Protéger le cloud contre la menace DDoS

La constante évolution des menaces pour la sécurité est un problème sans fin pour la plupart des entreprises. Ainsi, ce problème est devenu une préoccupation importante pour les hébergeurs qui sont de plus en plus souvent la cible de cyber attaques, dont l’une des plus sérieuses est sans doute l’attaque par déni de service distribué (DDoS).

Les attaques DDoS ont vu leur ampleur, leur complexité et leur fréquence augmenter ces dix dernières années, et visent désormais un grand nombre d’entreprises. Ce ne sont toutefois pas seulement les entreprises en vue ou impliquées dans la politique qui sont menacées. Toute entreprise qui utilise Internet pour commercialiser des produits, proposer des services ou accéder à des données et applications dans le cloud – ce qui est le cas des entreprises de pratiquement tout type et toute taille dans les pays occidentaux – peut devenir une cible, en raison de ce qu’elle est ou vend, de ses partenaires, ou pour tout autre lien réel ou supposé qu’elle est susceptible d’entretenir. L’éventail des motivations des attaques DDoS s’est considérablement élargi (hacktivisme idéologique, extorsion de fonds, diversion pour masquer d’autres attaques, vandalisme, lutte contre la concurrence, etc.), ce qui accroît la menace pour de nombreuses entreprises.
La dernière étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), publiée par Arbor Networks en janvier 2013, offre un aperçu des menaces actuelles et des moyens d’y faire face. L’étude WISR, qui s’appuie sur une enquête réalisée chaque année auprès de la communauté de la sécurité informatique dans son ensemble, réunit les observations, les expériences et les préoccupations des professionnels du secteur à travers le monde. Cette année, elle révèle que près de la moitié des hébergeurs de services internet interrogés subissent des attaques DDoS et, pour 94% d’entre eux, ces attaques sont régulières.

En quoi est-ce si préoccupant ?

Les sites d’hébergement internet présentent un environnement offrant une multitude de cibles potentielles. De fait, on note une augmentation substantielle de la proportion des participants de l’enquête WISR qui ont enregistré des attaques visant leurs infrastructures d’hébergement (61%, contre 33% l’année précédente) ainsi que leurs infrastructures supportant les services (DNS, etc.) (42% contre 16%). Outre la fréquence accrue des attaques, déjà évoquée, les hébergeurs doivent mobiliser des ressources pour lutter contre ce problème grandissant, qui peuvent engendrer des coûts considérables.
88% des participants de l’enquête WISR exploitant des centres d’hébergement imputent aux attaques DDoS une hausse de leurs dépenses opérationnelles en 2012, tandis que 31% ont également dû déplorer des défections de clients. Les attaques DDoS ciblent la disponibilité des services or, si un client n’a plus accès à ses données ou applications, son activité risque de s’en trouver paralysée.

Les attaques visent de plus en plus les infrastructures à l’intérieur des sites d’hébergement. Ces infrastructures sont souvent mutualisées entre des clients multiples, de sorte qu’une attaque contre l’un d’entre eux peut avoir un impact sur de nombreux autres. Du point de vue des clients d’un hébergeur, il importe donc de prendre davantage en compte les risques d’attaque non seulement contre eux-mêmes, mais aussi contre toute autre entreprise utilisant les mêmes services. C’est pourquoi ces clients attendent de plus en plus de leur hébergeur qu’il mette en place des solutions et des services de protection DDoS .

Comment se protéger des attaques DDoS?

Les inquiétudes sur la sécurité des services ‘cloud’ et des centres d’hébergement mutualisés sont plus que jamais justifiées, en particulier sur fond de renforcement de la législation relative à la protection des données et en raison des obligations d’audit sécurité au sein des administrations et des entreprises. Les hébergeurs sont garants de l’accessibilité des services hébergés via Internet ainsi que de la sécurité des données et des applications de leurs clients au sein de leurs infrastructures.
Les hébergeurs doivent bien mieux appréhender les risques et types d’attaques, car certaines d’entre elles, à l’instar des attaques DDoS, exigent une approche différente en matière de protection. L’enquête WISR fait ressortir une progression significative de la proportion des participants utilisant des pare-feu (firewalls) dans leurs datacenters pour se protéger des attaques DDoS. Si ces équipements peuvent assurer une protection contre certaines attaques DDoS, ils n’offrent qu’une solution partielle et ne peuvent faire face aux attaques applicatives les plus élaborées. Pour compliquer les choses, les firewalls peuvent aussi être la cible d’attaques de type « state exhaustion », qui cherchent à les saturer. De fait, 35% des opérateurs de centres de données ayant répondu à l’enquête ont été victimes l’an passé de défaillances de leurs firewalls en raison d’attaques DDoS.
Une approche globale de protection contre les attaques DDoS est nécessaire. Elle consiste à déployer des solutions de neutralisation DDoS à la fois dans les réseaux d’opérateurs et sur les sites hébergés. La protection dans les réseaux des ISP irrigant les sites d’hébergement a pour but principal de contrer les attaques massives de type « flood » qui saturent les accès aux sites, tandis que la protection sur site est destinée à détecter et bloquer proactivement les attaques plus ciblées de type « state exhaustion » ou applicatives dirigées contre les équipements de sécurité ‘stateful’ et les serveurs. La proportion accrue de participants à l’enquête WISR observant des attaques DDoS dites « multivecteurs » qui combinent les techniques d’attaques volumétriques et applicatives (46 % en 2012 contre 32 % en 2011) renforce l’importance de cette protection à plusieurs niveaux.

Seule une protection DDoS à plusieurs niveaux peut permettre aux hébergeurs de protéger leurs clients contre les attaques multivecteurs et par la même de garantir la continuité de leurs services et de proposer des SLAs qualitatifs. A l’heure actuelle, le premier venu peut lancer une attaque DDoS complexe en faisant appel à un botnet ou simplement en téléchargeant des outils librement accessibles sur Internet. Une protection appropriée permet également d’optimiser les coûts d’exploitation en offrant la possibilité d’adapter au plus juste les ressources nécessaires pour lutter contre les attaques et de réduire les risques d’attrition. Plus encore, elle permet de créer des services à valeur ajoutée pour des clients sensibles en proposant une protection sur mesure ainsi que des rapports précis sur l’évolution des trafics des différents services hébergés.