DDoS-Architekturdiagramme und Whitepaper

Seit mehr als 20 Jahren arbeitet F5 mit Kunden zusammen, um deren Anwendungen vor Distributed-Denial-of-Service-Angriffen (DDoS) zu schützen. Im Laufe der Zeit hat F5 grundlegende Produktfunktionen entwickelt, die dazu beitragen, die Widerstandsfähigkeit von Anwendungen und Diensten gegen DDoS-Angriffe aufrechtzuerhalten. Viele spektakuläre Angriffe seit 2018 haben Dienstanbieter und Managed Service Provider (MSPs), Finanzinstitute und Unternehmen dazu veranlasst, ihre Netzwerke um einen DDoS-Schutz zu erweitern. In Zusammenarbeit mit diesen Kunden hat F5 eine Referenzarchitektur zum DDoS-Schutz entwickelt, die sowohl Cloud- als auch lokale Komponenten umfasst.

Die Referenzarchitektur umfasst mehrere Ebenen lokaler Abwehrmaßnahmen zum Schutz der Schichten 3 bis 7. Die Netzwerkverteidigungsebene schützt DNS und die Schichten 3 und 4. Befreit vom Lärm der Netzwerkangriffe kann die Anwendungsverteidigungsebene ihre CPU-Ressourcen zum Schutz der Anwendungen auf höherer Ebene nutzen. Dieses Design ermöglicht Organisationen die Abwehr aller Arten von DDoS-Angriffen und bietet Vorteile für alle Rechenzentren der Organisation. Schließlich fungiert die Cloud-Komponente der DDoS-Schutzlösung als Ausfallsicherung zur Abwehr volumetrischer Angriffe.

Während sich die DDoS-Bedrohungslandschaft ständig weiterentwickelt, hat F5 festgestellt, dass die Angriffe weiterhin in vier Angriffstypen mit den folgenden Merkmalen unterteilt werden können:

• Volumetrisch – Flood-basierte Angriffe, die auf Ebene 3, 4 oder 7 erfolgen können. Bei Angriffen auf L3–4 handelt es sich normalerweise um gefälschten UDP-Datenverkehr.
• Asymmetrisch – Einseitiger oder zustandsloser UDP-Verkehr.
• Rechnerisch: Angriffe, die auf die Beanspruchung von CPU und Speicher abzielen, normalerweise auf L7 über TCP.
• Auf Schwachstellen basierend: Angriffe, die Schwachstellen in der Software ausnutzen.

Zur Bewältigung dieser unterschiedlichen Kategorien haben sich Abwehrmechanismen entwickelt und namhafte Organisationen haben gelernt, diese in spezifischen Arrangements einzusetzen, um ihre Sicherheitslage zu optimieren. Durch die Zusammenarbeit mit diesen Unternehmen und die Feinabstimmung ihrer Komponenten hat F5 eine empfohlene DDoS-Minderungsarchitektur entwickelt, die den spezifischen Größenanforderungen von Rechenzentren und Branchen gerecht wird.

Die folgende Referenzarchitektur zum DDoS-Schutz basiert auf bekannten Branchenkomponenten. Einige davon werden möglicherweise von anderen Anbietern und Lieferanten bereitgestellt, manche sind jedoch spezifische F5-Komponenten.

Abbildung 1 ordnet die Komponenten der DDoS-Architektur den vier DDoS-Angriffskategorien zu, die sie abschwächen.

Abbildung 1: Zuordnung von DDoS-Abwehrkomponenten zu Angriffsarten

Ein Cloud-basierter DDoS-Scrubbing-Dienst ist eine wichtige Komponente jeder DDoS-Minderungsarchitektur. Wenn ein Angreifer 50 Gbit/s Daten an den 1-Gbit/s-Eingangspunkt einer Organisation sendet, lässt sich dieses Problem durch keine noch so große Menge an Geräten vor Ort lösen. Der Cloud-Dienst, der entweder in einer echten öffentlichen Cloud oder beim Bandbreitendienstanbieter des Unternehmens gehostet wird, löst das Problem, indem er das offensichtlich Schlechte vom wahrscheinlich Guten trennt.

Die Netzwerk-Firewall ist seit langem der Eckpfeiler der Perimetersicherheit. Allerdings sind viele Netzwerk-Firewalls überhaupt nicht resistent gegen DDoS-Angriffe. Tatsächlich können viele der meistverkauften Firewalls mit einfachsten Layer-4-Angriffen deaktiviert werden. Der reine Durchsatz ist nicht die Lösung, wenn die Firewall den Angriff nicht erkennt und abwehrt.

Für ein Sicherheitskontrollgerät auf Basis der Schichten 3 und 4 empfiehlt F5 Architekten die Wahl einer leistungsstarken, DDoS-fähigen Netzwerk-Firewall. Insbesondere sollten Architekten darauf achten, Millionen (nicht Tausende) gleichzeitiger Verbindungen zu unterstützen und in der Lage zu sein, verschiedene Angriffe (z. B. SYN-Floods) abzuwehren, ohne den legitimen Datenverkehr zu beeinträchtigen.

Application Delivery Controller (ADCs) bieten strategische Kontrollpunkte im Netzwerk. Bei richtiger Auswahl, Bereitstellung und Kontrolle können sie die DDoS-Abwehr erheblich stärken. Beispielsweise reduziert die Vollproxy-Natur des F5 ADC rechnerische und auf Schwachstellen basierende Bedrohungen durch die Validierung gängiger Protokolle wie HTTP und DNS. Aus diesen Gründen empfiehlt F5 einen Vollproxy-ADC.

Die Web Application Firewall ist eine Komponente höherer Ebene, die die Sicherheitsrichtlinie der Anwendung versteht und durchsetzt. Diese Komponente kann Angriffe auf Anwendungsebene erkennen und abschwächen, unabhängig davon, ob es sich um volumetrische HTTP-Floods oder auf Schwachstellen basierende Angriffe handelt. Mehrere Anbieter stellen Web Application Firewalls bereit. Für eine effektive DDoS-Architektur empfiehlt F5 allerdings aus folgenden Gründen nur ein eigenes Web Application Firewall-Modul:

• Die F5-Webanwendungsfirewall kann zusätzliche Dienste wie Hacking-Schutz, Web-Scraping-Schutz und PCI-Konformität bereitstellen.
• F5-Kunden profitieren von der Verwendung einer Kombination aus ADC und Web Application Firewall, um gleichzeitig Anwendungsbereitstellungs- und Anwendungssicherheitsrichtlinien anzuwenden.
• Der F5 ADC entlastet und prüft den SSL-Verkehr. Durch die Kombination mit der Web Application Firewall können Kunden die SSL-Terminierung und Sicherheitsanalyse der verschlüsselten Nutzlast in einem Gerät konsolidieren.

Systeme zur Erkennung und Verhinderung von Angriffen (IDS/IPS) können bei der Abwehr von DDoS-Angriffen eine wichtige Rolle spielen. F5 empfiehlt, die IDS/IPS-Funktionalität nicht nur an einem einzigen Standort bereitzustellen (beispielsweise integriert in eine Layer-4-Firewall). Vielmehr sollten IDS/IPS in strategischen Instanzen vor Back-End-Komponenten eingesetzt werden, die möglicherweise spezifischen, zusätzlichen Schutz benötigen, wie etwa eine Datenbank oder ein bestimmter Webserver. Ein IPS ist auch kein Ersatz für eine Web Application Firewall. Die Sicherung von Infrastruktur und Anwendungen ist vergleichbar mit dem Schälen einer Zwiebel. Ein IPS ist darauf ausgelegt, Angriffe auf der obersten Ebene (Protokolle) zu stoppen, während WAFs für den Schutz niedrigerer Ebenen (Anwendungen) ausgelegt sind.

Eine IP-Reputationsdatenbank unterstützt bei der Abwehr asymmetrischer Denial-of-Service-Angriffe, indem sie DDoS-Angreifer daran hindert, bekannte Scanner zum Testen einer Anwendung zu verwenden, um diese später auszunutzen und in sie einzudringen. Eine IP-Reputationsdatenbank kann intern generiert werden oder von einem externen Abonnementdienst stammen.  Die IP-Reputationslösungen von F5 kombinieren Informationen aus Open-Source-Informationen (OSINT), F5-Daten und Feeds von Drittanbietern, um eine breite Abdeckung bösartiger Domänen zu gewährleisten.

F5 empfiehlt eine Hybrid-Cloud/On-Premises-DDoS-Lösung. Volumetrische Angriffe werden durch F5 Silverline DDoS Protection abgeschwächt – ein Dienst, der über die Cloud-basierte Plattform F5 Silverline bereitgestellt wird. Silverline DDoS Protection analysiert und entfernt den Großteil des Angriffsverkehrs.

Manchmal kann eine DDoS-Kampagne Angriffe auf Anwendungsebene umfassen, die vor Ort bekämpft werden müssen. Diese asymmetrischen und rechnergestützten Angriffe können durch den Einsatz von Netzwerk- und Anwendungsverteidigungsebenen abgeschwächt werden. Die Netzwerkverteidigungsebene besteht aus L3- und L4-Netzwerk-Firewalldiensten und einem einfachen Lastausgleich für die Anwendungsverteidigungsebene. Die Anwendungsverteidigungsebene besteht aus anspruchsvolleren (und CPU-intensiveren) Diensten, einschließlich SSL-Terminierung und einem Web Application Firewall-Stack.

Die Trennung von Netzwerk- und Anwendungsschutz für den lokalen Teil der DDoS-Schutzarchitektur bietet überzeugende Vorteile.

• Die Netzwerk- und Anwendungsschutzebenen können unabhängig voneinander skaliert werden. Wenn beispielsweise die Nutzung der Web Application Firewall zunimmt, kann der Anwendungsebene ein weiteres Gerät (oder Blade) hinzugefügt werden, ohne dass dies Auswirkungen auf die Netzwerkebene hat.
• Die Netzwerk- und Anwendungsverteidigungsebenen können unterschiedliche Hardwareplattformen und sogar unterschiedliche Softwareversionen verwenden.
• Wenn auf der Anwendungsverteidigungsebene neue Richtlinien angewendet werden, kann die Netzwerkverteidigungsebene nur einen Teil des Datenverkehrs an die neuen Richtlinien weiterleiten, bis diese vollständig validiert sind.

Abbildung 3 zeigt die Komponenten, die zum Bereitstellen bestimmter Funktionen erforderlich sind. Zu den F5-Komponenten der DDoS-Schutz-Referenzarchitektur gehören:

• Silverline DDoS-Schutz
• BIG-IP® AFM™ (AFM)
• BIG-IP® Local Traffic Manager™ (LTM)
• BIG-IP® DNS™ mit DNS Express™
• BIG-IP® Advanced Web Application Firewall ™ (Erweiterte WAF)

Abbildung 3: Zuordnung von F5-Komponenten zu DDoS-Minderungsfunktionen

Während die mehrschichtige Architektur in Umgebungen mit hoher Bandbreite bevorzugt wird, ist sich F5 darüber im Klaren, dass für viele Kunden der Aufbau mehrerer DDoS-Schichten in Umgebungen mit geringer Bandbreite übertrieben sein kann. Diese Kunden setzen ein Perimetergerät zur DDoS-Abwehr ein, das die Anwendungsbereitstellung mit Netzwerk- und Web Application Firewall-Diensten konsolidiert.

Die hier empfohlenen Vorgehensweisen gelten weiterhin. Verweise auf Netzwerk- und Anwendungsverteidigungsebenen können einfach auf die einzelne, konsolidierte Ebene in der alternativen Architektur angewendet werden.

Für Unternehmen besteht die Gefahr groß angelegter volumetrischer DDoS-Angriffe, die die Kapazität ihrer internetseitigen Eingangsbandbreite überfordern können. Zur Abwehr dieser Angriffe können sie eine Routenänderung (mit einer BGP-Routenankündigung) vornehmen, um eingehenden Datenverkehr an Rechenzentren mit hoher Bandbreite umzuleiten, die bösartigen Datenverkehr filtern und den sauberen, bereinigten Datenverkehr an das ursprüngliche Rechenzentrum der Organisation zurücksenden können. 

Zu den Faktoren, die die Wahl eines Cloud-DDoS-Anbieters beeinflussen können, gehören der geografische Standort der Scrubbing-Einrichtungen, die Bandbreitenkapazität, die Latenz, die Zeit bis zur Schadensbegrenzung und der Lösungswert. Wie Abbildung 4 zeigt, kann die Bandbreitennutzung bei DDoS-Angriffen mehrere Hundert Gbit/s betragen, wodurch die Gefahr einer völligen Überlastung der Infrastruktur besteht.

In einigen Fällen kann die Bearbeitung eingehender Anfragen länger dauern, wenn sich ein Cloud Scrubber nicht in der Nähe des Rechenzentrums der Organisation über ein Scrubbing-Center befindet. Um potenzielle Latenzen zu reduzieren, sollten MSPs und andere globale Unternehmen Cloud-Scrubber nutzen, die strategisch in den Regionen platziert werden, in denen ihre Aktivitäten von Angriffen betroffen sein können.

Die Aufrechterhaltung der Verfügbarkeit gegen volumetrische Angriffe hängt sowohl von der globalen Abdeckung – Rechenzentren in Nordamerika, Europa und Asien – als auch von Terabits globaler Kapazität oder Hunderten von Gigabits pro Zentrum ab.

Organisationen sagen, dass der wahre Wert eines Cloud Scrubbers erst nach der Angriffskampagne erkannt wird. Zu den Fragen, die ihre Zufriedenheit ermitteln, gehören:

• War es teuer?
• Wie hoch war die Anzahl der Falschmeldungen?
• Hatten wir Einblick und Kontrolle über die Bereitstellung des legitimen Datenverkehrs?

Organisationen können das Abonnement „Silverline DDoS Protection Always Available“ verwenden, um den Datenverkehr über F5 Silverline umzuleiten, wenn ein DDoS-Angriff erkannt wird. Alternativ kann das Silverline DDoS Protection Always On-Abonnement den Datenverkehr jederzeit über F5 Silverline leiten, um eine höhere Verfügbarkeit der Netzwerke und Anwendungen des Unternehmens sicherzustellen.

Silverline DDoS Protection verfügt über zwei Hauptbereitstellungsmodelle: gerouteter Modus und Proxy-Modus.

Der geroutete Modus ist für Unternehmen gedacht, die ihre gesamte Netzwerkinfrastruktur schützen müssen. Silverline DDoS Protection verwendet das Border Gateway Protocol (BGP), um den gesamten Datenverkehr an sein Scrubbing- und Schutzcenter umzuleiten, und nutzt einen Generic Routing Encapsulation (GRE)-Tunnel/L2 VPN/Equinix Cloud Exchange, um den sauberen Datenverkehr zurück an das Ursprungsnetzwerk zu senden. Der geroutete Modus ist ein skalierbares Design für Unternehmen mit großen Netzwerkbereitstellungen. Es erfordert keine anwendungsspezifische Konfiguration und bietet eine einfache Möglichkeit, den Silverline DDoS-Schutz ein- oder auszuschalten.

Der Proxy-Modus ist für Unternehmen gedacht, die ihre Anwendungen vor volumetrischen DDoS-Angriffen schützen müssen, aber nicht über ein öffentliches Netzwerk der Klasse C verfügen. DNS wird verwendet, um den gesamten Datenverkehr an die Scrubbing-Center von F5 Silverline weiterzuleiten. Sauberer Datenverkehr wird über das öffentliche Internet an die Ursprungsserver der Anwendung gesendet.

Zu den von Silverline DDoS Protection verwendeten Methoden für den Rückverkehr gehören:

• GRE-Tunnel.
• Equinix Cloud-Austausch.
• L2-VPN.
• Öffentliches Internet.

Abbildung 4 zeigt, dass in den Jahren 2019–2020 der Rekord für den weltweit größten DDoS-Angriff mehrmals gebrochen wurde. Um eine solche Bandbreitennutzung zu erreichen, verwendeten diese Angriffe eine Kombination aus Flood-Angriffen (z. B. ACK, NTP, RESET, SSDP, SYN und UDP) zusammen mit TCP-Anomalie, UDP-Fragment und CLDAP-Reflexion von Tausenden unwissentlicher öffentlicher Internet-Posts an ein beabsichtigtes Opfer. 

Die Netzwerkverteidigungsebene ist um die Netzwerk-Firewall herum aufgebaut. Es wurde entwickelt, um rechnergestützte Angriffe wie SYN-Floods und ICMP-Fragmentierungs-Floods abzuschwächen. Diese Ebene mildert auch volumetrische Angriffe bis zur Überlastung des Eintrittspunkts (normalerweise 80 bis 90 Prozent der Nennrohrgröße). Viele Organisationen integrieren ihre IP-Reputationsdatenbanken auf dieser Ebene und können im Falle eines DDoS-Angriffs die IP-Adressen nach Quelle kontrollieren.

Einige Organisationen leiten DNS über die erste Ebene an einen DNS-Server in der DMZ weiter. In dieser Konfiguration können sie mit den richtigen Layer-4-Steuerelementen DNS-Pakete validieren, bevor sie diese an den Server senden.

Für Unternehmen, deren Strategie die Virtualisierung in den Vordergrund stellt, kann es eine Herausforderung sein, DDoS-Angriffe abzuwehren, die auf ihre virtualisierte Infrastruktur abzielen, ohne speziell dafür entwickelte Hardware. Virtualisierten Sicherheitslösungen, die auf x86-COTS-Servern ausgeführt werden, fehlt oft die Hochleistungsfähigkeit von kundenspezifischen Appliances, wodurch eine effektive softwarezentrierte DDoS-Abwehr in vielen Fällen nahezu unmöglich wird.

Die F5-Lösung für diese Herausforderung nutzt eine neue Generation von Netzwerkschnittstellenkarten (NICs) – bekannt als SmartNICs – um die BIG-IP AFM Virtual Edition (VE)-Lösung zu stärken. Durch die Programmierung eines eingebetteten Hochleistungs-FPGA in diesen SmartNICs zum Erkennen und Blockieren von DDoS-Angriffen, bevor diese BIG-IP VE und Anwendungsserver erreichen, ist F5 in der Lage, um Größenordnungen größere Angriffe – bis zu 300-mal – zu blockieren als jede vergleichbare reine Softwarelösung zum Onlinehalten von Apps. Durch die Auslagerung der DDoS-Abwehr von BIG-IP AFM VE auf eine SmartNIC werden nicht nur VE-CPU-Zyklen zur Optimierung anderer Sicherheitsfunktionen (wie WAF oder SSL) freigegeben, sondern auch die Gesamtbetriebskosten können um bis zu 47 Prozent gesenkt werden.

Bei Layer-4-Angriffen können TCP-Verbindungsfluten jedes Stateful-Gerät im Netzwerk beeinträchtigen, insbesondere Firewalls, die nicht DDoS-resistent sind. Der Angriff zielt darauf ab, den Speicher der Flow-Verbindungstabellen in jedem Stateful-Gerät zu verbrauchen. Oft sind diese Verbindungsfluten leer und enthalten keinen wirklichen Inhalt. Sie können in Verbindungstabellen mit hoher Kapazität in der Netzwerkebene aufgenommen oder durch Vollproxy-Firewalls abgeschwächt werden.

SSL-Verbindungsfluten sind speziell darauf ausgelegt, die Geräte anzugreifen, die verschlüsselten Datenverkehr beenden. Aufgrund des kryptografischen Kontexts, der aufrechterhalten werden muss, kann jede SSL-Verbindung 50.000 bis 100.000 Byte Speicher verbrauchen. Dies macht SSL-Angriffe besonders schmerzhaft.

F5 empfiehlt sowohl die Kapazität als auch die Vollproxytechnik zur Minderung von TCP- und SSL-Verbindungsfluten. Abbildung 7 zeigt die Verbindungskapazität von F5-basierten Netzwerk-Firewalls.

Abbildung 7: Die Verbindungskapazität von F5-Hardwareplattformen

Auf der Anwendungsverteidigungsebene empfiehlt F5 die Bereitstellung anwendungsbewusster, CPU-intensiver Verteidigungsmechanismen wie Login-Walls, Web Application Firewall-Richtlinien und dynamischer Sicherheitskontext mithilfe von F5 iRules. Diese Komponenten teilen sich häufig den Rack-Platz mit gezielten IDS/IPS-Geräten dieser Ebene.

Hier findet normalerweise auch die SSL-Terminierung statt. Während einige Organisationen SSL auf der Ebene der Netzwerkverteidigung beenden, kommt dies seltener vor, da SSL-Schlüssel empfindlich sind und es Richtlinien gibt, die eine Aufbewahrung im Sicherheitsbereich verbieten.

Rekursive GETs und POSTs zählen heutzutage zu den gefährlichsten Angriffen. Es kann sehr schwierig sein, sie vom legitimen Datenverkehr zu unterscheiden. GET-Floods können Datenbanken und Server überlasten und auch eine „Reverse Full Pipe“ verursachen. F5 hat einen Angreifer aufgezeichnet, der GET-Anfragen mit 100 Mbit/s an ein Ziel schickte und Daten mit 20 Gbit/s herausbrachte.

Zu den Minderungsstrategien für GET-Überschwemmungen gehören:

• Die Login-Wall-Verteidigung.
• DDoS-Schutzprofile.
• Echte Browserdurchsetzung.
• CAPTCHA.
• iRules zur Anforderungsdrosselung.
• Benutzerdefinierte iRules.

Die Konfiguration und Einrichtung dieser Strategien finden Sie in der Dokumentation „Empfohlene Vorgehensweisen für F5 DDoS“.

DNS ist nach HTTP der am zweithäufigsten angegriffene Dienst. Bei einer DNS-Störung sind alle externen Rechenzentrumsdienste (nicht nur eine einzelne Anwendung) betroffen. Dieser einzelne Totalausfallpunkt sowie die häufig unzureichend ausgestattete DNS-Infrastruktur machen DNS zu einem verlockenden Ziel für Angreifer.

DNS-Dienste waren in der Vergangenheit unterversorgt. Ein erheblicher Prozentsatz der DNS-Bereitstellungen ist derart unterversorgt, dass sie selbst kleinen bis mittleren DDoS-Angriffen nicht standhalten können.

DNS-Caches erfreuen sich zunehmender Beliebtheit, da sie die wahrgenommene Leistung eines DNS-Dienstes steigern und eine gewisse Widerstandsfähigkeit gegen standardmäßige DNS-Abfrageangriffe bieten können. Angreifer sind zu sogenannten „No Such Domain“-Angriffen (oder NXDOMAIN) übergegangen, die die Leistungsvorteile des Caches schnell aufzehren.

Um dies zu beheben, empfiehlt F5, den BIG-IP DNS Domain Name Service mit dem speziellen, leistungsstarken DNS-Proxy-Modul namens F5 DNS Express™ zu versehen. DNS Express fungiert als absoluter Resolver vor den bestehenden DNS-Servern. Es lädt die Zoneninformationen von den Servern und löst jede einzelne Anfrage auf oder gibt NXDOMAIN zurück. Es handelt sich nicht um einen Cache und kann nicht über NXDOMAIN-Abfragefluten geleert werden.

Oftmals besteht der DNS-Dienst als eigener Gerätesatz abseits des ersten Sicherheitsbereichs. Dies geschieht, um DNS unabhängig von den Anwendungen zu halten, die es bedient. Wenn beispielsweise ein Teil des Sicherheitsbereichs ausfällt, kann DNS Anfragen an ein sekundäres Rechenzentrum oder in die Cloud umleiten. Die Trennung von DNS von den Sicherheits- und Anwendungsebenen kann eine effektive Strategie zur Wahrung maximaler Flexibilität und Verfügbarkeit sein.

Einige große Unternehmen mit mehreren Rechenzentren stellen DNS außerhalb des Hauptsicherheitsbereichs bereit, indem sie eine Kombination aus BIG-IP DNS mit DNS Express und dem BIG-IP AFM-Firewall-Modul verwenden. Der Hauptvorteil dieses Ansatzes besteht darin, dass die DNS-Dienste auch dann verfügbar bleiben, wenn die Netzwerkverteidigungsebene aufgrund von DDoS offline geht.

Unabhängig davon, ob DNS innerhalb oder außerhalb der DMZ bereitgestellt wird, können entweder BIG-IP DNS oder BIG-IP AFM die DNS-Anfragen validieren, bevor sie den DNS-Server erreichen.

Nachfolgend sind drei Anwendungsfälle für die Referenzarchitektur aufgeführt, die drei typischen Kundenszenarien entsprechen:

1. Managed Service Provider (Mobilität oder Festnetz)
2. Rechenzentrum großer Finanzdienstleistungsinstitute (FSI)
3. Unternehmensrechenzentrum

Jeder Anwendungsfall unten enthält ein Diagramm des Bereitstellungsszenarios, eine kurze Beschreibung der Besonderheiten des Anwendungsfalls und empfohlene F5-Komponenten innerhalb dieses Szenarios. Weitere Informationen zur Größe finden Sie auch in Abbildung 14.

Beim MSP-Rechenzentrums-Anwendungsfall geht es darum, Sicherheit für eine Vielzahl von Anwendungen bereitzustellen und gleichzeitig den Wert der Rechenzentrumsressourcen zu maximieren. Der Return-on-Investment (ROI) ist für MSPs von entscheidender Bedeutung, da sie häufig alles von einem Gerät aus erledigen möchten, wenn sie dazu während eines DDoS-Angriffs offline gehen können und bereit sind.

Für diesen Anwendungsfall setzt der MSP alles auf eine Karte. Dies wäre die kosteneffizienteste Lösung, würde aber auch die größte Herausforderung hinsichtlich der Verfügbarkeit mit sich bringen.

Andererseits gewinnt das Unternehmen an Effizienz, indem es spezialisierte Ressourcen mit umfassendem Wissen auf einer einzigen Plattform konzentriert. F5 bietet hochverfügbare Systeme, überlegene Skalierbarkeit und Leistung sowie erstklassigen Support, die dazu beitragen, das Risiko weiter abzumildern.

Der größte Vorteil dieser konsolidierten Architektur besteht sicherlich in der finanziellen Einsparung. Eine überlegene DDoS-Lösung nutzt Geräte, die bereits im Einsatz sind und täglich umsatzgenerierende Anwendungen bereitstellen. Die konsolidierte Umgebung hilft, Rack-Platz, Strom und Verwaltungsaufwand zu sparen.

Abbildung 9: Größenempfehlungen für das MSP-Bereitstellungsszenario

Das Szenario mit großen FSI-Rechenzentren ist ein ausgereifter und anerkannter Anwendungsfall für DDoS-Schutz. Normalerweise arbeitet das FSI mit mehreren Dienstanbietern zusammen, verzichtet aber möglicherweise zugunsten eines anderen Scrubbing-Dienstes auf die volumetrischen DDoS-Angebote dieser Anbieter. Viele von ihnen verfügen möglicherweise auch über einen Backup-Cloud-Scrubber als Absicherung für den Fall, dass ihr primärer Cloud-Scrubber ausfällt, um volumetrische DDoS-Angriffe abzuwehren.

Im FSI-Rechenzentrum sind häufig nur wenige Unternehmensmitarbeiter beschäftigt, sodass keine Firewall der nächsten Generation erforderlich ist.

Außerhalb der militärischen Bundeseinrichtungen verfolgen die FSIs die strengsten Sicherheitsrichtlinien. Beispielsweise müssen fast alle FSIs die Nutzlast im gesamten Rechenzentrum verschlüsselt halten. FSIs verfügen über die wertvollste Anlageklasse (Bankkonten) im Internet und sind daher häufige Ziele – nicht nur für DDoS-Angriffe, sondern auch für Hacker. Die zweistufige lokale Architektur ermöglicht es FSI-Organisationen, ihre CPU-intensive, umfassende Sicherheitsrichtlinie auf der Anwendungsebene unabhängig von ihren Investitionen in die Netzwerkebene zu skalieren.

Dieser Anwendungsfall ermöglicht es FSIs, eine DDoS-resistente Lösung zu erstellen und gleichzeitig die Sicherheitsausrüstung, die sie bereits haben, beizubehalten (und sogar zu nutzen). Die Firewalls auf der Netzwerkverteidigungsebene erfüllen weiterhin ihre Aufgabe und die BIG-IP-Geräte auf der Anwendungsverteidigungsebene verhindern weiterhin Sicherheitsverletzungen.

Abbildung 11: Größenempfehlungen für das FSI-Bereitstellungsszenario

Das Anti-DDoS-Szenario für Unternehmen ähnelt dem großen FSI-Szenario. Der Hauptunterschied besteht darin, dass Unternehmen Personal im Rechenzentrum haben und daher die Dienste einer Firewall der nächsten Generation (NGFW) benötigen. Sie könnten versucht sein, eine einzige NGFW für Ein- und Ausgang zu verwenden, dies macht sie jedoch anfällig für DDoS-Angriffe, da NGFWs nicht dafür ausgelegt sind, sich entwickelnde oder mehrvektorielle DDoS-Angriffe abzuwehren.

F5 empfiehlt Unternehmen, sich mit einem Cloud Scrubber wie F5 Silverline vor volumetrischen DDoS-Angriffen zu schützen. Vor Ort umfasst die empfohlene Unternehmensarchitektur eine kleinere NGFW auf einem vom eingehenden Anwendungsverkehr getrennten Pfad. Durch die Verwendung einer Netzwerk- und einer Anwendungsverteidigungsebene können Unternehmen die Vorteile einer asymmetrischen Skalierung nutzen und weitere F5 WAF-Geräte hinzufügen, wenn sie feststellen, dass die CPU-Kapazität knapp ist.

Verschiedene Branchen und Unternehmen haben unterschiedliche Anforderungen. Durch die Verwendung von F5-Geräten auf beiden Ebenen ermöglicht die Unternehmensarchitektur den Kunden, zu entscheiden, wo es am sinnvollsten ist, den SSL-Verkehr zu entschlüsseln (und optional erneut zu verschlüsseln). Beispielsweise kann ein Unternehmen SSL auf der Netzwerkverteidigungsebene entschlüsseln und den entschlüsselten Datenverkehr an einen Netzwerk-Tap spiegeln, der auf erweiterte Bedrohungen überwacht.

Abbildung 13: Größenempfehlungen für das Bereitstellungsszenario bei Unternehmenskunden

Abbildung 14 zeigt die Spezifikationen für die Palette der F5-Hardwaregeräte, die zum Erfüllen der Skalierungsanforderungen von Organisationen verfügbar sind.

Abbildung 14: F5-Hardwarespezifikationen für DDoS-Schutz. Spezifische Empfehlungen finden Sie in den Anwendungsfällen.

Diese empfohlene Referenzarchitektur zum DDoS-Schutz basiert auf der langjährigen Erfahrung von F5 im Kampf gegen DDoS-Angriffe bei seinen Kunden. Dienstanbieter haben mit einem konsolidierten Ansatz Erfolg. Globale Finanzdienstleistungsinstitute erkennen, dass die empfohlene Hybridarchitektur die ideale Platzierung für alle ihre Sicherheitskontrollen darstellt. Unternehmenskunden ordnen und strukturieren ihre Sicherheitskontrollen ebenfalls anhand dieser Architektur neu. Auf absehbare Zeit sollte eine hybride DDoS-Schutzarchitektur weiterhin die Flexibilität und Verwaltbarkeit bieten, die Architekten zur Bekämpfung der modernen DDoS-Bedrohung benötigen.