Protéger le cloud contre la menace DDoS
La constante évolution des menaces pour la sécurité est un problème sans fin pour la plupart des entreprises. Ainsi, ce problème est devenu une préoccupation importante pour les hébergeurs qui sont de plus en plus souvent la cible de cyber attaques, dont l’une des plus sérieuses est sans doute l’attaque par déni de service distribué (DDoS).
Les attaques DDoS ont vu leur ampleur, leur complexité et leur fréquence
augmenter ces dix dernières années, et visent désormais un grand nombre
d’entreprises. Ce ne sont toutefois pas seulement les entreprises en vue ou
impliquées dans la politique qui sont menacées. Toute entreprise qui utilise
Internet pour commercialiser des produits, proposer des services ou accéder
à des données et applications dans le cloud – ce qui est le cas des
entreprises de pratiquement tout type et toute taille dans les pays occidentaux
– peut devenir une cible, en raison de ce qu’elle est ou vend, de ses
partenaires, ou pour tout autre lien réel ou supposé qu’elle est susceptible
d’entretenir. L’éventail des motivations des attaques DDoS s’est
considérablement élargi (hacktivisme idéologique, extorsion de fonds, diversion pour masquer d’autres attaques,
vandalisme, lutte contre la concurrence, etc.), ce qui accroît la menace pour
de nombreuses entreprises.
La dernière étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), publiée par Arbor Networks en janvier 2013,
offre un aperçu des menaces actuelles et des moyens d’y faire face. L’étude
WISR, qui s’appuie sur une enquête réalisée chaque année auprès de la
communauté de la sécurité informatique dans son ensemble, réunit les observations,
les expériences et les préoccupations des professionnels du secteur à travers
le monde. Cette année, elle révèle que près de la moitié des hébergeurs de
services internet interrogés subissent des attaques DDoS et, pour 94% d’entre
eux, ces attaques sont régulières.
En quoi est-ce si préoccupant ?
Les sites d’hébergement internet présentent un environnement offrant une
multitude de cibles potentielles. De fait, on note une augmentation
substantielle de la proportion des participants de l’enquête WISR qui
ont enregistré des attaques visant leurs infrastructures d’hébergement (61%,
contre 33% l’année précédente) ainsi que leurs infrastructures supportant les services
(DNS, etc.) (42% contre 16%). Outre la fréquence accrue des attaques, déjà
évoquée, les hébergeurs doivent mobiliser des ressources pour lutter
contre ce problème grandissant, qui peuvent engendrer des coûts
considérables.
88% des participants de l’enquête WISR exploitant des centres d’hébergement
imputent aux attaques DDoS une hausse de leurs dépenses opérationnelles en
2012, tandis que 31% ont également dû déplorer des défections de clients. Les
attaques DDoS ciblent la disponibilité des services or, si un client
n’a plus accès à ses données ou applications, son activité risque de
s’en trouver paralysée.
Les attaques visent de plus en plus les infrastructures à l’intérieur des sites
d’hébergement. Ces infrastructures sont souvent mutualisées entre des
clients multiples, de sorte qu’une attaque contre l’un d’entre eux peut avoir
un impact sur de nombreux autres. Du point de vue des clients d’un hébergeur,
il importe donc de prendre davantage en compte les risques d’attaque non seulement
contre eux-mêmes, mais aussi contre toute autre entreprise utilisant les mêmes
services. C’est pourquoi ces clients attendent de plus en plus de leur hébergeur
qu’il mette en place des solutions et des services de protection DDoS .
Comment se protéger des attaques DDoS?
Les inquiétudes sur la sécurité des services ‘cloud’ et des centres d’hébergement
mutualisés sont plus que jamais justifiées, en particulier sur fond de
renforcement de la législation relative à la protection des données
et en raison des obligations d’audit sécurité au sein des administrations et
des entreprises. Les hébergeurs sont garants de l’accessibilité des services
hébergés via Internet ainsi que de la sécurité des données et des applications
de leurs clients au sein de leurs infrastructures.
Les hébergeurs doivent bien mieux appréhender les
risques et types d’attaques, car certaines d’entre elles, à l’instar des
attaques DDoS, exigent une approche différente en matière de protection.
L’enquête WISR fait ressortir une progression significative de la proportion
des participants utilisant des pare-feu (firewalls) dans leurs datacenters pour se protéger des attaques DDoS. Si ces
équipements peuvent assurer une protection contre certaines attaques DDoS, ils
n’offrent qu’une solution partielle et ne peuvent faire face aux attaques
applicatives les plus élaborées. Pour compliquer les choses, les firewalls peuvent
aussi être la cible d’attaques de type « state exhaustion », qui cherchent à les saturer. De
fait, 35% des opérateurs de centres de données ayant répondu à l’enquête ont
été victimes l’an passé de défaillances de leurs firewalls en raison d’attaques
DDoS.
Une approche globale de protection contre les
attaques DDoS est nécessaire. Elle consiste à déployer des solutions de neutralisation
DDoS à la fois dans les réseaux d’opérateurs et sur les sites hébergés. La
protection dans les réseaux des ISP irrigant les sites d’hébergement a pour but
principal de contrer les attaques massives de type « flood » qui
saturent les accès aux sites, tandis que la protection sur site est
destinée à détecter et bloquer proactivement les attaques plus ciblées de type « state exhaustion » ou applicatives dirigées contre les équipements
de sécurité ‘stateful’ et les serveurs. La proportion accrue de participants à l’enquête
WISR observant des attaques DDoS dites « multivecteurs » qui
combinent les techniques d’attaques volumétriques et applicatives (46 % en 2012
contre 32 % en 2011) renforce l’importance de cette protection à plusieurs
niveaux.
Seule une protection DDoS à plusieurs niveaux peut permettre aux hébergeurs de protéger leurs clients contre les attaques multivecteurs et par la même de garantir la continuité de leurs services et de proposer des SLAs qualitatifs. A l’heure actuelle, le premier venu peut lancer une attaque DDoS complexe en faisant appel à un botnet ou simplement en téléchargeant des outils librement accessibles sur Internet. Une protection appropriée permet également d’optimiser les coûts d’exploitation en offrant la possibilité d’adapter au plus juste les ressources nécessaires pour lutter contre les attaques et de réduire les risques d’attrition. Plus encore, elle permet de créer des services à valeur ajoutée pour des clients sensibles en proposant une protection sur mesure ainsi que des rapports précis sur l’évolution des trafics des différents services hébergés.