Les hébergeurs vous protègent-ils suffisamment contre les DDoS ?

Faisant chaque jour la une des journaux, les attaques par DDoS (déni de service distribué) se multiplient. De ce fait, de nombreuses entreprises s’interrogent : leur stratégie de mitigation des DDoS les protège-t-elle suffisamment ? Aujourd’hui, elles se tournent vers leurs fournisseurs de cloud et leurs hébergeurs pour avoir la bonne réponse.

Malheureusement, l’hébergement procure aux hackers une surface d’attaque incroyablement attrayante. En effet, la taille et l’ampleur des infrastructures réseaux des datacenters des opérateurs et l’importante base de clients que cela représente, présentent de multiples points d’entrée et se traduisent par une énorme bande passante globale qui offre un véritable boulevard aux attaques DDoS. Avec des dommages collatéraux même pour les clients non ciblés initialement.

L’aspect multi-tenant des centres de données du Cloud peut expliquer la confiance relative des locataires. Une attaque DDoS volumétrique contre un des « tenants » peut en effet engendrer des répercussions désastreuses pour les autres : un effet domino de latence, de dégradation du service et d’interruptions d’activité de longue durée, jusqu’à la mise hors-service du centre de données tout entier.

La technique du trou noir est un moyen de défense brut, utilisé couramment lors des attaques pour atténuer ces effets secondaires des DDoS. Par cette technique, les fournisseurs de cloud et d’hébergement bloquent tous les paquets destinés à un domaine, le trafic étant re-routé vers un itinéraire « null » pour les adresses IP sous attaque. Ce mode de défense pose toutefois un certain nombre de problèmes. En particulier quand plusieurs locataires partagent une gamme d’adresses IP publiques. Dans ce cas, ils verront leur accès supprimé à l’ensemble des services, qu’ils soient ou non la cible spécifique de l’attaque. En pratiquant cette technique, l’opérateur du datacenter achève en fait lui-même le travail de l’attaquant en « DoS’ant » complètement ses propres clients ! De plus, l’injection de routes null est un processus manuel qui nécessite des analystes humains, des workflows de processus et des autorisations. On augmente alors les temps de réponse à l’attaque et on laisse tous les locataires du datacenter partagé en subir les conséquences sur des périodes pouvant atteindre plusieurs heures.

Comment être sûr dans ces conditions que l’hébergeur assumera bien sa mission de protection ? En s’assurant par exemple qu’il met en oeuvre les trois stratégies suivantes pour protéger ses équipements et donc in-fine ceux de ses clients.

D’abord en éliminant les délais entre le moment où les dispositifs de surveillance traditionnels détectent une menace et génèrent une alerte et le moment où un opérateur est en mesure de répondre. Initialement de quelques heures, l’effet de l’attaque sera réduit à quelques secondes. Ceci est possible par le déploiement d’appliances qui surveillent et atténuent automatiquement les menaces DDoS. La solution de mitigation doit prévoir l’intégration de rapports d’alertes et d’événements en temps réel avec une infrastructure de maintenance opérationnelle en arrière-plan pour des temps de réaction rapides et la visibilité claire indispensable pour comprendre l’état de la menace et améliorer proactivement la défense anti-DDoS.

Ensuite en déployant la mitigation DDoS « inline ». Si des périphériques « out of band » sont en place pour nettoyer le trafic, il convient de déployer rapidement des équipements de détection des menaces inline qui pourront inspecter, analyser et contrer les DDoS en temps réel.

Enfin en investissant dans une solution de mitigation DDoS architecturée pour ne jamais abandonner le bon trafic. Les prestataires de services hébergés doivent impérativement empêcher que l’équipement de sécurité ne devienne un goulot d’étranglement pour les services rendus et toujours permettre au trafic légitime de passer, sans aucune interruption.