Dimensionamento da proteção contra DDoS na borda

Ataques, assim como outros tráfegos transmitidos pela Internet, são um tanto previsíveis. Na segunda-feira de manhã, corre para fazer login depois do fim de semana. Depois da escola, as crianças se conectam a jogos online. Aumento motivado pelas festas de fim de ano, pois os compradores tentam freneticamente encontrar "o presente perfeito" online. Padrões sazonais e relacionados ao setor são reconhecidos por pesquisadores e previstos por profissionais de segurança há anos.

Mas 2020 contrariou essas tendências e, em vez da tradicional redução sazonal nos ataques DDoS, os relatórios mostraram um aumento. A saber, o número médio de ataques por dia aumentou durante o segundo trimestre civil de 2020 , atingindo quase 300 ataques por dia (9 de abril). No primeiro trimestre, o recorde diário foi de 242 ataques. Essa anomalia foi atribuída à mudança abrupta para uma força de trabalho remota.

Embora seja verdade que novos padrões de ataques DDoS tenham surgido, também é verdade que ataques DDoS na camada de infraestrutura ainda são ataques DDoS. São o que poderíamos chamar de ataques "tradicionais". O que está mudando são as metas e oportunidades que vêm com uma força de trabalho distribuída.

Há receios de que uma nova geração de ameaças DDoS em hiperescala surja junto com as redes 5G. Essas preocupações são agravadas à medida que o Edge parece cada vez mais ser uma solução estratégica para o crescente desafio de manter a disponibilidade e o desempenho dos aplicativos para o que parece ser uma força de trabalho mais permanentemente remota e distribuída.

Este é um desafio existencial. Mais de 15% dos trabalhadores remotos enfrentam problemas de conectividade diariamente, com mais da metade (52%) enfrentando problemas mensalmente. ( Waveform, relatório de abril de 2020 ) O maior desafio enfrentado pelos CIOs em 2020 foi manter o desempenho dos aplicativos (66%) e a confiabilidade da rede (63%). ( Catchpoint, CIO New Normal Survey, 2020) Os consumidores enfrentam desafios semelhantes com conectividade, desempenho e disponibilidade de aplicativos dos setores de serviços públicos, bancos, varejo e culinária, que fizeram uma rápida transição para um modelo digital em primeiro lugar (ou somente digital). A capacidade de um ataque significativo exacerbar essas frustrações não é trivial.

A escala desses ataques — o tamanho médio de um ataque DDoS em 2019 foi de 12 Gbps — já é avassaladora. Há uma necessidade de novas tecnologias para lidar com essa ameaça crescente. Mas o espaço e os recursos ainda são limitados. Afinal, o Edge pode ser uma sala de serviço na base de uma torre de celular remota. Este não é um local privilegiado para data center. As restrições de espaço e a natureza remota da computação de ponta tornam a abordagem tradicional de "colocar mais hardware no problema" inviável.

Uma abordagem moderna é usar hardware mais inteligente para resolver o problema.

Já existe um mercado crescente para soluções que são aceleradas usando hardware especializado. No espaço emergente de IA e ML, vemos as GPUs assumindo o papel de acelerar os cálculos matemáticos complexos necessários para impulsionar análises mais rápidas e inteligentes. No espaço de rede, estamos vendo abordagens semelhantes que assumem a forma de um FPGA. O Intel PAC N3000 é um desses dispositivos que permitiu à F5 aplicar seus mais de dez anos de experiência em programação FPGA para bloquear ataques DDoS de entrada com mais eficiência.

Os testes da nossa solução em comparação com opções somente de software mostraram que a opção habilitada para FPGA foi capaz de suportar um ataque DDoS até 300 vezes maior em magnitude .

Além disso, como a solução utiliza o que é comumente chamado de SmartNIC, não há necessidade de espaço em rack ou hardware adicional. Não há necessidade de hardware dedicado para aproveitar os benefícios de uma solução assistida por hardware. Isso o torna mais adequado para provedores de serviços que estão enfrentando um crescimento exponencial no tráfego devido à mudança na força de trabalho e à implementação contínua do 5G.

Uma opção de software que se combina com uma NIC também a torna uma escolha infinitamente melhor para implantação em locais de ponta, onde restrições de espaço e recursos tornam implantações de hardware em larga escala insustentáveis.

A questão do desempenho e da confiabilidade na ponta da Internet — nossas casas e agora, ao que parece, nossos espaços de trabalho — continuará sendo um desafio. Enfrentá-lo exigirá novas abordagens para esses problemas tradicionais. Aproveitar hardware mais inteligente para dimensionar soluções em locais de ponta com recursos limitados é uma dessas abordagens.

Você pode aprender mais sobre como a F5 está dimensionando a segurança no Edge neste blog .