Protection contre les attaques DDoS dans le cloud

Tribune sur la protection contre les attaques DDoS dans le cloud. Comme vous le savez les attaques DDoS sont d'actualité et plus fréquentes que jamais depuis le boom du télétravail. En effet, plus de 10 millions d'attaques de ce type ont été constatées dans le monde en 2020, soit +22% par rapport à 2019.

Les entreprises sont de plus en plus dépendantes de la disponibilité permanente de leurs systèmes d’informations et services. Souvent, des modèles commerciaux entiers dépendent de l'accessibilité permanente pour leurs clients aux sites web, aux plateformes, etc.. Dans le même temps, les outils et systèmes internes tels que les courriels, les logiciels de collaboration, les solutions de stockage ou les bases de données sont essentiels au fonctionnement des entreprises numériques.

La disponibilité des systèmes est le talon d'Achille que les cybercriminels ciblent avec les attaques par déni de service distribué (DDoS). Les pirates adressent de nombreuses demandes à un système via diverses sources, au point de le surcharger et de faire en sorte qu'il ne puisse pas du tout répondre aux demandes régulières ou seulement après un long délai. 

Selon une analyse de Netscout, plus de 10 millions d'attaques de ce type contre des organisations ont été enregistrées dans le monde en 2020, soit une augmentation de 22 % par rapport à l'année précédente. Les cybercriminels ont profité des changements massifs dans l'utilisation d'Internet suite à la pandémie de la COVID-19 : en particulier, avec le basculement en télétravail, de nombreuses entreprises ont négligé les mesures de sécurité nécessaires.

Une étude menée conjointement par techconsult et IONOS montre par exemple que les solutions de gestion et de sécurité informatiques utilisées jusqu'à présent ne sont souvent pas adaptées à la nouvelle réalité. En réponse au nouveau monde du travail, de nombreuses entreprises se tournent de plus en plus vers les services en cloud afin de pouvoir exploiter leurs applications de manière plus flexible, plus évolutive et plus rentable.

Mais les réseaux d'entreprise traditionnels ne sont pas les seuls à devoir être protégés contre le nombre sans cesse croissant d'attaques DDoS : les plateformes cloud ont également besoin d'une protection efficace contre cette forme d'attaque.

Comment les ressources informatiques virtuelles peuvent-elles être protégées contre les attaques DDoS ?

À quels moments les mesures de protection prennent-elles effet ?

Quelles sont les particularités à prendre en compte ?

Voici quelques réponses à ces questions.

Sécuriser efficacement les plateformes cloud contre les attaques DDoS

Suite à la coopération de plus en plus importante des entreprises avec les fournisseurs de services cloud, les mécanismes de sécurité qu'ils ont mis en place pour protéger leurs plateformes et les applications des clients qui y sont exécutées deviennent de plus en plus importantes. Les fournisseurs de services cloud peuvent mettre en place des mesures de protection efficaces, notamment contre les attaques DDoS, étant donné qu'ils disposent non seulement de centres de données, mais aussi de leur propre réseau informatique.

Avoir son propre réseau informatique : Une lutte distribuée contre les attaques distribuées

Pour lutter efficacement contre les attaques DDoS, le fournisseur de services cloud doit les détecter le plus tôt possible et être en mesure de contrer les attaques, souvent menées par des réseaux de zombies répartis dans le monde entier en différents endroits. C'est pourquoi il est avantageux d'avoir la plus grande couverture possible du backbone à travers différentes régions. Grâce aux différents points d'accès le long du backbone, le fournisseur de services cloud ne dispose pas d'un seul point d'accès à Internet. En effet, ce dernier peut rapidement devenir un goulet d'étranglement en cas d'attaque DDoS majeure. Avec ces différents points d'accès, le fournisseur de services cloud peut contrer l'attaque de manière décentralisée.

Un autre avantage est que le fournisseur de cloud computing dispose de son propre réseau informatique pour la transmission des données : Le trafic généré dans le cadre d'attaques DDoS n'est pas seulement détecté dès son arrivée au centre de données, mais déjà en chemin au niveau du routeur. Les fournisseurs de services cloud peuvent ainsi prendre des contre-mesures avant que la situation ne s'aggrave.

S'ils ne disposent pas de leur propre backbone, les fournisseurs de services cloud doivent généralement recourir au "blackholing" en cas d'attaques DDoS : Dans ce cas, tout le trafic vers les services du client attaqué est arrêté afin de protéger les autres clients et le reste du réseau. Cependant, les services concernés du client ne peuvent plus être accessibles, et c’est le cas lorsqu‘une attaque DDoS est réussie. Alors que l'objectif de la défense DDoS est de maintenir le client connecté au réseau, dans ce cas-là, l’objectif est manqué.

Plateformes de défense contre les DDoS : La ligne de défense améliorée

La plateforme de défense DDoS du fournisseur de services cloud est le principal élément de la défense contre les attaques DDoS. Dans le meilleur des cas, elle est basée sur les éléments distribués du backbone tels que décrit et peut être utilisée de manière décentralisée pour combattre le trafic DDoS entrant. Plusieurs "scrubbing centers" sont installés à la périphérie du backbone, dans lesquels le trafic DDoS déjà détecté au niveau du routeur peut être acheminé. Les flux de données malveillants sont analysés et nettoyés dans ces centres. À l'étape suivante, le trafic légitime est acheminé vers l'adresse de destination correspondante.

Les composants essentiels d'une plateforme de défense contre les DDoS sont les suivants :

● Centre de nettoyage ou filtre de trafic DDoS : Tout le trafic passe par un filtre de trafic DDoS dans lequel le trafic de données suspect est identifié et ensuite transmis au centre de nettoyage  le plus proche. Il est particulièrement important que seul le trafic malveillant se voit refuser l'accès direct aux centres de données, y compris aux services clients respectifs, afin qu'ils continuent à fonctionner pendant une attaque DDoS. La distinction entre le bon et le mauvais trafic se fait à la périphérie du réseau par le biais d'un système d'analyse des données, dans lequel les métadonnées du trafic sont analysées et vérifiées pour détecter les anomalies.

Dès que des anomalies sont détectées lors de l'analyse des données, le trafic en question est acheminé directement vers le centre d'épuration pour une certaine fenêtre de temps. Cette opération est effectuée de manière décentralisée : En cas d'attaque DDoS majeure, tous les centres de scrubbing existants sont directement activés afin d'être préparés à des attaques de grande envergure. Divers "programmes de nettoyage" y sont alors exécutés : les systèmes filtrent le trafic malveillant à différents niveaux et selon des critères définis. Il s'agit notamment de divers indicateurs tels que le pays l'origine du trafic, les protocoles, l'IP source ou de destination, etc. En outre, une comparaison permanente est effectuée avec des listes de réputation (par exemple spamhaus.org), dans lesquelles sont notées les sources de DDoS déjà connues.

Après que le trafic soit passé par les différents programmes de filtrage, le reste du trafic nettoyé est acheminé vers le centre de données correspondant et donc vers le client. Bien que cette approche offre une latence minimale d'environ 3-4 millisecondes, elle permet de maintenir les systèmes nécessaires en fonctionnement même lors d'attaques DDoS massives. Même si tout le trafic malveillant n'a pas pu être filtré, les systèmes du client attaqué peuvent généralement traiter eux-mêmes le trafic malveillant restant.

●       La détection permanente des attaques : Les attaques DDoS pouvant survenir à tout moment, une surveillance continue en temps réel du trafic entrant est nécessaire. Déjà au niveau du routeur, les données de flux du trafic entrant sont analysées en permanence et vérifiées en permanence pour des valeurs seuils prédéfinies pour les métriques bits par seconde et paquets par seconde. Les analyses purement sélectives offrent une protection moindre en comparaison et doivent donc être évitées si possible, car les attaques DDoS peuvent alors passer inaperçues.

●      La limitation automatique des dommages : Dès qu'une attaque DDoS est détectée à la périphérie du réseau, la plateforme de défense DDoS achemine automatiquement le trafic vers les centres de scrubbing - une intervention manuelle et éventuellement source d'erreurs n'est pas nécessaire.

●      Une protection commune contre les attaques de couches 3 et 4 : La plateforme doit assurer la sécurité de toutes les ressources et installations virtuelles. Cela inclut notamment une protection contre les attaques DDoS au niveau de la couche réseau et transport, qui représentent environ 98 % des attaques DDoS dans leur ensemble.   

●      Le filtrage DDoS spécifique à une IP, à la demande : Souvent, les attaques DDoS surviennent à des moments attendus, comme par exemple contre les e-commerçants lors de grandes périodes de soldes. Certaines adresses IP peuvent alors être spécialement protégées si on le souhaite. Dans ce cas, tout le trafic vers cette adresse est acheminé directement via la plateforme de filtrage et le trafic DDoS est ainsi naturellement filtré. Si vous le souhaitez, seul le trafic provenant de certaines régions peut être filtré, par exemple s'il existe déjà des indications à l'avance sur l'origine d'une éventuelle attaque DDoS.

●      Diagnostic des attaques à la demande : Après des attaques DDoS, un rapport détaillé est créé à partir d'une analyse, sur la base de laquelle les schémas de l'attaque en question peuvent être retracés - afin de pouvoir prendre des précautions encore meilleures contre de telles attaques à l'avenir. 

●      Une assistance proactive d'experts : Le fournisseur de cloud vérifie de manière proactive le réseau du client et signale dès qu'une attaque DDoS est détectée sur le réseau. Dans le même temps, le service est toujours disponible pour répondre aux questions.

●      Les plateformes de cloud : Incluant uniquement une protection DDoS complète.

Les attaques DDoS sont en augmentation

L'augmentation de mise en réseau des appareils permet également aux cybercriminels de disposer de plus en plus d'appareils qu'ils peuvent détourner et utiliser pour des attaques DDoS toujours plus importantes. Dans ce contexte, les entreprises doivent plus que jamais veiller à ce que leurs réseaux soient protégés de manière adéquate. Toutefois, en plus de leurs propres centres de données, les entreprises modernes ont généralement recours à des services cloud pour étendre leurs capacités de calcul et de stockage et ainsi cartographier les processus internes et externes - la protection des ressources virtuelles d'une entreprise est donc au moins aussi importante. Les entreprises doivent exiger de leurs fournisseurs de services cloud qu'ils mettent en œuvre la protection DDoS de manière holistique et aussi efficace que possible. Il est préférable que le fournisseur de services cloud dispose d'une plateforme qu'il peut développer lui-même en permanence afin de pouvoir contrer le plus efficacement possible les attaques qui deviennent de plus en plus complexes. C'est ainsi que les entreprises protègent efficacement leurs propres centres de données, les services continus de leurs clients et, en fin de compte, leur capacité commerciale et leur réputation.

Daniel Heinze, Head of Networks, IONOS