Diagrammes d'architecture DDoS et livre blanc

Depuis plus de 20 ans, F5 travaille avec ses clients pour défendre leurs applications contre les attaques par déni de service distribué (DDoS). Au fil du temps, F5 a développé des fonctionnalités de produits de base pour aider les applications et les services à maintenir leur résilience contre les attaques DDoS. De nombreuses attaques de grande envergure depuis 2018 ont incité les fournisseurs de services et les fournisseurs de services gérés (MSP), les organisations financières et les entreprises à repenser leurs réseaux pour inclure une protection DDoS. En collaboration avec ces clients, F5 a développé une architecture de référence de protection DDoS qui inclut à la fois des composants cloud et sur site.

L'architecture de référence comprend plusieurs niveaux de défenses sur site pour protéger les couches 3 à 7. Le niveau de défense du réseau protège le DNS et les couches 3 et 4. Libéré du bruit des attaques réseau, le niveau de défense des applications peut utiliser ses ressources CPU pour protéger les applications de couche supérieure. Cette conception permet aux organisations de se défendre contre tous les types d’attaques DDoS et offre des avantages dans tous les centres de données de l’organisation. Enfin, le composant cloud de la solution de protection DDoS fonctionne comme une solution de sécurité intégrée pour l’atténuation des attaques volumétriques.

Alors que le paysage des menaces DDoS évolue constamment, F5 a constaté que les attaques continuent de se répartir en quatre types d'attaques présentant les caractéristiques suivantes :

• Volumétrique : attaques basées sur les inondations qui peuvent se situer au niveau 3, 4 ou 7. Les attaques au niveau L3-4 sont généralement du trafic UDP usurpé.
• Asymétrique : trafic UDP unilatéral ou sans état.
• Informatique : attaques conçues pour consommer le processeur et la mémoire, généralement au niveau L7 via TCP.
• Basé sur la vulnérabilité : attaques qui exploitent les vulnérabilités des logiciels.

Des mécanismes défensifs ont évolué pour faire face à ces différentes catégories, et les organisations de premier plan ont appris à les déployer dans des configurations spécifiques pour maximiser leur posture de sécurité. En travaillant avec ces entreprises et en affinant leurs composants, F5 a développé une architecture d'atténuation DDoS recommandée qui peut s'adapter aux exigences spécifiques de l'industrie et de l'échelle du centre de données.

L'architecture de référence de protection DDoS suivante est construite autour de composants industriels bien connus. Certains peuvent être fournis par d’autres vendeurs et fournisseurs, mais certains sont des composants F5 spécifiques.

La figure 1 met en correspondance les composants de l’architecture DDoS avec les quatre catégories d’attaques DDoS qu’ils atténuent.

Figure 1 : Cartographie des composants d'atténuation DDoS selon les types d'attaques

Un service de nettoyage DDoS basé sur le cloud est un élément essentiel de toute architecture d’atténuation DDoS. Lorsqu’un attaquant envoie 50 Gbit/s de données au point d’entrée de 1 Gbit/s d’une organisation, aucun équipement sur site ne pourra résoudre ce problème. Le service cloud, hébergé soit à partir d’un véritable cloud public, soit au sein du fournisseur de services de bande passante de l’organisation, résout le problème en faisant le tri entre les éléments négatifs évidents et les éléments positifs probables.

Le pare-feu réseau est depuis longtemps la clé de voûte de la sécurité périmétrique. Cependant, de nombreux pare-feu réseau ne résistent pas du tout aux attaques DDoS. En fait, la plupart des pare-feu les plus vendus peuvent être désactivés avec les attaques de couche 4 les plus simples. Le débit pur n’est pas la solution si le pare-feu ne reconnaît pas et n’atténue pas l’attaque.

Pour un dispositif de contrôle de sécurité basé sur les couches 3 et 4, F5 recommande aux architectes de choisir un pare-feu réseau haute capacité et compatible DDoS. Plus précisément, les architectes devraient chercher à prendre en charge des millions (et non des milliers) de connexions simultanées et être capables de repousser diverses attaques (par exemple, les inondations SYN) sans affecter le trafic légitime.

Les contrôleurs de distribution d'applications (ADC) fournissent des points de contrôle stratégiques sur le réseau. Lorsqu'ils sont choisis, provisionnés et contrôlés correctement, ils peuvent considérablement renforcer une défense DDoS. Par exemple, la nature proxy complète du F5 ADC réduit les menaces informatiques et basées sur la vulnérabilité en validant les protocoles courants tels que HTTP et DNS. Pour ces raisons, F5 recommande un ADC proxy complet.

Le pare-feu d'application Web est un composant de niveau supérieur qui comprend et applique la politique de sécurité de l'application. Ce composant peut voir et atténuer les attaques au niveau de la couche applicative, qu'il s'agisse de flux HTTP volumétriques ou d'attaques basées sur la vulnérabilité. Plusieurs fournisseurs proposent des pare-feu pour applications Web. Cependant, pour une architecture DDoS efficace, F5 recommande uniquement son propre module de pare-feu d'application Web pour les raisons suivantes :

• Le pare-feu d'application Web F5 peut fournir des services supplémentaires tels que l'anti-piratage, la protection contre le scraping Web et la conformité PCI.
• Les clients F5 bénéficient de l'utilisation d'une combinaison de l'ADC et du pare-feu d'application Web pour appliquer simultanément la politique de distribution d'applications et de sécurité des applications.
• L'ADC F5 décharge et inspecte le trafic SSL. En le combinant avec le pare-feu d'application Web, les clients peuvent consolider la terminaison SSL et l'analyse de sécurité de la charge utile cryptée dans un seul appareil.

Les systèmes de détection et de prévention des intrusions (IDS/IPS) peuvent jouer un rôle important dans l’atténuation des attaques DDoS. F5 recommande que la fonctionnalité IDS/IPS ne soit pas déployée uniquement dans un seul emplacement (par exemple, intégrée dans un pare-feu de couche 4). Les IDS/IPS doivent plutôt être déployés dans des instances stratégiques devant des composants back-end qui peuvent nécessiter une protection spécifique supplémentaire, comme une base de données ou un serveur Web spécifique. Un IPS ne remplace pas non plus un pare-feu d’application Web. Sécuriser les infrastructures et les applications est comparable à éplucher un oignon. Un IPS est conçu pour arrêter les attaques au niveau de la couche supérieure (protocoles), tandis que les WAF sont conçus pour protéger les couches inférieures (applications).

Une base de données de réputation IP permet de se défendre contre les attaques par déni de service asymétriques en empêchant les attaquants DDoS d'utiliser des scanners connus pour sonder une application en vue d'une exploitation et d'une pénétration ultérieures. Une base de données de réputation IP peut être générée en interne ou provenir d'un service d'abonnement externe.  Les solutions de réputation IP F5 combinent des renseignements provenant de renseignements open source (OSINT), des données F5 et des flux tiers pour fournir une large couverture des domaines malveillants.

F5 recommande une solution DDoS hybride cloud/sur site. Les attaques volumétriques seront atténuées par F5 Silverline DDoS Protection, un service fourni via la plateforme cloud F5 Silverline. Silverline DDoS Protection analysera et supprimera la majeure partie du trafic d'attaque.

Parfois, une campagne DDoS peut inclure des attaques au niveau de la couche applicative qui doivent être traitées sur site. Ces attaques asymétriques et informatiques peuvent être atténuées à l’aide des niveaux de défense du réseau et des applications. Le niveau de défense du réseau est composé de services de pare-feu réseau L3 et L4 et d'un équilibrage de charge simple vers le niveau de défense des applications. Le niveau de défense des applications se compose de services plus sophistiqués (et plus gourmands en ressources CPU), notamment la terminaison SSL et une pile de pare-feu d'application Web.

La séparation de la défense du réseau et de la défense des applications pour la partie sur site de l’architecture de protection DDoS présente des avantages convaincants.

• Les niveaux de défense du réseau et des applications peuvent être mis à l’échelle indépendamment les uns des autres. Par exemple, lorsque l’utilisation du pare-feu d’application Web augmente, un autre appareil (ou lame) peut être ajouté au niveau d’application sans affecter le niveau réseau.
• Les niveaux de défense du réseau et des applications peuvent utiliser différentes plates-formes matérielles et même différentes versions logicielles.
• Lorsque de nouvelles politiques sont appliquées au niveau de la couche de défense des applications, la couche de défense du réseau ne peut diriger qu’une partie du trafic vers les nouvelles politiques jusqu’à ce qu’elles soient entièrement validées.

La figure 3 montre les composants nécessaires pour fournir des capacités spécifiques. Les composants F5 de l'architecture de référence de protection DDoS incluent :

• Protection DDoS Silverline
• Système de mesure de la force d'impulsion BIG-IP® (AFM)
• Gestionnaire de trafic local BIG-IP® (LTM)
• BIG-IP® DNS™ avec DNS Express™
• Pare-feu d'application Web avancé BIG-IP® (WAF avancé)

Figure 3 : Cartographie des composants F5 aux capacités d'atténuation des attaques DDoS

Bien que l'architecture à plusieurs niveaux soit préférée dans les environnements à large bande passante, F5 comprend que pour de nombreux clients, la création de plusieurs niveaux DDoS peut être excessive pour un environnement à faible bande passante. Ces clients déploient un dispositif de périmètre d’atténuation DDoS qui consolide la distribution d’applications avec les services de pare-feu d’applications réseau et Web.

Les pratiques recommandées ici s’appliquent toujours. Les références aux niveaux de défense du réseau et des applications peuvent simplement être appliquées au niveau unique et consolidé de l'architecture alternative.

Les organisations risquent de subir des attaques DDoS volumétriques à grande échelle, capables de submerger leur capacité de bande passante d'entrée sur Internet. Pour se défendre contre ces attaques, ils peuvent effectuer un changement d'itinéraire (avec une annonce d'itinéraire BGP) pour diriger le trafic entrant vers des centres de données à large bande passante qui peuvent nettoyer le trafic malveillant et renvoyer le trafic propre et nettoyé au centre de données d'origine de l'organisation. 

Les facteurs susceptibles d'influencer le choix d'un fournisseur de services DDoS cloud incluent l'emplacement géographique des installations de nettoyage, la capacité de bande passante, la latence, le temps d'atténuation et la valeur de la solution. Comme l’indique la figure 4, les attaques DDoS peuvent atteindre une consommation de bande passante mesurée en centaines de Gbit/s, mettant ainsi une infrastructure en danger d’être complètement submergée.

Dans certains cas, un délai supplémentaire peut être ajouté aux demandes entrantes lorsqu'un nettoyeur de cloud ne dispose pas d'un centre de nettoyage à proximité du centre de données de l'organisation. Pour réduire la latence potentielle, les MSP et autres entreprises mondiales doivent utiliser des nettoyeurs de cloud stratégiquement placés dans les régions où leurs opérations peuvent être affectées par des attaques.

Le maintien de la disponibilité contre les attaques volumétriques dépend à la fois de la couverture mondiale (centres de données en Amérique du Nord, en Europe et en Asie) et de térabits de capacité mondiale, soit des centaines de gigabits par centre.

Les organisations diront que la véritable valeur d’un nettoyeur de cloud n’est réalisée qu’après la campagne d’attaque. Les questions qui déterminent leur satisfaction incluent :

• C'était cher ?
• Quel était le niveau de faux positifs ?
• Avons-nous eu une visibilité et un contrôle sur la livraison du trafic légitime ?

Les organisations peuvent utiliser l'abonnement Silverline DDoS Protection Always Available pour acheminer le trafic via F5 Silverline lorsqu'une attaque DDoS est détectée. Alternativement, l’abonnement Silverline DDoS Protection Always On peut acheminer le trafic via F5 Silverline à tout moment pour garantir une plus grande disponibilité des réseaux et des applications de l’organisation.

Silverline DDoS Protection dispose de deux principaux modèles de déploiement : le mode routé et le mode proxy.

Le mode routé est destiné aux entreprises qui ont besoin de protéger l’ensemble de leur infrastructure réseau. Silverline DDoS Protection utilise le protocole Border Gateway Protocol (BGP) pour acheminer tout le trafic vers son centre de nettoyage et de protection et utilise un tunnel Generic Routing Encapsulation (GRE)/L2 VPN/Equinix Cloud Exchange pour renvoyer le trafic propre vers le réseau d'origine. Le mode routé est une conception évolutive pour les entreprises avec de grands déploiements réseau. Il ne nécessite aucune configuration spécifique à l'application et offre une option simple pour activer ou désactiver la protection DDoS Silverline.

Le mode proxy est destiné aux entreprises qui ont besoin de protéger leurs applications contre les attaques DDoS volumétriques mais qui ne disposent pas de réseau public de classe C. Le DNS est utilisé pour acheminer tout le trafic vers les centres de nettoyage F5 Silverline. Le trafic propre est envoyé sur l’Internet public vers les serveurs d’origine de l’application.

Les méthodes de trafic de retour utilisées par Silverline DDoS Protection incluent :

• Tunnels GRE.
• Échange cloud Equinix.
• VPN L2.
• Internet public.

La figure 4 montre qu’en 2019-2020, le record de la plus grande attaque DDoS au monde a été battu à plusieurs reprises. Afin d'atteindre une telle consommation de bande passante, ces attaques ont utilisé une combinaison d'attaques par inondation (par exemple, ACK, NTP, RESET, SSDP, SYN et UDP) ainsi qu'une anomalie TCP, un fragment UDP et une réflexion CLDAP provenant de milliers de publications Internet publiques involontaires vers une victime visée. 

Le niveau de défense du réseau est construit autour du pare-feu réseau. Il est conçu pour atténuer les attaques informatiques telles que les inondations SYN et les inondations de fragmentation ICMP. Ce niveau atténue également les attaques volumétriques jusqu’à la congestion du point d’entrée (généralement 80 à 90 pour cent de la taille nominale du tuyau). De nombreuses organisations intègrent leurs bases de données de réputation IP à ce niveau et contrôlent les adresses IP par source lors d'une attaque DDoS.

Certaines organisations transmettent le DNS via le premier niveau à un serveur DNS dans la DMZ. Dans cette configuration, avec les bons contrôles de couche 4, ils peuvent valider les paquets DNS avant de les envoyer au serveur.

Pour les organisations dotées d’une stratégie axée sur la virtualisation, il peut être difficile d’atténuer les attaques DDoS qui ciblent leur infrastructure virtualisée sans matériel spécialement conçu. Les solutions de sécurité virtualisées exécutées sur des serveurs COTS x86 manquent souvent des attributs hautes performances des appareils personnalisés, ce qui rend l'atténuation efficace des attaques DDoS centrée sur les logiciels presque impossible dans de nombreux cas.

La solution F5 à ce défi utilise une nouvelle génération de cartes d'interface réseau (NIC), appelées SmartNIC, pour renforcer la solution d'édition virtuelle (VE) BIG-IP AFM. En programmant un FPGA intégré hautes performances dans ces SmartNIC pour détecter et bloquer les attaques DDoS avant qu'elles n'atteignent BIG-IP VE et les serveurs d'applications, F5 est capable de bloquer des attaques d'une ampleur supérieure (jusqu'à 300 fois supérieure) à celle de toute solution logicielle comparable pour maintenir les applications en ligne. Le déchargement de l'atténuation DDoS de BIG-IP AFM VE vers une SmartNIC libère non seulement les cycles CPU VE pour optimiser d'autres fonctionnalités de sécurité (telles que WAF ou SSL), mais peut également réduire le coût total de possession jusqu'à 47 %.

En tant qu'attaques de couche 4, les inondations de connexions TCP peuvent affecter n'importe quel périphérique avec état sur le réseau, en particulier les pare-feu qui ne sont pas résistants aux attaques DDoS. L'attaque est conçue pour consommer la mémoire des tables de connexion de flux dans chaque périphérique avec état. Souvent, ces flux de connexions sont vides de contenu réel. Ils peuvent être absorbés dans des tables de connexion haute capacité au niveau du réseau ou atténués par des pare-feu proxy complets.

Les inondations de connexions SSL sont conçues spécifiquement pour attaquer les appareils qui mettent fin au trafic crypté. En raison du contexte cryptographique qui doit être maintenu, chaque connexion SSL peut consommer 50 000 à 100 000 octets de mémoire. Cela rend les attaques SSL particulièrement douloureuses.

F5 recommande à la fois la capacité et la technique de proxy complet pour atténuer les inondations de connexions TCP et SSL. La figure 7 montre la capacité de connexion des pare-feu réseau basés sur F5.

Figure 7 : La capacité de connexion des plates-formes matérielles F5

Au niveau de la défense des applications, F5 recommande de déployer des mécanismes de défense sensibles aux applications et gourmands en ressources CPU, tels que des murs de connexion, des stratégies de pare-feu d'applications Web et un contexte de sécurité dynamique à l'aide de F5 iRules. Souvent, ces composants partageront l’espace rack avec les périphériques IDS/IPS ciblés à ce niveau.

C'est également ici que la terminaison SSL a généralement lieu. Bien que certaines organisations mettent fin au protocole SSL au niveau de la défense du réseau, cette pratique est moins courante en raison de la sensibilité des clés SSL et des politiques interdisant leur conservation au niveau du périmètre de sécurité.

Les GET et POST récursifs comptent parmi les attaques les plus pernicieuses d’aujourd’hui. Il peut être très difficile de les distinguer du trafic légitime. Les inondations GET peuvent surcharger les bases de données et les serveurs, et elles peuvent également provoquer un « tuyau plein inversé ». F5 a enregistré un attaquant qui envoyait 100 Mbps de requêtes GET vers une cible et extrayait 20 Gbps de données.

Les stratégies d’atténuation des inondations du GET comprennent :

• La défense du mur de connexion.
• Profils de protection DDoS.
• Application réelle des navigateurs.
• CAPTCHA.
• iRules de limitation des requêtes.
• Règles personnalisées.

La configuration et l'installation de ces stratégies peuvent être trouvées dans la documentation des pratiques recommandées F5 DDoS.

Le DNS est le deuxième service le plus ciblé après HTTP. Lorsque le DNS est perturbé, tous les services externes du centre de données (et pas seulement une seule application) sont affectés. Ce point unique de défaillance totale, ainsi que l’infrastructure DNS souvent sous-approvisionnée, font du DNS une cible tentante pour les attaquants.

Les services DNS ont toujours été sous-approvisionnés. Un pourcentage important de déploiements DNS sont sous-provisionnés au point qu'ils sont incapables de résister même aux attaques DDoS de petite à moyenne taille.

Les caches DNS sont devenus populaires car ils peuvent améliorer les performances perçues d'un service DNS et offrir une certaine résilience contre les attaques de requêtes DNS standard. Les attaquants sont passés à ce que l’on appelle les attaques « no such domain » (ou NXDOMAIN), qui épuisent rapidement les avantages en termes de performances fournis par le cache.

Pour remédier à cela, F5 recommande d'utiliser le service de noms de domaine DNS BIG-IP avec le module proxy DNS spécial et hautes performances appelé F5 DNS Express™. DNS Express agit comme un résolveur absolu devant les serveurs DNS existants. Il charge les informations de zone à partir des serveurs et résout chaque demande ou renvoie NXDOMAIN. Il ne s’agit pas d’un cache et il ne peut pas être vidé via les requêtes NXDOMAIN.

Souvent, le service DNS existe sous la forme de son propre ensemble de périphériques, en dehors du premier périmètre de sécurité. Cela est fait pour garder le DNS indépendant des applications qu’il sert. Par exemple, si une partie du périmètre de sécurité devient sombre, le DNS peut rediriger les requêtes vers un centre de données secondaire ou vers le cloud. Garder le DNS séparé des niveaux de sécurité et d’application peut être une stratégie efficace pour maintenir une flexibilité et une disponibilité maximales.

Certaines grandes entreprises disposant de plusieurs centres de données fournissent un DNS en dehors du périmètre de sécurité principal à l'aide d'une combinaison de BIG-IP DNS avec DNS Express et du module de pare-feu BIG-IP AFM. Le principal avantage de cette approche est que les services DNS restent disponibles même si le niveau de défense du réseau est hors ligne en raison d’une attaque DDoS.

Que le DNS soit servi à l'intérieur ou à l'extérieur de la DMZ, BIG-IP DNS ou BIG-IP AFM peut valider les requêtes DNS avant qu'elles n'atteignent le serveur DNS.

Voici trois cas d’utilisation de l’architecture de référence qui correspondent à trois scénarios clients typiques :

1. Fournisseur de services gérés (mobilité ou ligne fixe)
2. Centre de données des grandes institutions de services financiers (ISF)
3. Centre de données d'entreprise

Chaque cas d'utilisation ci-dessous contient un diagramme du scénario de déploiement, une brève description des spécificités du cas d'utilisation et les composants F5 recommandés dans ce scénario. Voir également la figure 14 pour des informations supplémentaires sur les dimensions.

Le cas d’utilisation du centre de données MSP consiste à assurer la sécurité d’une variété d’applications tout en maximisant la valeur des ressources du centre de données. Le retour sur investissement (ROI) est crucial pour les MSP, qui aimeraient souvent tout faire à partir d'un seul appareil s'ils le peuvent et sont prêts à se déconnecter pendant une attaque DDoS.

Pour ce cas d’utilisation, le MSP met tous ses œufs dans le même panier. Elle bénéficiera de la solution la plus rentable, mais elle sera également confrontée au plus grand défi en termes de disponibilité.

D’autre part, l’organisation gagne en efficacité en concentrant des ressources spécialisées dotées de connaissances approfondies sur une seule plateforme. F5 fournit des systèmes à haute disponibilité, une évolutivité et des performances supérieures, ainsi qu'un support de classe mondiale qui contribuent à mieux compenser les risques.

Les économies financières constituent certainement le principal avantage de cette architecture consolidée. Une solution DDoS supérieure utilise des équipements déjà opérationnels pour fournir chaque jour des applications génératrices de revenus. L'environnement consolidé permet d'économiser de l'espace sur le rack, de l'énergie et de la gestion.

Figure 9 : Recommandations de dimensionnement pour le scénario de déploiement MSP

Le scénario du grand centre de données FSI est un cas d’utilisation mature et bien reconnu pour la protection DDoS. En règle générale, le FSI dispose de plusieurs fournisseurs de services, mais peut renoncer aux offres DDoS volumétriques de ces fournisseurs au profit d’un autre service de nettoyage. Bon nombre d’entre eux peuvent également disposer d’un épurateur de cloud de secours comme police d’assurance contre l’échec de leur épurateur de cloud principal à atténuer les attaques DDoS volumétriques.

Le centre de données FSI compte souvent peu de personnel d'entreprise, il n'est donc pas nécessaire d'installer un pare-feu de nouvelle génération.

Les FSI ont la politique de sécurité la plus stricte en dehors des institutions militaires fédérales. Par exemple, presque tous les FSI doivent conserver la charge utile chiffrée dans l’ensemble du centre de données. Les ISF possèdent la classe d’actifs la plus valorisée (les comptes bancaires) sur Internet, ils sont donc des cibles fréquentes, non seulement pour les attaques DDoS, mais aussi pour le piratage. L'architecture sur site à deux niveaux permet aux organisations FSI de faire évoluer leur politique de sécurité complète et gourmande en ressources CPU au niveau de l'application, indépendamment de leur investissement dans le niveau réseau.

Ce cas d’utilisation permet aux FSI de créer une solution résistante aux attaques DDoS tout en conservant (et même en exploitant) l’équipement de sécurité dont ils disposent déjà. Les pare-feu au niveau de la défense du réseau continuent de faire leur travail, et les périphériques BIG-IP au niveau de la défense des applications continuent de prévenir les violations.

Figure 11 : Recommandations de dimensionnement pour le scénario de déploiement FSI

Le scénario anti-DDoS de l’entreprise est similaire au scénario du grand FSI. La principale différence est que les entreprises ont du personnel à l’intérieur du centre de données et ont donc besoin des services d’un pare-feu de nouvelle génération (NGFW). Ils peuvent être tentés d’utiliser un seul NGFW pour l’entrée et la sortie, mais cela les rend vulnérables aux attaques DDoS, car les NGFW ne sont pas conçus pour gérer les attaques DDoS évolutives ou multi-vectorielles.

F5 recommande aux entreprises d'obtenir une protection contre les attaques DDoS volumétriques à partir d'un nettoyeur cloud comme F5 Silverline. Sur site, l’architecture d’entreprise recommandée inclut un NGFW plus petit sur un chemin distinct du trafic d’application entrant. En utilisant un niveau de défense réseau et un niveau de défense applicatif, les entreprises peuvent tirer parti d’une mise à l’échelle asymétrique, en ajoutant davantage de périphériques WAF F5 si elles constatent que le processeur est limité.

Différents secteurs verticaux et entreprises ont des exigences différentes. En utilisant l'équipement F5 aux deux niveaux, l'architecture d'entreprise permet aux clients de décider où il est le plus judicieux de décrypter (et éventuellement de recrypter) le trafic SSL. Par exemple, une entreprise peut déchiffrer SSL au niveau de la défense du réseau et refléter le trafic déchiffré vers un tap réseau qui surveille les menaces avancées.

Figure 13 : Recommandations de dimensionnement pour le scénario de déploiement des clients d'entreprise

La figure 14 présente les spécifications de la gamme de périphériques matériels F5 disponibles pour répondre aux besoins d’évolutivité des organisations.

Figure 14 : Spécifications matérielles F5 pour la protection DDoS. Consultez les cas d'utilisation pour des recommandations spécifiques.

Cette architecture de référence de protection DDoS recommandée s’appuie sur la longue expérience de F5 dans la lutte contre les attaques DDoS auprès de ses clients. Les prestataires de services rencontrent du succès grâce à une approche consolidée. Les institutions mondiales de services financiers reconnaissent que l’architecture hybride recommandée représente l’emplacement idéal pour tous leurs contrôles de sécurité. Les clients d’entreprise réorganisent et réarchitecturent également leurs contrôles de sécurité autour de cette architecture. Dans un avenir prévisible, une architecture de protection DDoS hybride devrait continuer à fournir la flexibilité et la facilité de gestion dont les architectes ont besoin pour lutter contre la menace DDoS moderne.