Diagramas y documentación técnica de arquitectura DDoS

Durante más de 20 años, F5 ha trabajado con sus clientes para defender sus aplicaciones contra los ataques de denegación de servicio distribuidos (DDoS). Con el tiempo, F5 ha desarrollado capacidades de productos fundamentales para permitir que las aplicaciones y servicios puedan mantener la resiliencia contra los ataques DDoS. Muchos ataques de alto perfil desde 2018 han hecho que los proveedores de servicios y los proveedores de servicios gestionados (MSP), las organizaciones financieras y las empresas rediseñen sus redes para incluir la protección contra DDoS. Trabajando con estos clientes, F5 ha desarrollado la arquitectura de referencia de DDoS Protection que incluye componentes en la nube y en las instalaciones.

The reference architecture includes multiple tiers of on-premises defenses to protect layers 3 through 7. The network defense tier protects DNS and layers 3 and 4. Freed from the noise of network attacks, the application defense tier can use its CPU resources to protect the high-layer applications. This design enables organizations to defend against all types of DDoS attacks and provides benefits across the organization’s data centers. Finally, the cloud component of the DDoS Protection solution works as a failsafe for volumetric attack mitigation.

Aunque el panorama de las amenazas DDoS está en constante evolución, F5 ha comprobado que los ataques siguen englobándose en cuatro tipos de ataque que presentan las siguientes características:

• Volumétrico: un ataque basado en volúmenes que puede estar en la capa 3, 4 o 7. Los ataques en L3-4 suelen ser tráfico UDP falsificado.
• Asimétrico: tráfico UDP de un solo lado o sin estado.
• Computacional: ataque diseñado para consumir CPU y memoria, generalmente en L7 a través de TCP.
• Basado en la vulnerabilidad: ataques que explota las vulnerabilidades del software.

Los mecanismos defensivos han evolucionado para hacer frente a estas diferentes categorías, y las organizaciones de alto perfil han aprendido a implementarlos en configuraciones específicas para maximizar su postura de seguridad. Trabajando con estas empresas y afinando sus componentes, F5 ha desarrollado una arquitectura de mitigación de DDoS recomendada que puede adaptarse al escalado específico del centro de datos y a los requisitos del sector.

La siguiente arquitectura de referencia DDoS Protection se ha creado en torno a componentes conocidos del sector. Algunos pueden proporcionarlos otros vendedores y proveedores, pero otros son componentes específicos de F5.

En la Figura 1 se asignan los componentes de la arquitectura DDoS con las cuatro categorías de ataques DDoS que mitigan.

Figura 1: Asignación de los componentes de mitigación de DDoS a los tipos de ataque

Un servicio de depuración de DDoS basado en la nube es un componente crítico de cualquier arquitectura de mitigación de DDoS. Cuando un atacante envía 50 Gbps de datos al punto de entrada de 1 Gbps de una organización, no importa la cantidad de equipo del que se disponga en las instalaciones dado que esto no resolverá el problema. El servicio en la nube, alojado en una auténtica nube pública o en el proveedor de servicios de ancho de banda de la organización, soluciona el problema separando lo que es obviamente malo de lo que es probablemente bueno.

El cortafuegos de red ha sido la piedra angular de la seguridad perimetral durante mucho tiempo. Sin embargo, muchos cortafuegos de red no son en absoluto resistentes a los ataques DDoS. De hecho, muchos de los cortafuegos que más se comercializan se pueden desactivar mediante los ataques de capa 4 más sencillos. El rendimiento bruto no es la respuesta si el cortafuegos no reconoce y mitiga el ataque.

Para un dispositivo de control de la seguridad basado en las capas 3 y 4, F5 recomienda a los arquitectos que opten por un cortafuegos de red de alta capacidad y consciente de los ataques DDoS. En concreto, los arquitectos deben buscar dar soporte a millones (no miles) de conexiones simultáneas y ser capaces de repeler varios ataques (por ejemplo, inundaciones de SYN) sin que el tráfico legítimo se vea afectado.

Los controladores de entrega de aplicaciones (ADC) proporcionan puntos estratégicos de control en la red. Cuando se eligen, aprovisionan y controlan adecuadamente, pueden reforzar significativamente la defensa contra DDoS. Por ejemplo, la naturaleza de proxy completo del ADC de F5 reduce las amenazas computacionales y basadas en la vulnerabilidad al validar protocolos comunes como HTTP y DNS. Por estas razones, F5 recomienda un ADC de proxy completo.

El cortafuegos de aplicaciones web es un componente de nivel superior que entiende y aplica la política de seguridad de la aplicación. Este componente puede ver y mitigar los ataques de la capa de aplicaciones, ya sean inundaciones HTTP volumétricas o ataques basados en vulnerabilidades. Varios proveedores ofrecen cortafuegos para aplicaciones web. Sin embargo, para una arquitectura de DDoS eficaz, F5 recomienda únicamente su propio módulo de cortafuegos de aplicaciones web por las siguientes razones:

• El cortafuegos de aplicaciones web de F5 puede proporcionar servicios adicionales como la protección contra el pirateo, el «web scraping» y el cumplimiento de la normativa PCI.
• Los clientes de F5 se benefician de utilizar una combinación de ADC y cortafuegos de aplicaciones web para aplicar la política de entrega de aplicaciones y de seguridad de las mismas de forma simultánea.
• El ADC de F5 descarga e inspecciona el tráfico SSL. Al combinarlo con el cortafuegos de aplicaciones web, los clientes pueden consolidar la terminación SSL y el análisis de seguridad de la carga útil encriptada en un solo dispositivo.

Intrusion detection and prevention systems (IDS/IPS) can play an important role in DDoS mitigation. F5 recommends that IDS/IPS functionality should not be deployed only in a single location (for example, integrated into a layer 4 firewall). Rather, IDS/IPS should be deployed in strategic instances in front of back-end components that may need specific, additional protection, such as a database or specific web server. Nor is an IPS a replacement for a web application firewall. Securing infrastructure and applications is analogous to peeling an onion. An IPS is designed to stop attacks at the top layer—protocols—while WAFs are designed to protect at lower layers (applications).

Una base de datos de reputación IP ayuda en la defensa de los ataques asimétricos de denegación de servicio al impedir que los atacantes DDoS utilicen escáneres conocidos para sondear una aplicación y, posteriormente, llevar a cabo su explotación y penetración. Una base de datos de reputación IP puede generarse internamente o provenir de un servicio de suscripción externo. Las soluciones de reputación IP de F5 combinan inteligencia de código abierto (OSINT), datos de F5 y fuentes de terceros para proporcionar una amplia cobertura de dominios maliciosos.

F5 recomienda una solución DDoS híbrida que cubra la nube y las instalaciones. Los ataques volumétricos se mitigarán con F5 Silverline DDoS Protection, un servicio prestado a través de la plataforma basada en la nube F5 Silverline. Silverline DDoS Protection analizará y eliminará la mayor parte del tráfico de ataque.

En ocasiones, una campaña de DDoS puede incluir ataques a la capa de aplicaciones a los que se debe hacer frente en las instalaciones. Estos ataques asimétricos y computacionales pueden mitigarse utilizando los niveles de defensa de la red y de las aplicaciones. El nivel de defensa de la red está compuesto por servicios de cortafuegos de red de L3 y L4 y de un simple equilibrio de la carga dirigida al nivel de defensa de las aplicaciones. El nivel de defensa de las aplicaciones consta de servicios más sofisticados (y más intensivos en cuanto al uso de la CPU) que incluyen la terminación SSL y una pila de cortafuegos de aplicaciones web.

La separación de la defensa de la red y la defensa de las aplicaciones para la parte local de la arquitectura de DDoS Protection tiene ventajas convincentes.

• Los niveles de defensa de la red y de las aplicaciones pueden ampliarse de forma independiente. Por ejemplo, cuando aumenta el uso del cortafuegos de aplicaciones web, se puede añadir otro dispositivo (o blade) al nivel de aplicaciones sin que ello afecte al nivel de red.
• Los niveles de defensa de la red y de las aplicaciones pueden utilizar diferentes plataformas de hardware e incluso diferentes versiones de software.
• Cuando se aplican nuevas políticas en el nivel de defensa de aplicaciones, el nivel de defensa de la red puede dirigir únicamente una parte del tráfico a las nuevas políticas hasta que estén completamente validadas.

En la Figura 3 se muestran los componentes necesarios para proporcionar capacidades específicas. Los componentes de F5 de la arquitectura de referencia de DDoS Protection incluyen:

• Silverline DDoS Protection
• BIG-IP® AFM™ (AFM)
• BIG-IP® Local Traffic Manager™ (LTM)
• BIG-IP® DNS™ con DNS Express™
• BIG-IP® Advanced Web Application Firewall ™ (Advanced WAF)

Figura 3: Asignación de los componentes de F5 a las capacidades de mitigación de DDoS

Aunque la arquitectura de varios niveles es preferible en entornos de gran ancho de banda, F5 entiende que, para muchos clientes, la construcción de varios niveles de DDoS puede ser excesiva para un entorno de bajo ancho de banda. Estos clientes implementan un dispositivo perimetral de mitigación de DDoS que consolida la entrega de aplicaciones con servicios de cortafuegos de red y de aplicaciones web.

Las prácticas recomendadas aquí siguen siendo válidas. Las referencias a los niveles de defensa de la red y las aplicaciones pueden aplicarse simplemente al nivel único y consolidado de la arquitectura alternativa.

Las organizaciones corren el riesgo de sufrir ataques DDoS volumétricos a gran escala capaces de desbordar su capacidad de ancho de banda de entrada a Internet. Para defenderse de estos ataques, pueden efectuar un cambio de ruta (con un anuncio de ruta BGP) para dirigir el tráfico entrante a centros de datos de gran ancho de banda que puedan depurar el tráfico malicioso y enviar el tráfico limpio y depurado de vuelta al centro de datos de origen de la organización.

Los factores que pueden influir en la elección de un proveedor de protección DDoS en la nube son la ubicación geográfica de las instalaciones de depuración, la capacidad de ancho de banda, la latencia, el tiempo de mitigación y el valor de la solución. Como se indica en la Figura 4, los ataques DDoS pueden alcanzar un consumo de ancho de banda que se mide en cientos de Gbps, lo que hace que una infraestructura corra el riesgo de verse completamente desbordada.

En algunos casos, puede añadirse tiempo adicional a las solicitudes entrantes cuando un depurador de la nube no tiene un centro de depuración cerca del centro de datos de la organización. Para reducir la posible latencia, los MSP y otras empresas globales deben utilizar depuradores de nubes que estén estratégicamente situados en las regiones donde tienen operaciones que pueden verse afectadas por los ataques.

Mantener la disponibilidad frente a los ataques volumétricos depende tanto de la cobertura global (centros de datos en Norteamérica, Europa y Asia) como de los terabits de capacidad global o los cientos de gigabits por centro.

Las organizaciones dirán que el verdadero valor de un depurador de nube únicamente se percibe después de una campaña de ataque. Las preguntas que determinan si resulta satisfactorio son:

• ¿Fue caro?
• ¿Cuál fue el nivel de falsos positivos?
• ¿Ha facilitado de visibilidad y control sobre la entrega del tráfico legítimo?

Las organizaciones pueden utilizar la suscripción Silverline DDoS Protection Always Available para enrutar el tráfico a través de F5 Silverline cuando se detecta un ataque DDoS. De forma alternativa, la suscripción Silverline DDoS Protection Always On puede enrutar el tráfico a través de F5 Silverline en todo momento para garantizar una mayor disponibilidad de las redes y aplicaciones de la organización.

Silverline DDoS Protection tiene dos modelos principales de implementación: modo enrutado y modo proxy.

El modo enrutado es para las empresas que necesitan proteger toda su infraestructura de red. Silverline DDoS Protection aplica el Border Gateway Protocol (BGP) para enrutar todo el tráfico hasta el centro de depuración y protección, y utiliza un túnel de encapsulación de enrutamiento genérico (GRE)/VPN L2/Equinix Cloud Exchange para enviar el tráfico limpio de vuelta a la red de origen. El modo enrutado es un diseño escalable para empresas con grandes implementaciones de red. No requiere ninguna configuración específica de las aplicaciones y ofrece una opción sencilla de activación y desactivación de Silverline DDoS Protection.

El modo proxy es para las empresas que necesitan proteger sus aplicaciones de ataques DDoS volumétricos pero que no tienen una red pública de clase C. El DNS se utiliza para dirigir todo el tráfico a los centros de depuración de F5 Silverline. El tráfico limpio se envía a través de la Internet pública a los servidores de origen de las aplicaciones.

Los métodos de tráfico de retorno utilizados por Silverline DDoS Protection incluyen:

• Túneles GRE.
• Equinix Cloud Exchange.
• L2 VPN.
• Internet pública.

En la Figura 4 se muestra que en 2019-2020 se batió varias veces el récord del mayor ataque DDoS del mundo. Para alcanzar tal consumo de ancho de banda, en estos ataques se utilizó una combinación de ataques de inundación (es decir, ACK, NTP, RESET, SSDP, SYN y UDP) junto con Anomalía TCP, Fragmentación UDP y Reflejo CLDAP desde miles de puestos públicos de Internet involuntarios a una víctima determinada.

El nivel de defensa de la red se construye alrededor del cortafuegos de la red. Está diseñado para mitigar los ataques computacionales como las inundaciones de SYN y las inundaciones de fragmentación ICMP. Este nivel también mitiga los ataques volumétricos hasta la congestión del punto de entrada (normalmente entre el 80 y el 90 por ciento del tamaño nominal de la distribución). Muchas organizaciones integran sus bases de datos de reputación IP en este nivel y tienen control de las direcciones IP por origen durante un ataque DDoS.

Algunas organizaciones pasan el DNS a través del primer nivel hasta un servidor DNS en la zona desmilitarizada (DMZ). En esta configuración, con los controles de capa 4 adecuados pueden validar los paquetes DNS antes de enviarlos al servidor.

Para las organizaciones con una estrategia de virtualización, puede ser un reto mitigar los ataques DDoS que se dirigen a su infraestructura virtualizada sin un hardware específico. Las soluciones de seguridad virtualizadas que se ejecutan en servidores x86 comerciales listos para su uso (COTS) a menudo carecen de los atributos de alto rendimiento de los dispositivos personalizados, lo que hace que la mitigación eficaz de los ataques DDoS centrados en el software sea casi imposible en muchos casos.

La solución de F5 para este caso pasa por una nueva generación de tarjetas de interfaz de red (NIC) (conocidas como SmartNIC) para reforzar la solución de edición virtual (VE) de BIG-IP AFM. Al programar una solución FPGA integrada de alto rendimiento dentro de estas SmartNIC para detectar y bloquear los ataques DDoS antes de que lleguen a los servidores de aplicaciones y a BIG-IP VE, F5 es capaz de bloquear órdenes de ataques de magnitud superior (hasta 300 veces más grandes) que cualquier solución comparable de solo software para mantener las aplicaciones en línea. Al liberar de la mitigación de DDoS a BIG-IP AFM VE en una SmartNIC no solo se ahorran ciclos para la VE CPU con el fin de optimizar otras funciones de seguridad (como WAF o SSL), sino que también puede reducir el coste total de propiedad hasta en un 47 %.

Como ataques de capa 4, las inundaciones de conexiones TCP pueden afectar a cualquier dispositivo con estado en la red, especialmente a los cortafuegos que no son resistentes a los DDoS. El ataque está diseñado para consumir la memoria de las tablas de conexiones de flujo en cada dispositivo con estado. A menudo, estas inundaciones de conexiones están vacías de contenido real. Pueden absorberse mediante tablas de conexión de alta capacidad en el nivel de red o mitigarse mediante cortafuegos de proxy completo.

Las inundaciones de conexiones SSL están diseñadas específicamente para atacar los dispositivos que terminan el tráfico encriptado. Dado el contexto criptográfico que debe mantenerse, cada conexión SSL puede consumir entre 50 000 y 100 000 bytes de memoria. Esto hace que los ataques SSL sean especialmente dañinos.

F5 recomienda tanto la capacidad como la técnica de proxy completo para mitigar las inundaciones de conexiones TCP y SSL. En la Figura 7 se muestra la capacidad de conexión de los cortafuegos de red basados en F5.

Figura 7: Capacidad de conexión de las plataformas de hardware de F5

El nivel de defensa de las aplicaciones es donde F5 recomienda implementar mecanismos de defensa conscientes de las aplicaciones y de uso intensivo de la CPU, como muros de inicio de sesión, políticas de cortafuegos de aplicaciones web y contexto de seguridad dinámico mediante F5 iRules. A menudo, estos componentes compartirán espacio en el rack con dispositivos IDS/IPS específicos de este nivel.

Aquí es también donde suele tener lugar la terminación de SSL. Aunque algunas organizaciones terminan SSL en el nivel de defensa de la red, no es muy común debido a la sensibilidad de las claves SSL y a las políticas en contra de mantenerlas en el perímetro de seguridad.

Los GET y POST recursivos se encuentran entre los ataques más perniciosos hoy en día. Pueden ser muy difíciles de distinguir del tráfico legítimo. Las inundaciones de GET pueden saturar las bases de datos y los servidores, y también pueden causar una «distribución inversa completa». F5 registró un atacante que enviaba 100 Mbps de consultas GET a un objetivo y extraía 20 Gbps de datos.

Entre las estrategias de mitigación de las inundaciones de GET se incluyen:

• La defensa del muro de inicio de sesión.
• Perfiles de protección de DDoS.
• Aplicación del navegador real.
• CAPTCHA.
• iRules de estrangulamiento de solicitudes.
• iRules personalizadas.

La configuración y el ajuste de estas estrategias se pueden encontrar en la Documentación de prácticas recomendadas para DDoS de F5.

El DNS es el segundo servicio más atacado después del HTTP. Cuando el DNS se interrumpe, todos los servicios externos del centro de datos (no solo una aplicación) se ven afectados. Este único punto de fallo total, junto con la infraestructura de DNS, a menudo deficientemente aprovisionada, convierte al DNS en un objetivo muy atractivo para los atacantes.

Desde siempre, los servicios DNS han estado deficientemente aprovisionados. Un porcentaje significativo de las implementaciones de DNS se encuentra deficientemente aprovisionada hasta el punto de que son incapaces de soportar incluso ataques DDoS pequeños o medianos.

Las memorias caché de DNS han ganado en popularidad, ya que pueden aumentar el rendimiento percibido de un servicio DNS y proporcionar cierta resistencia contra los ataques de consulta de DNS estándar. Los atacantes se han pasado a lo que se denomina ataques de «no such domain» (o NXDOMAIN), que agotan rápidamente las ventajas de rendimiento que proporciona la caché.

Para remediarlo, F5 recomienda colocar en el front-end el servicio de nombres de dominio BIG-IP DNS con el módulo de proxy DNS especial de alto rendimiento llamado F5 DNS Express™. DNS Express actúa como «resolucionador» absoluto frente a los servidores DNS existentes. Carga la información de zona de los servidores y resuelve cada una de las solicitudes, o devuelve NXDOMAIN. No es una caché y no puede vaciarse mediante inundaciones de consultas NXDOMAIN.

A menudo, el servicio DNS existe como un conjunto propio de dispositivos aparte del primer perímetro de seguridad. Esto se hace para mantener el DNS independiente de las aplicaciones a las que sirve. Por ejemplo, si parte del perímetro de seguridad parece afectado, el DNS puede redirigir las solicitudes a un centro de datos secundario o a la nube. Mantener el DNS separado de los niveles de seguridad y aplicaciones puede ser una estrategia eficaz para mantener la máxima flexibilidad y disponibilidad.

Algunas grandes empresas con múltiples centros de datos proporcionan el servicio DNS fuera del perímetro de seguridad principal utilizando una combinación de BIG-IP DNS con DNS Express y el módulo de cortafuegos BIG-IP AFM. La principal ventaja de este enfoque es que los servicios DNS siguen estando disponibles incluso aunque el nivel de defensa de la red se desconecte debido a ataques DDoS.

Independientemente de si el DNS se proporciona dentro o fuera de la zona desmilitarizada (DMZ), tanto BIG-IP DNS como BIG-IP AFM pueden validar las solicitudes DNS antes de que lleguen al servidor DNS.

A continuación se presentan tres casos de uso de la arquitectura de referencia que se corresponden con tres situaciones habituales de los clientes:

1. Proveedor de servicios gestionados (movilidad o línea fija)
2. Centro de datos de grandes instituciones de servicios financieros (FSI)
3. Centros de datos empresariales

Cada caso de uso que aparece a continuación contiene un diagrama del escenario de implementación, una breve descripción de los aspectos específicos del caso de uso y los componentes de F5 recomendados dentro de ese escenario. Consulte también la Figura 14 para obtener información adicional sobre el tamaño.

El caso de uso del centro de datos de un MSP consiste en proporcionar seguridad a una variedad de aplicaciones al mismo tiempo que se maximiza el valor de los recursos del centro de datos. El retorno de la inversión (ROI) es fundamental para los MSP, que a menudo quieren hacerlo todo desde un solo dispositivo si pueden, y están dispuestos a desconectarse durante un ataque DDoS.

En este caso de uso, el MSP está poniendo todos los huevos en la misma cesta. Obtiene la solución más rentable, pero también se encuentra con la mayor dificultad para mantener la disponibilidad.

Por otro lado, la organización gana en eficiencia al concentrar recursos especializados con conocimiento profundo en una única plataforma. F5 proporciona sistemas de alta disponibilidad, escalabilidad y rendimiento superiores, y un soporte de primera clase que ayuda a compensar aún más el riesgo.

No hay duda de que el ahorro económico es la mayor ventaja de esta arquitectura consolidada. Es una solución superior de DDoS que utiliza equipos que ya están en funcionamiento para ofrecer aplicaciones que generan ingresos todos los días. El entorno consolidado ayuda a ahorrar en espacio de rack, energía y gestión.

Figura 9: Recomendaciones de tamaño para el escenario de implementación de MSP

El escenario de un centro de datos de FSI de gran tamaño es un caso de uso ya maduro y bien reconocido para DDoS Protection. Por lo general, la FSI dispondrá de varios proveedores de servicios, pero puede renunciar a las ofertas de soluciones de DDoS volumétrico de esos proveedores en favor de otro servicio de depuración. Muchas de ellas es posible que también tengan un depurador de nube de respaldo como una póliza de seguros en caso de que falle el depurador de nube principal en la mitigación de ataques DDoS volumétricos.

El centro de datos de FSI suele incluir poco personal corporativo, por lo que no es necesario un cortafuegos de última generación.

Las FSI tienen la política de seguridad más estricta al margen de las instituciones militares federales. Por ejemplo, casi todos los FSI deben mantener la carga útil encriptada en todo el centro de datos. Los FSI tienen la clase de activos de mayor valor (cuentas bancarias) en Internet, por lo que son objetivos frecuentes, no solo de los DDoS, sino también de la piratería informática. La arquitectura local de dos niveles permite a las organizaciones de FSI escalar su política de seguridad integral y de uso intensivo de la CPU en el nivel de aplicación, independientemente de su inversión en el nivel de red.

Este caso de uso permite a las FSI crear una solución resistente a los DDoS al mismo tiempo que conservan (de hecho, aprovechan) los equipos de seguridad que ya tienen. Los cortafuegos en el nivel de defensa de la red siguen haciendo su trabajo, y los dispositivos BIG-IP en el nivel de defensa de las aplicaciones siguen impidiendo las infracciones.

Figura 11: Recomendaciones de tamaño para el escenario de implementación de FSI

El escenario empresarial anti-DDoS es similar al escenario de una FSI de gran tamaño. La principal diferencia es que las empresas tienen personal dentro del centro de datos y, por tanto, necesitan los servicios de un cortafuegos de nueva generación (NGFW). Pueden que se sientan tentadas a utilizar un único NGFW tanto para la entrada como para la salida, pero esto les hace vulnerables a los ataques DDoS, ya que los NGFW no están diseñados para gestionar los ataques DDoS que evolucionan o son multivectoriales.

F5 recomienda que las empresas obtengan protección contra los ataques DDoS volumétricos mediante un depurador en la nube como F5 Silverline. En las instalaciones, la arquitectura empresarial recomendada incluye un NGFW más pequeño en una ruta independiente del tráfico de aplicaciones de entrada. Al utilizar un nivel de defensa de la red y un nivel de defensa de las aplicaciones, las empresas pueden aprovechar el escalado asimétrico, añadiendo más dispositivos F5 WAF si detectan que la CPU es insuficiente.

Distintas verticales y empresas tienen requisitos diferentes. Al utilizar los equipos de F5 en ambos niveles, la arquitectura empresarial permite a los clientes decidir dónde tiene más sentido desencriptar (y, opcionalmente, volver a encriptar) el tráfico SSL. Por ejemplo, una empresa puede desencriptar SSL en el nivel de defensa de la red y reflejar el tráfico desencriptado en un TAP de red mediante en el que se supervise las posibles amenazas avanzadas.

Figura 13: Recomendaciones de tamaño para el escenario de implementación del cliente empresarial

En la Figura 14 se muestran las especificaciones de la gama de dispositivos de hardware de F5 que están disponibles para satisfacer los requisitos de escalado de las organizaciones.

Figura 14: Especificaciones de hardware de F5 para la protección DDoS. Consulte los casos de uso para obtener recomendaciones específicas.

Esta arquitectura de referencia recomendada de DDoS Protection esta basada en la larga experiencia de F5 en la lucha contra los ataques DDoS con sus clientes. Los proveedores de servicios encuentran que tienen éxito adoptando un enfoque consolidado. Las instituciones de servicios financieros globales están reconociendo que la arquitectura híbrida recomendada representa la ubicación ideal para todos sus controles de seguridad. Los clientes empresariales también están reorganizando y rediseñando sus controles de seguridad en torno a esta arquitectura. En el futuro inmediato, una arquitectura híbrida de DDoS Protection debería seguir proporcionando la flexibilidad y la capacidad de gestión que los arquitectos necesitan para combatir las amenazas DDoS actuales.