DDoS-Attacken mit Rekordwerten von 1,1 Terabit in der Sekunde haben in jüngster Vergangenheit die Server des französischen Hosters OVH in Gefahr gebracht. Eine aktuelle Studie von F5 zeigt, dass sich CIOs ganzheitliche Sicherheitslösungen zum Schutz vor DDoS-Angriffen wünschen. Dafür bieten sich in der Regel hybride Lösungen an. Diese ermöglichen auch massiven Angriffen aus einem Botnetz standzuhalten.
Umfragen unter Sicherheitsverantwortlichen haben ergeben, dass manche Unternehmen bis zu 200 unterschiedliche Spezialprodukte für Sicherheit und Analyse besitzen. Aber typischerweise sind nur einige wenige davon wirklich in Betrieb, der Rest wird nicht genutzt. Um diese Ineffizienzen und Insellösungen zu vermeiden, wünschen sich CIOs homogene, umfassende Sicherheitslösungen, die sich zentral verwalten lassen. Dies zeigt das White-Paper „Schutz vor DDoS-Bedrohungen: ein Plädoyer für Hybridlösungen“ von F5.
Tatsächlich stehen CIOs heute vor großen Herausforderungen, da DDoS-Angriffe immer raffinierter werden. Die Motivation hinter den Attacken ist zunehmend finanzieller oder politischer Natur und die Konsequenzen für den Angegriffenen werden immer ernster. Durch die zunehmende Häufigkeit und Heftigkeit dieser Attacken auf Unternehmen aller Branchen wird bei der Auswahl von IT- und Sicherheitsmitarbeitern eine hohe Expertise in der DDoS-Abwehr immer wichtiger. Das Hauptproblem für CIOs ist aber die Wahl der passenden Lösung.
Damit sich CIOs und Sicherheitsverantwortliche auf ihr DDoS-Abwehrsystem verlassen können, benötigt es folgende Eigenschaften:
- Es muss über eine Cloud-Komponente zur Abwehr volumetrischer Attacken verfügen
- Es sollte in der Lage sein, DDoS-Angriffe auf Anwendungen zu blocken, ohne dass der SSL-Key übergeben werden muss
- Der Aufwand zur Implementierung ist für das Netzwerk-Betriebsteam akzeptabel
Viele CIOs sehen sich bisher aber außerstande, die Cloud für die Anwendungssicherheit zu nutzen. Der Grund: Da immer mehr Anwendungen per SSL geschützt werden, sind Cloud-Lösungen nicht mehr in der Lage, Angriffe auf Anwendungsebene wie GET-Floods zu erkennen und zu entschärfen. Für SSL ist eine On-Premises-Lösung nötig, für volumetrische Angriffe dagegen eine hochskalierbare Cloud-Komponente. Daher bilden hybride Ansätze die optimale Lösung.
Fünf Punkte, die eine Security-Lösung erfüllen sollte:
Bei der Auswahl ihres Abwehrsystems sollten CIOs folgende Checkliste prüfen:
- Ein hochperformanter On-Premises-Schutz kann SSL-Traffic entschlüsseln, bösartige Abfragen erkennen und Abwehrmaßnahmen einleiten.
- Die On-Premises-Komponente sollte nicht nur DDoS-Angriffe abwehren, sondern sich auch in andere Systeme wie Netzwerk-Firewall oder Web-Application-Firewall integrieren. Damit lässt sie sich zum Betreiben von Geschäftsanwendungen nutzen und schützt diese gleichzeitig vor den Top-10-Angriffen aus der OWASP-Liste. Diese zusätzlichen Funktionen erhöhen den Mehrwert der Investition deutlich.
- Auch die Akzeptanz und eine einfache Installation durch das Netzwerkteam sind wichtig. Manche DDoS-Lösungen erfordern nur das Aktivieren eines Codes, der ohnehin schon in den ADCs vorhanden ist.
- Abwehrtechnologien wie SSL-Tunnel, globales Load-Balancing, Applikationsmonitoring, Nutzerauthentisierung und Kontext-Tracking sollten enthalten sein. Diese Technologien arbeiten über die Grenzen zwischen On-Premises und Cloud sowie zwischen Rechenzentren hinweg. So lässt sich die Abwehr von DDoS-Angriffen mithilfe mehrerer Datencenter über eine Cloud koordinieren.
- Ein optimaler Sicherheitsansatz besteht aus einer Kombination von On-Premise- und Cloud-basierten Software-as-a-Service-Technologien. Ein hybrider Ansatz ermöglicht die erfolgreiche Abwehr sowohl von DDoS-Angriffen, die von außerhalb der Infrastruktur gestartet werden, als auch von Attacken auf den lokalen Applikationslayer des Unternehmens. (rl)
