Diagramas de arquitetura DDoS e white paper
Por mais de 20 anos, a F5 tem trabalhado com clientes para defender seus aplicativos contra ataques de negação de serviço distribuído (DDoS). Com o tempo, a F5 desenvolveu recursos essenciais de produtos para ajudar aplicativos e serviços a manter a resiliência contra ataques DDoS. Muitos ataques de alto perfil desde 2018 levaram provedores de serviços e provedores de serviços gerenciados (MSPs), organizações financeiras e empresas a redesenhar suas redes para incluir proteção DDoS. Trabalhando com esses clientes, a F5 desenvolveu uma arquitetura de referência de proteção DDoS que inclui componentes locais e na nuvem.
A arquitetura de referência inclui várias camadas de defesas locais para proteger as camadas 3 a 7. A camada de defesa de rede protege o DNS e as camadas 3 e 4. Livre do ruído dos ataques de rede, a camada de defesa do aplicativo pode usar seus recursos de CPU para proteger os aplicativos de camada superior. Este design permite que as organizações se defendam contra todos os tipos de ataques DDoS e fornece benefícios em todos os data centers da organização. Por fim, o componente de nuvem da solução de proteção contra DDoS funciona como uma proteção contra falhas para mitigação de ataques volumétricos.
Embora o cenário de ameaças DDoS esteja em constante evolução, a F5 descobriu que os ataques continuam a se enquadrar em quatro tipos de ataque com as seguintes características:
- Volumétrico — Ataques baseados em inundações que podem ocorrer nas camadas 3, 4 ou 7. Ataques em L3–4 geralmente são tráfego UDP falsificado.
- Assimétrico — Tráfego UDP unilateral ou sem estado.
- Computacional — Ataques projetados para consumir CPU e memória, geralmente em L7 via TCP.
- Baseado em vulnerabilidades — Ataques que exploram vulnerabilidades de software.
Mecanismos defensivos evoluíram para lidar com essas diferentes categorias, e organizações de alto nível aprenderam a implantá-los em arranjos específicos para maximizar sua postura de segurança. Ao trabalhar com essas empresas e ajustar seus componentes, a F5 desenvolveu uma arquitetura de mitigação de DDoS recomendada que pode acomodar requisitos específicos de escala de data center e do setor.
A arquitetura de referência de proteção DDoS a seguir é construída em torno de componentes conhecidos do setor. Alguns podem ser fornecidos por outros fornecedores, mas alguns são componentes F5 específicos.
A Figura 1 mapeia os componentes da arquitetura DDoS para as quatro categorias de ataques DDoS que eles mitigam.
| Categoria de Ataque | Componente de mitigação |
|---|---|
| Volumétrico | Serviço de limpeza baseado em nuvem Centro de depuração (modelo distribuído/anycast) Banco de dados de reputação de IP Buraco negro Especificação de fluxo |
Assimétrico |
Serviço de limpeza baseado em nuvem Centro de depuração (modelo distribuído/anycast) Banco de dados de reputação de IP Buraco negro Especificação de fluxo |
Computacional |
Application Delivery Controller Firewall de rede Firewall de aplicação Web |
Baseado em vulnerabilidade |
Banco de dados de reputação de IP Sistemas de prevenção/detecção de intrusão (IPS/IDS) Application Delivery Controller Firewall de aplicação Web |
Figura 1: Mapeamento de componentes de mitigação de DDoS para tipos de ataque
Um serviço de limpeza de DDoS baseado em nuvem é um componente essencial de qualquer arquitetura de mitigação de DDoS. Quando um invasor envia 50 Gbps de dados no ponto de entrada de 1 Gbps de uma organização, nenhuma quantidade de equipamento local resolverá esse problema. O serviço de nuvem, hospedado em uma verdadeira nuvem pública ou no provedor de serviços de largura de banda da organização, resolve o problema separando o ruim óbvio do provavelmente bom.
O firewall de rede tem sido a pedra angular da segurança de perímetro por muito tempo. No entanto, muitos firewalls de rede não são resistentes a ataques DDoS. Na verdade, muitos dos firewalls mais vendidos podem ser desabilitados com os ataques mais simples da camada 4. A taxa de transferência não é a resposta se o firewall não reconhecer e mitigar o ataque.
Para um dispositivo de controle de segurança baseado nas camadas 3 e 4, a F5 recomenda que os arquitetos escolham um firewall de rede de alta capacidade e com reconhecimento de DDoS. Especificamente, os arquitetos devem procurar dar suporte a milhões (não milhares) de conexões simultâneas e ser capazes de repelir vários ataques (por exemplo, inundações de SYN) sem afetar o tráfego legítimo.
Os controladores de entrega de aplicativos (ADCs) fornecem pontos estratégicos de controle na rede. Quando escolhidos, provisionados e controlados adequadamente, eles podem fortalecer significativamente uma defesa DDoS. Por exemplo, a natureza de proxy completo do F5 ADC reduz ameaças computacionais e baseadas em vulnerabilidades ao validar protocolos comuns, como HTTP e DNS. Por esses motivos, a F5 recomenda um ADC proxy completo.
O firewall de aplicativo da Web é um componente de nível superior que entende e aplica a política de segurança do aplicativo. Este componente pode ver e mitigar ataques na camada de aplicação, sejam eles inundações HTTP volumétricas ou ataques baseados em vulnerabilidades. Vários fornecedores fornecem firewalls para aplicativos web. No entanto, para uma arquitetura DDoS eficaz, a F5 recomenda apenas seu próprio módulo de firewall de aplicativo web pelos seguintes motivos:
- O firewall de aplicativo web F5 pode fornecer serviços adicionais, como anti-hacking, proteção contra web scraping e conformidade com PCI.
- Os clientes do F5 se beneficiam do uso de uma combinação do ADC e do firewall de aplicativo da Web para aplicar a entrega de aplicativos e a política de segurança de aplicativos ao mesmo tempo.
- O F5 ADC descarrega e inspeciona o tráfego SSL. Ao combiná-lo com o firewall de aplicativo da web, os clientes podem consolidar a terminação SSL e a análise de segurança da carga criptografada em um único dispositivo.
Os sistemas de detecção e prevenção de intrusão (IDS/IPS) podem desempenhar um papel importante na mitigação de DDoS. A F5 recomenda que a funcionalidade IDS/IPS não seja implantada apenas em um único local (por exemplo, integrada a um firewall de camada 4). Em vez disso, o IDS/IPS deve ser implantado em instâncias estratégicas na frente de componentes de back-end que podem precisar de proteção adicional específica, como um banco de dados ou servidor web específico. Um IPS também não substitui um firewall de aplicativo web. Proteger infraestrutura e aplicativos é análogo a descascar uma cebola. Um IPS é projetado para interromper ataques na camada superior (protocolos), enquanto os WAFs são projetados para proteger as camadas inferiores (aplicativos).
Um banco de dados de reputação de IP ajuda a defender contra ataques assimétricos de negação de serviço, impedindo que invasores DDoS usem scanners conhecidos para sondar um aplicativo para exploração e penetração posteriores. Um banco de dados de reputação de IP pode ser gerado internamente ou vir de um serviço de assinatura externo. As soluções de reputação de IP da F5 combinam inteligência de código aberto (OSINT), dados da F5 e feeds de terceiros para fornecer ampla cobertura de domínios maliciosos.
A F5 recomenda uma solução DDoS híbrida na nuvem/no local. Ataques volumétricos serão mitigados pela F5 Silverline DDoS Protection, um serviço fornecido pela plataforma baseada em nuvem da F5 Silverline. O Silverline DDoS Protection analisará e removerá a maior parte do tráfego de ataque.
Às vezes, uma campanha DDoS pode incluir ataques na camada de aplicação que devem ser resolvidos no local. Esses ataques assimétricos e computacionais podem ser mitigados usando as camadas de defesa de rede e de aplicação. A camada de defesa de rede é composta por serviços de firewall de rede L3 e L4 e balanceamento de carga simples para a camada de defesa de aplicativo. A camada de defesa do aplicativo consiste em serviços mais sofisticados (e que exigem mais CPU), incluindo terminação SSL e uma pilha de firewall de aplicativo da web.
Há benefícios convincentes em separar a defesa de rede e a defesa de aplicativos para a parte local da arquitetura de proteção contra DDoS.
- As camadas de defesa de rede e aplicativo podem ser dimensionadas independentemente umas das outras. Por exemplo, quando o uso do firewall de aplicativo da Web aumenta, outro dispositivo (ou blade) pode ser adicionado à camada do aplicativo sem afetar a camada de rede.
- As camadas de defesa de rede e aplicativo podem usar diferentes plataformas de hardware e até mesmo diferentes versões de software.
- Quando novas políticas são aplicadas na camada de defesa do aplicativo, a camada de defesa da rede pode direcionar apenas uma parte do tráfego para as novas políticas até que elas sejam totalmente validadas.
A Figura 3 mostra os componentes necessários para fornecer recursos específicos. Os componentes F5 da arquitetura de referência de proteção DDoS incluem:
- Silverline DDoS Protection
- BIG-IP® AFM™ (AFM)
- Gerenciador de tráfego local BIG-IP® (LTM)
- BIG-IP® DNS™ com DNS Express™
- Firewall de aplicativo da Web avançado BIG-IP® ™ (WAF avançado)
| NUVEM | Defesa de rede | Defesa de Aplicação | DNS | |
|---|---|---|---|---|
Componentes F5 |
Ataque DDoS SilverLine Proteção |
AFM de grande IP BIG-IP LTM |
BIG-IP LTM BIG-IP Advanced WAF |
DNS BIG-IP com DNS Express™ |
Modelo OSI |
Camadas 3 e 4 |
Camadas 3 e 4 |
Camada 7 |
DNS |
Capacidades |
Depuração volumétrica Painel de tráfego |
Firewall de rede Balanceamento de carga da camada 4 Listas de bloqueio de IP |
Terminação SSL Firewall de aplicação Web Balanceamento de carga secundário |
Resolução DNS DNSSEC |
Ataques mitigados |
Cheias volumétricas Amplificação Lista de permissão de protocolo |
Inundações SYN Inundações ICMP Pacotes malformados Inundações TCP Atores ruins conhecidos |
Lento-Loris POST lento Assassino Apache RUDY/Manter Morto Ataques SSL |
Inundações UDP Inundações de DNS Inundações NXDOMAIN NXNS Ataques DNSSEC |
Figura 3: Mapeamento de componentes F5 para capacidades de mitigação de DDoS
Embora a arquitetura multicamadas seja preferida em ambientes de alta largura de banda, a F5 entende que, para muitos clientes, criar várias camadas de DDoS pode ser um exagero para um ambiente de baixa largura de banda. Esses clientes estão implantando um dispositivo de perímetro de mitigação de DDoS que consolida a entrega de aplicativos com serviços de firewall de aplicativos da web e de rede.
As práticas recomendadas aqui ainda se aplicam. Referências a camadas de defesa de rede e aplicativo podem ser simplesmente aplicadas à camada única e consolidada na arquitetura alternativa.
As organizações correm o risco de sofrer ataques DDoS volumétricos em larga escala, capazes de sobrecarregar sua capacidade de largura de banda de entrada voltada para a Internet. Para se defender contra esses ataques, eles podem efetuar uma mudança de rota (com um anúncio de rota BGP) para direcionar o tráfego de entrada para data centers de alta largura de banda que podem limpar o tráfego malicioso e enviar o tráfego limpo e limpo de volta para o data center de origem da organização.
Os fatores que podem influenciar a escolha de um provedor de DDoS na nuvem incluem a localização geográfica das instalações de limpeza, capacidade de largura de banda, latência, tempo de mitigação e valor da solução. Como indica a Figura 4, os ataques DDoS podem atingir um consumo de largura de banda medido em centenas de Gbps, colocando uma infraestrutura em risco de ficar completamente sobrecarregada.
Em alguns casos, pode ser adicionado tempo adicional às solicitações recebidas quando um depurador de nuvem não tem um centro de depuração próximo ao data center da organização. Para reduzir a latência potencial, os MSPs e outras empresas globais devem utilizar depuradores de nuvem estrategicamente posicionados nas regiões onde têm operações que podem ser impactadas por ataques.
Manter a disponibilidade contra ataques volumétricos depende da cobertura global (data centers na América do Norte, Europa e Ásia) e de terabits de capacidade global ou centenas de gigabits por centro.
As organizações dirão que o verdadeiro valor de um depurador de nuvem só é percebido após a campanha de ataque. As perguntas que determinam sua satisfação incluem:
- Foi caro?
- Qual foi o nível de falsos positivos?
- Tínhamos visibilidade e controle sobre a entrega do tráfego legítimo?
As organizações podem usar a assinatura Silverline DDoS Protection Always Available para rotear o tráfego pelo F5 Silverline quando um ataque DDoS for detectado. Como alternativa, a assinatura Silverline DDoS Protection Always On pode rotear o tráfego por meio do F5 Silverline o tempo todo para garantir maior disponibilidade das redes e aplicativos da organização.
O Silverline DDoS Protection tem dois modelos principais de implantação: modo roteado e modo proxy.
O modo roteado é para empresas que precisam proteger toda a sua infraestrutura de rede. A Silverline DDoS Protection emprega o Border Gateway Protocol (BGP) para rotear todo o tráfego para seu centro de proteção e depuração e utiliza um túnel Generic Routing Encapsulation (GRE)/VPN L2/Equinix Cloud Exchange para enviar o tráfego limpo de volta para a rede de origem. O modo roteado é um design escalável para empresas com grandes implantações de rede. Ele não requer nenhuma configuração específica de aplicativo e fornece uma opção fácil para ativar ou desativar a proteção DDoS do Silverline.
O modo proxy é para empresas que precisam proteger seus aplicativos contra ataques DDoS volumétricos, mas não têm uma rede pública de Classe C. O DNS é usado para rotear todo o tráfego para os centros de depuração F5 Silverline. O tráfego limpo é enviado pela Internet pública para os servidores de origem do aplicativo.
Os métodos de tráfego de retorno usados pela Silverline DDoS Protection incluem:
- Túneis GRE.
- Troca de Nuvem Equinix.
- VPN L2.
- Internet pública.
A Figura 4 mostra que em 2019-2020, o recorde do maior ataque DDoS do mundo foi quebrado várias vezes. Para atingir tal consumo de largura de banda, esses ataques usaram uma combinação de ataques de inundação (por exemplo, ACK, NTP, RESET, SSDP, SYN e UDP) junto com Anomalia TCP, Fragmento UDP e Reflexão CLDAP de milhares de postagens públicas involuntárias na Internet para uma vítima pretendida.
A camada de defesa da rede é construída em torno do firewall da rede. Ele foi projetado para mitigar ataques computacionais, como inundações de SYN e inundações de fragmentação de ICMP. Essa camada também atenua ataques volumétricos até o congestionamento do ponto de entrada (normalmente 80 a 90 por cento do tamanho nominal do tubo). Muitas organizações integram seus bancos de dados de reputação de IP nessa camada e têm controles de endereços IP por origem durante um ataque DDoS.
Algumas organizações passam o DNS pela primeira camada para um servidor DNS na DMZ. Nessa configuração, com os controles corretos da camada 4, eles podem validar pacotes DNS antes de enviá-los ao servidor.
Para organizações com uma estratégia de virtualização em primeiro lugar, pode ser desafiador mitigar ataques DDoS que têm como alvo sua infraestrutura virtualizada sem hardware desenvolvido especificamente. Soluções de segurança virtualizadas executadas em servidores COTS x86 geralmente não possuem os atributos de alto desempenho de dispositivos personalizados, tornando a mitigação eficaz de DDoS centrada em software quase impossível em muitos casos.
A solução da F5 para esse desafio utiliza uma nova geração de placas de interface de rede (NICs), conhecidas como SmartNICs, para reforçar a solução de edição virtual (VE) BIG-IP AFM. Ao programar um FPGA de alto desempenho incorporado dentro dessas SmartNICs para detectar e bloquear ataques DDoS antes que eles atinjam o BIG-IP VE e os servidores de aplicativos, a F5 consegue bloquear ataques com ordens de magnitude maiores — até 300 vezes maiores — do que qualquer solução comparável somente de software para manter os aplicativos online. Descarregar a mitigação de DDoS do BIG-IP AFM VE para um SmartNIC não apenas libera ciclos de CPU do VE para otimizar outras funcionalidades de segurança (como WAF ou SSL), mas também pode reduzir o TCO em até 47%.
À medida que os ataques da camada 4 ocorrem, as inundações de conexão TCP podem afetar qualquer dispositivo com estado na rede, especialmente firewalls que não são resistentes a DDoS. O ataque é projetado para consumir a memória das tabelas de conexão de fluxo em cada dispositivo com estado. Muitas vezes, essas inundações de conexão não têm conteúdo real. Eles podem ser absorvidos em tabelas de conexão de alta capacidade na camada de rede ou mitigados por firewalls de proxy completo.
As inundações de conexão SSL são projetadas especificamente para atacar os dispositivos que encerram o tráfego criptografado. Devido ao contexto criptográfico que deve ser mantido, cada conexão SSL pode consumir de 50.000 a 100.000 bytes de memória. Isso torna os ataques SSL especialmente dolorosos.
O F5 recomenda tanto a capacidade quanto a técnica de proxy completo para mitigar inundações de conexões TCP e SSL. A Figura 7 mostra a capacidade de conexão de firewalls de rede baseados em F5.
| Série Plataforma | Tamanho da tabela de conexão TCP | Tamanho da tabela de conexão SSL |
|---|---|---|
Chassi VIPRION |
12–144 milhões |
1–32 milhões |
Eletrodomésticos de alta qualidade |
24–36 milhões |
2,5–7 milhões |
Eletrodomésticos de médio porte |
24 milhões |
4 milhões |
Eletrodomésticos de baixo custo |
6 milhões |
0,7–2,4 milhões |
Edição Virtual (com SmartNIC VE) |
3 milhões |
0.7 milhões |
Figura 7: A capacidade de conexão das plataformas de hardware F5
A camada de defesa do aplicativo é onde a F5 recomenda implantar mecanismos de defesa com uso intensivo de CPU e com reconhecimento de aplicativo, como paredes de login, políticas de firewall de aplicativo da Web e contexto de segurança dinâmico usando o F5 iRules. Frequentemente, esses componentes compartilharão espaço em rack com dispositivos IDS/IPS direcionados nesta camada.
É aqui também que normalmente ocorre a terminação do SSL. Embora algumas organizações encerrem o SSL na camada de defesa da rede, isso é menos comum devido à sensibilidade das chaves SSL e às políticas contra mantê-las no perímetro de segurança.
GETs e POSTs recursivos estão entre os ataques mais perniciosos da atualidade. Pode ser muito difícil distingui-los do tráfego legítimo. Inundações GET podem sobrecarregar bancos de dados e servidores, e também podem causar um “pipe cheio reverso”. O F5 registrou um invasor que estava enviando 100 Mbps de consultas GET para um alvo e gerando 20 Gbps de dados.
As estratégias de mitigação para inundações GET incluem:
- A defesa do muro de login.
- Perfis de proteção DDoS.
- Aplicação real do navegador.
- CAPTCHA.
- iRules de limitação de solicitações.
- iRules personalizadas.
A configuração e a instalação dessas estratégias podem ser encontradas na documentação Práticas Recomendadas de DDoS do F5.
DNS é o segundo serviço mais visado depois do HTTP. Quando o DNS é interrompido, todos os serviços externos do data center (não apenas um único aplicativo) são afetados. Esse ponto único de falha total, juntamente com a infraestrutura de DNS frequentemente subprovisionada, torna o DNS um alvo tentador para invasores.
Os serviços de DNS têm sido historicamente subprovisionados. Uma porcentagem significativa de implantações de DNS são subprovisionadas a ponto de não conseguirem suportar nem mesmo ataques DDoS de pequeno a médio porte.
Os caches DNS se tornaram populares porque podem aumentar o desempenho percebido de um serviço DNS e fornecer alguma resiliência contra ataques de consulta DNS padrão. Os invasores mudaram para o que é chamado de ataques “no such domain” (ou NXDOMAIN), que drenam rapidamente os benefícios de desempenho fornecidos pelo cache.
Para remediar isso, a F5 recomenda usar como front-end o serviço de nomes de domínio DNS BIG-IP com o módulo proxy DNS especial de alto desempenho chamado F5 DNS Express™. O DNS Express atua como um resolvedor absoluto na frente dos servidores DNS existentes. Ele carrega as informações de zona dos servidores e resolve cada solicitação ou retorna NXDOMAIN. Não é um cache e não pode ser esvaziado por meio de inundações de consulta NXDOMAIN.
Muitas vezes, o serviço DNS existe como seu próprio conjunto de dispositivos, separado do primeiro perímetro de segurança. Isso é feito para manter o DNS independente dos aplicativos que ele atende. Por exemplo, se parte do perímetro de segurança ficar indisponível, o DNS pode redirecionar solicitações para um data center secundário ou para a nuvem. Manter o DNS separado das camadas de segurança e aplicação pode ser uma estratégia eficaz para manter a máxima flexibilidade e disponibilidade.
Algumas grandes empresas com vários data centers atendem DNS fora do perímetro de segurança principal usando uma combinação de BIG-IP DNS com DNS Express e o módulo de firewall BIG-IP AFM. O principal benefício dessa abordagem é que os serviços de DNS permanecem disponíveis mesmo se a camada de defesa da rede ficar offline devido a DDoS.
Independentemente de o DNS ser servido dentro ou fora da DMZ, o BIG-IP DNS ou o BIG-IP AFM podem validar as solicitações de DNS antes que elas cheguem ao servidor DNS.
A seguir estão três casos de uso para a arquitetura de referência que mapeiam três cenários típicos de clientes:
- Provedor de serviços gerenciados (mobilidade ou linha fixa)
- Grande centro de dados de instituições de serviços financeiros (FSI)
- Centro de dados empresarial
Cada caso de uso abaixo contém um diagrama do cenário de implantação, uma breve descrição das especificidades do caso de uso e componentes F5 recomendados dentro desse cenário. Veja também a Figura 14 para obter informações adicionais sobre dimensionamento.
O caso de uso do data center MSP visa fornecer segurança para uma variedade de aplicativos e, ao mesmo tempo, maximizar o valor dos recursos do data center. O retorno sobre o investimento (ROI) é crucial para MSPs, que geralmente gostariam de fazer tudo em um único dispositivo, se possível, e estão dispostos a ficar offline durante um ataque DDoS.
Para este caso de uso, o MSP está colocando todos os ovos na mesma cesta. Ela obterá a solução mais econômica, mas também enfrentará o maior desafio de disponibilidade.
Por outro lado, a organização ganha eficiência ao concentrar recursos especializados e com profundo conhecimento em uma única plataforma. A F5 fornece sistemas de alta disponibilidade, escala e desempenho superiores e suporte de classe mundial que ajudam a compensar ainda mais os riscos.
Certamente, a economia financeira é o maior benefício dessa arquitetura consolidada. Uma solução DDoS superior usa equipamentos que já estão funcionando para fornecer aplicativos geradores de receita todos os dias. O ambiente consolidado ajuda a economizar espaço em rack, energia e gerenciamento.
| LOCAL | Equipamento F5 |
|---|---|
NUVEM |
Proteção DDoS Silverline: Assinatura “Sempre ativa” Assinatura “Sempre disponível” |
Nível consolidado no local |
Par de dispositivos BIG-IP de médio a alto padrão Complemento de licença: BIG-IP DNS Complemento de licença: Advanced WAF Complemento de licença: AFM de grande IP Complemento de licença: Gerenciador de Políticas de Aplicação BIG-IP (APM) |
Figura 9: Recomendações de dimensionamento para o cenário de implantação do MSP
O cenário de grande data center FSI é um caso de uso maduro e bem reconhecido para proteção DDoS. Normalmente, o FSI terá vários provedores de serviços, mas pode abrir mão das ofertas de DDoS volumétrico desses provedores em favor de outro serviço de limpeza. Muitos deles também podem ter um depurador de nuvem de backup como uma apólice de seguro contra a falha do depurador de nuvem principal em mitigar ataques DDoS volumétricos.
O data center da FSI geralmente tem poucos funcionários corporativos, então não há necessidade de um firewall de última geração.
Os FSIs têm a política de segurança mais rigorosa fora das instituições militares federais. Por exemplo, quase todos os FSIs devem manter a carga criptografada em todo o data center. Os FSIs têm a classe de ativos de maior valor (contas bancárias) na Internet, por isso são alvos frequentes, não apenas para DDoS, mas também para hackers. A arquitetura local de duas camadas permite que as organizações FSI dimensionem sua política de segurança abrangente e com uso intensivo de CPU na camada do aplicativo, independentemente de seu investimento na camada de rede.
Este caso de uso permite que as FSIs criem uma solução resistente a DDoS, mantendo (na verdade, aproveitando) o equipamento de segurança que já possuem. Os firewalls na camada de defesa da rede continuam fazendo seu trabalho, e os dispositivos BIG-IP na camada de defesa do aplicativo continuam evitando violações.
| LOCAL | Equipamento F5 |
|---|---|
NUVEM |
Proteção DDoS Silverline: Assinatura “Sempre ativa” Assinatura “Sempre disponível” |
Camada de rede |
Chassi VIPRION (Par) Complemento VIPRION: AFM de grande IP |
Nível de aplicação |
Dispositivo BIG-IP de médio porte Complemento de licença: Advanced WAF |
DNS |
Dispositivo BIG-IP de médio alcance (par) |
Figura 11: Recomendações de dimensionamento para o cenário de implantação do FSI
O cenário anti-DDoS empresarial é semelhante ao cenário de grandes FSI. A principal diferença é que as empresas têm funcionários dentro do data center e, portanto, precisam dos serviços de um firewall de última geração (NGFW). Eles podem ficar tentados a usar um único NGFW para entrada e saída, mas isso os torna vulneráveis a ataques DDoS, já que os NGFW não foram projetados para lidar com ataques DDoS que evoluem ou são multivetoriais.
A F5 recomenda que as empresas obtenham proteção contra ataques DDoS volumétricos de um depurador de nuvem como o F5 Silverline. No local, a arquitetura empresarial recomendada inclui um NGFW menor em um caminho separado do tráfego de entrada do aplicativo. Ao usar uma camada de defesa de rede e uma camada de defesa de aplicativo, as empresas podem aproveitar o dimensionamento assimétrico, adicionando mais dispositivos F5 WAF se perceberem que a CPU está escassa.
Diferentes setores e empresas têm requisitos diferentes. Ao usar equipamentos F5 em ambas as camadas, a arquitetura empresarial permite que os clientes decidam onde faz mais sentido descriptografar (e, opcionalmente, criptografar novamente) o tráfego SSL. Por exemplo, uma empresa pode descriptografar SSL na camada de defesa da rede e espelhar o tráfego descriptografado para um tap de rede que esteja monitorando ameaças avançadas.
| LOCAL | Equipamento F5 |
|---|---|
NUVEM |
Proteção DDoS Silverline: Assinatura “Sempre ativa” Assinatura “Sempre disponível” |
Camada de rede |
Dispositivo BIG-IP de ponta (par) Complemento de licença: AFM de grande IP |
Nível de aplicação |
Dispositivo BIG-IP de médio porte Complemento de licença: Advanced WAF |
DNS |
Dispositivo BIG-IP de médio alcance (par) |
Figura 13: Recomendações de dimensionamento para o cenário de implantação do cliente empresarial
A Figura 14 mostra as especificações para a gama de dispositivos de hardware F5 que estão disponíveis para atender aos requisitos de dimensionamento das organizações.
| Taxa de transferência | SYN Flood (por segundo) | Inundação ICMP | Inundação HTTP (redirecionamento JavaScript) | Conexões TCP | Conexões SSL | |
|---|---|---|---|---|---|---|
Chassi VIPRION 2400 de 4 lâminas |
160 Gbps |
196 milhões |
100 Gbps |
350.000 RPS |
48 milhões |
10 milhões |
Aparelho 10200V Eletrodoméstico de alta qualidade |
80 Gbps |
80 milhões |
56 Gbps |
175.000 RPS |
36 milhões |
7 milhões |
Aparelho 7200V Eletrodoméstico de gama média |
40 Gbps |
40 milhões |
32 Gbps |
131.000 RPS |
24 milhões |
4 milhões |
Aparelho 5200v Eletrodoméstico de baixo custo |
30 Gbps |
40 milhões |
32 Gbps |
131.000 RPS |
24 milhões |
4 milhões |
Figura 14: Especificações de hardware F5 para proteção DDoS. Veja os casos de uso para recomendações específicas.
Esta arquitetura de referência de proteção DDoS recomendada se baseia na longa experiência da F5 no combate a ataques DDoS com seus clientes. Os provedores de serviços estão obtendo sucesso com uma abordagem consolidada. Instituições globais de serviços financeiros estão reconhecendo que a arquitetura híbrida recomendada representa o posicionamento ideal para todos os seus controles de segurança. Os clientes corporativos também estão reorganizando e reestruturando seus controles de segurança em torno dessa arquitetura. No futuro próximo, uma arquitetura híbrida de proteção contra DDoS deve continuar a fornecer a flexibilidade e a capacidade de gerenciamento que os arquitetos precisam para combater a ameaça moderna de DDoS.
Conecte-se com F5
