – in unseren Häusern und nun offenbar auch an unseren Arbeitsplätzen – wird weiterhin eine Herausforderung bleiben. Um dieses Problem zu lösen, sind neue Herangehensweisen an diese traditionellen Probleme erforderlich. Einer dieser Ansätze besteht darin, intelligentere Hardware zu nutzen, um Lösungen an Edge-Standorten mit beschränkten Ressourcen zu skalieren.

In diesem Blog erfahren Sie mehr darüber, wie F5 die Sicherheit am Edge skaliert.