En octobre 2016, le fournisseur DNS Dyn a été victime d'une attaque majeure par déni de service distribué (DDoS) par une armée d'appareils IoT qui avaient été piratés spécifiquement à cette fin. Plus de 14,000 100,000 domaines utilisant les services de Dyn sont devenus surchargés et inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal. Selon une étude de Cloudflare, le coût moyen d'une panne d'infrastructure pour les entreprises est de 75,000 7 $ (XNUMX XNUMX $) par heure. Comment pouvez-vous vous assurer que votre organisation ne soit pas victime de ce type d'attaque ? Dans ce guide, vous découvrirez les principaux fournisseurs d'infrastructure qui disposent de la puissance numérique pour se protéger contre les attaques conçues pour inonder la capacité de votre réseau. Vous apprendrez également quels fournisseurs peuvent offrir une protection contre les attaques d'applications plus sophistiquées (couche XNUMX), ce qui peut être fait sans un grand nombre d'ordinateurs piratés (parfois appelés botnet).
![Escudo del proyecto]()
Bouclier de projet
1. Bouclier du projet
Protection DDoS puissante de Google, mais pas de tous les invités Profitez de l'infrastructure de Google Configuration très simple Uniquement disponible pour certains sites Web Project Shield est une idée originale de Jigsaw, une filiale de la société mère de Google, Alphabet. Le développement a commencé il y a plusieurs années sous George Conard à la suite d'attaques contre des sites Web d'observation d'élections et de droits de l'homme connexes en Ukraine. Project Shield est capable de filtrer le trafic malveillant potentiel en agissant comme un proxy inverse qui se situe entre un site Web et Internet en général, en filtrant les demandes de connexion. Si une connexion semble provenir d'un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est jugée infructueuse, comme plusieurs tentatives de connexion à partir de la même adresse IP, elle est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre en modifiant simplement les paramètres DNS de vos serveurs. Tout utilisateur expérimenté lisant ceci peut se demander comment le filtrage du trafic via un proxy avec SSL fonctionnera. Heureusement, Jigsaw a pensé à cela et a élaboré un didacticiel complet pour s'assurer que les connexions sécurisées à votre site fonctionnent comme un charme. Divers autres tutoriels sont également disponibles dans la section support. Project Shield n'est actuellement disponible que pour les sites Web dédiés aux médias, à la surveillance des élections et aux droits de l'homme. L'accent est également mis sur les petits sites Web sous-financés qui ne peuvent pas se permettre des solutions d'hébergement coûteuses pour se protéger contre les attaques DDoS. Si votre organisation ne répond pas à ces exigences, vous devrez peut-être envisager une solution alternative comme Cloudflare.
![Flama de nube]()
Flamme de nuage
2. Flamme des nuages
Le poids lourd de la protection DDoS Leader du secteur des solutions DoS Le niveau gratuit inclut une protection de base Les forfaits commerciaux sont relativement chers Quiconque a utilisé Internet au cours des dernières années connaîtra Cloudflare, car de nombreux sites Web majeurs utilisent sa protection. Bien que Cloudflare ait son siège social aux États-Unis, il exploite plus de 180 centres de données dans le monde – une infrastructure qui rivalise avec celle de Google. Cela maximise les chances que vos sites restent en ligne. Chaque utilisateur de Cloudflare peut choisir d'activer le mode `` Je suis attaqué '' qui peut se protéger contre les attaques DoS les plus sophistiquées en présentant un défi JavaScript. Cloudflare agit également généralement comme un proxy inverse entre les visiteurs et l'hébergeur de votre site pour filtrer le trafic de la même manière que Project Shield de Jigsaw. En mars 2019, Cloudflare a publié Spectrum for UDP, qui fournit une protection DDoS et un pare-feu pour les protocoles non fiables. Les visiteurs qui font des demandes de connexion doivent exécuter un ensemble de filtres sophistiqués, y compris la réputation du site, si leur adresse IP a été mise sur liste noire et que l'en-tête HTTP semble suspect. Les requêtes HTTP sont enregistrées par empreinte digitale pour se protéger contre les botnets connus. En tant que géant de l'industrie, Cloudflare peut facilement tirer parti de sa position en partageant des informations sur les plus de 7 millions de sites Web qu'il gère. Cloudflare propose un plan de base gratuit qui inclut une atténuation DDoS illimitée. Pour ceux qui souhaitent débourser pour un abonnement commercial Cloudflare (les prix commencent à 200 € ou 149 € par mois), une protection plus avancée est disponible, comme le téléchargement de certificats SSL personnalisés.
![AWS Shield]()
Bouclier AWS
3. AWS Shield
Excellente atténuation DDoS de référence avec plus Le niveau gratuit standard protège contre les attaques les plus courantes Installation facile Le niveau avancé est très coûteux. La protection AWS Shield est fournie par les bonnes personnes chez Amazon Web Services. Le niveau « Standard » est disponible pour tous les clients AWS sans frais supplémentaires. C'est idéal car de nombreuses petites entreprises choisissent d'héberger leurs sites Web avec Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Protège contre les attaques de réseau (couche 3) et de transport (couche 4) plus traditionnelles lorsqu'il est utilisé avec les services Amazon Cloud Front et Route 53. Cela devrait décourager tous les pirates sauf les plus déterminés. Cependant, votre bande passante, disons 15 Gbp/s, sera toujours limitée par la taille de votre instance Amazon, permettant aux pirates de mener une attaque DoS s'ils disposent de suffisamment de ressources. Pire encore, vous êtes toujours responsable du paiement de tout trafic supplémentaire vers votre instance. Pour atténuer ce problème, Amazon propose également AWS Shield Advanced. Un abonnement inclut une protection contre les coûts DDoS, ce qui peut vous faire économiser une forte augmentation de votre facture d'utilisation mensuelle si vous êtes victime d'une attaque. AWS Shield Advanced peut également déployer vos ACL (Access Control Lists) à la périphérie du réseau AWS, vous offrant une protection contre les plus grandes attaques. Les abonnés avancés bénéficient également d'un DRT (DDoS Response Team) 24h/3,000 ainsi que de métriques détaillées sur les attaques sur leurs instances. Cependant, la tranquillité d'esprit offerte par AWS Shield Advanced a un coût. Vous devez être prêt à vous abonner pour un minimum d'un an pour un prix de 2,200 XNUMX € (XNUMX XNUMX €) par mois. Cela s'ajoute aux coûts d'utilisation du transfert de données que vous pouvez couvrir sur une base "pay as you go".
![Microsoft Azure]()
Microsoft Azure
4.Microsoft Azure
Protection de base brillante à un niveau premium abordable La protection standard est extrêmement facile à configurer Atténuation automatisée des menaces Protection DDoS globale pour toutes les ressources Comme Amazon, Microsoft offre la possibilité de louer un espace de service via son service Azure. Tous les membres bénéficient d'une protection DDoS de base. Les fonctionnalités incluent la surveillance du trafic 3h/7 et 30j/2,944 et l'atténuation des attaques réseau en temps réel (couche 2,204) pour toutes les adresses IP publiques que vous utilisez. Il s'agit du même type de protection offert aux propres services en ligne de Microsoft, et toutes les ressources du réseau Azure peuvent être utilisées pour absorber les attaques DDoS. Pour les organisations qui ont besoin d'une protection plus sophistiquée, Azure propose également un niveau "Standard". Cela a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de souris. Il est important de noter qu'Azure ne vous oblige pas à apporter des modifications à vos applications, bien que le niveau standard offre une protection contre les attaques DDoS d'application (couche 100) via le pare-feu d'application Web Application Gateway. Azure Monitor peut vous montrer des métriques en temps réel si une attaque se produit. Celles-ci sont conservées pendant XNUMX jours et peuvent être exportées pour complément d'étude si vous le souhaitez. Azure vérifie en permanence le trafic Web vers vos ressources. Si ceux-ci dépassent un seuil prédéfini, l'atténuation DDoS démarre automatiquement. Cela inclut l'inspection des paquets pour s'assurer qu'ils ne sont pas malformés ou falsifiés, ainsi que l'utilisation de la limitation du débit. La protection standard est actuellement de XNUMX XNUMX € (XNUMX XNUMX €) par mois plus les frais de données jusqu'à XNUMX ressources. La protection s'applique également à toutes les ressources. En d'autres termes, vous ne pouvez pas adapter l'atténuation DDoS à des mesures individuelles.
![Protección DDoS de Verisign]()
Protection DDoS Verisign
5. Protection DDoS Verisign / Neustar
Le meilleur de la protection DDoS contre les vétérans de la sécurité Facile à configurer via DNS Centres de nettoyage dédiés pour se protéger contre les attaques L'interface déployable sur site prend du temps à apprendre même. Verisign est presque aussi vieux qu'Internet lui-même. Depuis 1995, elle est passée d'une simple autorité de certification à un acteur majeur de l'industrie des services réseau. La protection DDoS de Verisign fonctionne dans le cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion en modifiant simplement leurs paramètres de serveur de noms de domaine (DNS). Le trafic est envoyé à Verisign pour vérification afin d'empêcher les attaques réseau. Verisign analyse soigneusement tout le trafic avant de le rediriger. Étant donné que Verisign exploite deux des treize serveurs de noms de routes au monde, il n'est pas surprenant que l'organisation exploite également plusieurs "centres de nettoyage" DDoS dédiés. Ceux-ci analysent le trafic et filtrent les demandes de mauvaise connexion. L'infrastructure combinée fonctionne à près de 2 To/s et peut bloquer même les attaques DDoS les plus dévastatrices. Ceci est en grande partie réalisé via Athena, la plate-forme d'atténuation des menaces de Verisign. Athéna est globalement divisée en trois éléments. Le "Shield" filtre les attaques de réseau (couche 3) et de transport (couche 4) via DPI (Deep Packet Inspection), la liste noire et la liste blanche, et la gestion de la réputation du site. Le "proxy" Athena inspecte les en-têtes HTTP à la recherche d'un mauvais trafic lors des tentatives de connexion initiales. Le « proxy » et le « bouclier » prennent tous deux en charge le « équilibreur de charge » d'Athena, qui aide à prévenir les attaques d'application (couche 7). Le portail client affiche des rapports de trafic détaillés et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexion. Pour les utilisateurs qui hésitent à tout implémenter dans le cloud, Verisign propose également OpenHybrid qui peut être installé sur site. Crédit image : Wikimedia Commons (Antoine Lamielle) Tour d'horizon des meilleures offres du jour