BLOG | OFICINA DEL CTO

Escalando la protección contra DDoS en el borde

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 13 de octubre de 2020


Los ataques, al igual que cualquier otro tráfico transmitido por Internet, son bastante predecibles. El lunes por la mañana hay prisas para iniciar sesión después del fin de semana. Después de la escuela estalla el caos cuando los niños se conectan a los juegos en línea. Las compras aumentan con las festividades, ya que los compradores intentan desesperadamente encontrar "el regalo perfecto" en línea. Los investigadores han reconocido patrones estacionales y relacionados con la industria y los profesionales de seguridad los han anticipado durante años.

Pero 2020 se opuso a esas tendencias y, en lugar de la tradicional disminución estacional de los ataques DDoS, los informes mostraron un aumento. Es decir, el número promedio de ataques por día aumentó durante el segundo trimestre calendario de 2020 , alcanzando casi 300 ataques por día (9 de abril). En el primer trimestre, el récord diario fue de 242 ataques. Esta anomalía se ha atribuido al cambio abrupto hacia una fuerza laboral remota.

Si bien es cierto que han surgido nuevos patrones de ataques DDoS, también es cierto que los ataques DDoS a la capa de infraestructura siguen siendo ataques DDoS. Son lo que podríamos llamar ataques “tradicionales”. Lo que está cambiando son los objetivos y las oportunidades que conlleva una fuerza laboral distribuida.

Existen temores de que surja una nueva generación de amenazas DDoS a gran escala junto con las redes 5G. Estas preocupaciones se agravan a medida que Edge parece ser cada vez más una solución estratégica al creciente desafío de mantener la disponibilidad y el rendimiento de las aplicações para lo que parece ser una fuerza laboral permanentemente más remota y distribuida.

Éste es un desafío existencial. Más del 15% de los trabajadores remotos experimentan problemas de conectividad a diario, y más de la mitad (52%) experimenta problemas mensualmente. ( Waveform, informe de abril de 2020 ) El mayor desafío que enfrentaron los CIO en 2020 fue mantener el rendimiento de las aplicação (66%) y la confiabilidad de la red (63%). ( Catchpoint, CIO New Normal Survey, 2020) Los consumidores enfrentan desafíos similares con la conectividad, el rendimiento y la disponibilidad de aplicações de las industrias de servicios públicos, banca, comercio minorista y culinaria que han realizado una rápida transición a un modelo digital primero (o solo digital). La capacidad de un ataque significativo para exacerbar estas frustraciones no es trivial.

La escala de tales ataques (el tamaño promedio de un ataque DDoS en 2019 fue de 12 Gbps) ya es abrumadora y existe la necesidad de nuevas tecnologías para abordar esta creciente amenaza. Pero el espacio y los recursos todavía son limitados. Después de todo, The Edge podría ser un cuarto de servicio en la base de una torre de telefonía celular remota. Este no es un espacio de centro de datos de primera calidad. Las limitaciones de espacio y la naturaleza remota de la computación de borde hacen que el enfoque tradicional de "incorporar más hardware al problema" no sea viable.

Un enfoque moderno es utilizar hardware más inteligente para resolver el problema.

Ya existe un mercado creciente de soluciones que se aceleran utilizando hardware especializado. En el espacio emergente de IA y ML, vemos que las GPU asumen el papel de acelerar los cálculos matemáticos complejos necesarios para impulsar análisis más rápidos e inteligentes. En el espacio de la red, estamos viendo enfoques similares que toman la forma de un FPGA. El Intel PAC N3000 es uno de esos dispositivos que ha permitido a F5 aplicar sus más de diez años de experiencia en programación FPGA para bloquear de forma más eficiente los ataques DDoS entrantes.

Las pruebas de nuestra solución frente a opciones de solo software demostraron que la opción habilitada para FPGA puede soportar un ataque DDoS hasta 300 veces mayor en magnitud .

Además, debido a que la solución aprovecha lo que comúnmente se conoce como SmartNIC, no hay necesidad de espacio en rack ni hardware adicional. No es necesario contar con hardware dedicado para aprovechar los beneficios de una solución asistida por hardware. Esto lo hace más adecuado para los proveedores de servicios que enfrentan un crecimiento exponencial del tráfico debido al cambio en la fuerza laboral y la implementación continua de 5G.

Una opción de software que se combina con una NIC también la convierte en una opción infinitamente mejor para la implementación en ubicaciones de Edge, donde las limitaciones de espacio y recursos hacen que las implementaciones de hardware a gran escala sean insostenibles.

La cuestión del rendimiento y la confiabilidad en el borde de Internet (nuestros hogares y ahora, al parecer, nuestros espacios de trabajo) seguirá siendo un desafío. Para abordarlo serán necesarios nuevos enfoques para estos problemas tradicionales. Aprovechar hardware más inteligente para escalar soluciones en ubicaciones Edge con recursos limitados es uno de esos enfoques.

Puede obtener más información sobre cómo F5 está escalando la seguridad en el Edge en este blog .