Tirer profit de la sécurité dans le Cloud contre les menaces toujours plus nombreuses

Transcription

1 White Paper Tirer profit de la sécurité dans le Cloud contre les menaces toujours plus nombreuses Comment défendre votre périmètre réseau contre les menaces extérieures

2 Table des matières RÉSUMÉ... 1 DÉFENSE DE VOTRE PÉRIMÈTRE... 1 Un univers pavé d'embûches et de menaces sans précédent... 1 Les approches classiques de la sécurité de périmètre sont désormais obsolètes... 2 Périmètre sécurisé dans le Cloud : comment transformer une menace en atout... 3 LA SÉCURITÉ DANS LE CLOUD AVEC AKAMAI... 4 Attaques DDoS : une menace d'une ampleur phénoménale... 4 STRATÉGIES PRÉVENTIVES CONTRE LES ATTAQUES DDOS... 5 Délestage du point d'origine... 5 Dissimulation de l'origine... 6 Protection DNS... 6 Robustes capacités de basculement... 6 Techniques ciblées en bordure de réseau... 6 Défense au niveau des applications... 8 CONCLUSION... 9

3 1 Résumé Bien que les menaces liées à la sécurité des réseaux et des informations existent depuis les débuts de l'ère informatique, la complexité et l'ampleur des attaques ont connu une progression exponentielle ces dernières années, confrontant les entreprises à des défis sans précédent pour parvenir à défendre un périmètre de plus en plus vulnérable. Compte tenu du caractère lucratif des activités de cybercriminalité, il n'est guère étonnant que le «talent» des criminels du web ait rapidement progressé 1. Avec pour conséquence une montée en flèche du niveau des menaces et de l'impact des attaques. En l'espace de quelques années, par exemple, l'ampleur des attaques par déni de service (DDoS) est passée de quelques dizaines à plusieurs centaines de gigabits par seconde, suite au développement de programmes malveillants de plus en plus sophistiqués et à la formation de véritables armées de pirates. Face à cela, les solutions traditionnelles de défense de périmètre n'ont malheureusement pas suivi la croissance rapide des risques. Bien que les entreprises disposent actuellement d'un arsenal d'outils spécifiques à chaque menace, ces moyens de défense rigides et centralisés n'offrent ni la flexibilité, ni la montée en charge nécessaires pour combattre les attaques surdimensionnées et évolutives qui menacent aujourd'hui les infrastructures techniques. Les services de sécurité dans le Cloud proposent une approche innovante, capable de venir à bout des restrictions dont souffrent les solutions traditionnelles de protection de périmètre, en ajoutant une couche de protection mondialement distribuée. Cette couche extensible instantanément est conçue pour fournir un niveau de protection d'une portée plus large que n'importe quel moyen de défense centralisé. Les solutions de sécurité dans le Cloud offrent une souplesse sans précédent, s'appuyant sur un large éventail de systèmes de protection. Les entreprises bénéficient dès lors de moyens de défense en temps réel, qui les aident à s'adapter à des risques en constante mutation et à se protéger contre les futures menaces encore inconnues, tout en évitant la mise en œuvre de solutions coûteuses consistant à prévoir - et surtout à payer - par anticipation, leurs besoins de sécurité. Le présent document décrit l'environnement actuel des menaces de cybercriminalité et traite de l'utilisation de services distribués dans le Cloud comme moyen efficace pour lutter contre des menaces informatiques récentes en constante évolution. Le système surveille tout particulièrement les menaces de type DDoS et met en œuvre des stratégies concrètes pour permettre aux services de sécurité dans le Cloud de créer une couche de protection solide dans l'environnement Internet, de plus en plus exposé. Défense de votre périmètre Un univers pavé d'embûches et de menaces sans précédent En 2008, il y a eu plus de failles de code malveillant introduites que dans les 20 années précédentes cumulées. Rien qu'au cours du premier semestre 2009, ce nombre a déjà été surpassé, avec l'apparition d'une nouvelle signature de menace toutes les huit secondes 2. Tel est le défi auquel font aujourd'hui face les entreprises : alors qu'elles ont de plus en plus recours à Internet pour leurs communications et leurs opérations stratégiques, les risques graves liés à la sécurité prolifèrent et ont un impact de plus en plus important sur leur activité. Ce phénomène est dû en partie au fait que l'infrastructure technique des entreprises est devenue progressivement plus complexe et difficile à sécuriser. Le périmètre de l'entreprise s'étend et devient de plus en plus poreux à mesure que les entreprises font migrer leurs applications lourdes vers le web et, les applications mobiles. Dans la course effrénée visant à tirer pleinement profit du potentiel d'internet, la sécurité est souvent un aspect négligé. Le développeur de solutions de sécurité Sophos estime qu'une nouvelle page web est infectée toutes les 3,6 secondes 3. L'extrême complexité des environnements web actuels, à laquelle s'ajoute la rapidité du cycle de développement des applications, se traduisent par l'apparition permanente de nouvelles failles de sécurité, dont bon nombre sont d'un niveau de gravité élevé. Selon une étude du consortium de sécurité sur les applications web, plus de 87 % des applications sont actuellement considérées comme présentant une vulnérabilité de niveau élevé ou supérieur 4.

4 2 Il s'agit d'un avantage considérable pour qui souhaite perpétrer une attaque. L'exploitation de ces vulnérabilités permet d'accéder à un très grand nombre de ressources et d'opérations stratégiques de grande valeur. Interruptions d'activité, vols de données ou attaques des systèmes procurent aujourd'hui aux attaquants un fruit lucratif, aux dépens des entreprises. Le coût de la cybercriminalité pour les entreprises a été estimé à 1 billion de dollars pour la seule année Le faible risque et l'absence marquée de garde-fous s'ajoutent à l'aspect attrayant de cette activité, entraînant la formation d'un réseau souterrain florissant qui draine un nombre croissant de cercles apparentés au crime organisé. En outre, ces criminels disposent d'un arsenal d'outils de plus en plus puissants. Les réseaux de zombies, ou «botnets», sont devenus l'arme de prédilection des pirates, qui leur permet de contrôler d'immenses armées d'ordinateurs zombies en toute simplicité. Ce phénomène amplifie et démultiplie l'envergure des attaques potentielles. En 2007, une attaque paralysante lancée durant un mois contre le gouvernement estonien et d'autres entités commerciales s'est révélée comme étant l'œuvre d'un simple étudiant contrarié. Ces réseaux de zombies illicites peuvent être orientés à des fins lucratives par bon nombre de moyens : Vols de mots de passe, de numéros de carte de crédit ou d'autres données sensibles. Le détournement d'informations peut engendrer des gains compris entre 10 et 1000 dollars par compte bancaire, suivant le pays et le type de données concernés. Lorsque des analystes de sécurité de l'université UC Santa Barbara sont parvenus à maîtriser le botnet Torpig au terme de 10 jours de recherche, ils ont pu récupérer un volume d'informations bancaire détournées équivalent à un gain de quelque 8,3 millions de dollars 6. Lancement d'attaques DDoS. Bien que des attaques par déni de service distribuées (DDoS) soient motivées par des aspects politico-sociaux, beaucoup sont soutenues financièrement par des entreprises qui engagent des cyber criminels pour attaquer les sites de leurs concurrents, voire par les criminels eux-mêmes qui exercent un chantage sur les entreprises en les menaçant, parfois avec succès, d'une importante interruption de leur activité. Au cours de l'année 2008, la cybercriminalité a rapporté quelque 20 millions de dollars par le biais des attaques par déni de service 7. Phishing et sites de cybercriminalité. Les spécialistes des réseaux de zombies peuvent générer des gains allant de 1000 à 2000 dollars par mois pour chaque site occupé 8. Envoi de courriers indésirables, diffusion de logiciels malveillants, surveillance frauduleuse des clics ou location du réseau de zombie pour perpétrer ces types d'activités. Le coût du courrier indésirable pour les entreprises s'élève à quelque 130 milliards de dollars, selon l'institut Ferris Research 9. Les personnes, à qui les qualifications pour créer leur propre armée de zombies font défaut, peuvent acquérir le logiciel malveillant, voire tout simplement le botnet lui-même, pour un coût modique 10. En pratique, cette manne financière a engendré une forte augmentation de la cybercriminalité, en créant un marché noir complexe dont les différents fournisseurs proposent chacun leurs domaines de compétence. Il existe des développeurs de programmes malveillants qui vendent leur code accompagné d'une assistance sur abonnement, des propriétaires de botnets qui louent les services de leur armée de zombies, des blanchisseurs d'argent qui monétisent les informations bancaires dérobées, et même des services de dépôt légal garantissant les transactions financières entre les parties 11. Les réseaux de zombies se développent aujourd'hui avec une ampleur et une redondance sans précédent. Pas moins de 34 millions d'ordinateurs américains pourraient actuellement faire partie d'un botnet, soit une progression de 50 % sur l'année écoulée 12. La plus vaste armée zombie connue, Conficker, a été identifiée fin 2008 et a acquis entre 3 et 6 millions de machines en l'espace de quelques mois. Cette sinistre tendance indique que le nombre et la gravité des attaques cybercriminelles ne cesseront de croître à un taux alarmant. Les attaques récentes, largement médiatisées, ont visé tous types d'organismes, des institutions financières aux organismes gouvernementaux en passant par plusieurs grands noms du web. Les menaces se développent à rythme exponentiel et deviennent chaque fois plus insidieuses. Les approches classiques de la sécurité de périmètre sont désormais obsolètes Compte tenu de la complexité des menaces qui pèsent sur les environnements, assurer la sécurité de périmètre d'une entreprise est un défi plus ambitieux que jamais. La détérioration de sites web, les détournements de données, les interruptions d'activité ou les réseaux infestés sont autant de menaces de paralysie potentielles auxquelles les entreprises sont confrontées en permanence. Pour défendre leur périmètre, les entreprises s'appuient généralement sur un certain nombre de solutions telles que des pare-feux, des systèmes de prévention contre les intrusions ou des programmes de surveillance du réseau. Malheureusement, ces approches de sécurité traditionnelles et centralisées font souvent défaut lorsqu'il s'agit de répondre aux nouveaux besoins en termes de sécurité d'entreprise. Des défenses classiques isolées sont peu à même d'offrir la souplesse et l'évolutivité nécessaires pour lutter contre les menaces actuelles, à la fois surdimensionnées et massivement distribuées. Les systèmes de défense de périmètre traditionnels ont eux aussi tendance à souffrir de rigidité. Ils visent principalement à protéger l'entreprise contre certains types d'attaques spécifiques, en créant souvent des goulots d'étranglement qui ouvrent la voie à d'autres types d'attaques au sein du processus. L'intégration réussie de tels systèmes nécessite souvent un temps considérable et peut entraîner la refonte de l'infrastructure. Pour vous, cela implique la nécessité de décider à l'avance quelles protections sont prioritaires, car une protection contre toutes les vulnérabilités connues serait d'un coût prohibitif. Le problème est que si vous ne faites pas le bon choix, c'est votre activité qui en paiera le prix. De plus, à mesure que l'importance des dangers potentiels augmente, les défenses centralisées ne parviennent jamais à se dimensionner au niveau nécessaire pour sécuriser l'entreprise. À titre d'exemple, il est tout bonnement impossible d'équiper un site avec une infrastructure centralisée pour gérer une attaque DDoS générant des niveaux de trafic plusieurs centaines de fois supérieurs au volume normal.

5 3 Périmètre sécurisé dans le Cloud : comment transformer une menace en atout Il arrive de plus en plus fréquemment que des données stratégiques soient rendues disponibles sur le web en étant hébergées par des services dans le Cloud, l'accès aux ressources pouvant s'effectuer via des périphériques mobiles. Dans cet environnement dynamique et distribué, l'approche classique qui consiste à «défendre la forteresse» ne constitue plus un paradigme de sécurité satisfaisant. Pour combattre les menaces invasives et en perpétuelle évolution, les entreprises doivent au contraire tenir compte de la nature distribuée du Cloud, en exploitant l'évolutivité et la souplesse du réseau à leur avantage et en mettant en œuvre une stratégie de défense en profondeur. Une défense efficace implique le déploiement de plusieurs couches de sécurité superposées qui utilisent un large éventail de tactiques visant à se prémunir contre les menaces. La sécurité dans le Cloud crée, dans le cadre de cette approche, une couche critique qui vise à élargir les limites inhérentes aux solutions de défense de périmètre traditionnelles, beaucoup plus rigides. De même que pour les autres services managés, les solutions de sécurité dans le Cloud offrent des capacités à la fois rentables et à la demande permettant de réduire les contraintes liées à la planification et à la maintenance. Les services dans le Cloud ne sont pas tous créés au même niveau d'égalité. Pour exploiter la puissance inégalée du Cloud à leur avantage, les entreprises doivent dénicher des solutions de sécurité reposant sur une plate-forme largement distribuée et multi-réseaux, capables d'assurer une montée en charge massive à la périphérie de l'internet et une protection de l'infrastructure d'origine en détournant les attaques au plus près de leur source. Contrairement à toute autre solution centralisée, les offres reposant sur ce type d'architecture permettent aux entreprises de combattre les menaces d'une façon innovante. Elles offrent : Une capacité de montée en charge inégalée. Seule une architecture de grande envergure, massivement distribuée, est en mesure de combattre et détourner les attaques d'une magnitude telle que celle observée aujourd'hui. La clé de la solution consiste à utiliser un service capable de se dimensionner instantanément et à la demande. Flexibilité et adaptabilité. Grâce à leur possibilité d'offrir rapidement et aisément un large éventail de fonctionnalités sans nécessiter d'intervention sur l'infrastructure d'origine, les solutions de sécurité dans le Cloud sont conçues pour assurer une défense efficace, adaptée à chaque attaque individuelle. Les entreprises peuvent mettre en place une nouvelle logique applicative, utiliser des capacités ciblées et activer ou désactiver des stratégies afin de contrecarrer au mieux chaque attaque, tout en maintenant la disponibilité en faveur des utilisateurs légitimes. Rentabilité. Les services du Cloud permettent aux entreprises de venir à bout d'un épineux problème : comment faire le bon choix en termes de capacités de défense et de planification. Les capacités et ressources sont fournies de façon rentable, à la demande, avec pour objectif d'assurer aux entreprises qu'elles disposent à tout moment de la capacité nécessaire au bon fonctionnement des applications web. Un niveau de redondance supérieur. À la différence des architectures centralisées, la répartition d'une couche de défense sur plusieurs milliers de réseaux et de sites permet d'offrir un niveau inégalé de fiabilité et de redondance face aux innombrables dangers et défaillances potentiels d'internet. Des performances améliorées. Dans les systèmes de défense traditionnels, les performances sont généralement sacrifiées au profit de la sécurité. Au contraire, une plate-forme distribuée dope les temps de réponse en traitant les requêtes à la périphérie d'internet et en contrecarrant les attaques à la source. Une intégration holistique. Le succès d'une stratégie de défense en profondeur nécessite la superposition de couches de sécurité fonctionnant en parfaite symbiose. Les services de sécurité dans le Cloud doivent pouvoir s'intégrer à des solutions de protection de périmètre conventionnelles, en assurant une robustesse supplémentaire pour l'architecture de sécurité actuelle de l'entreprise. Un dispositif à l'échelle planétaire. Les fournisseurs d'informatique en nuage fortement distribués ont l'avantage unique de pouvoir observer en temps réel et de façon globale l'état de santé d'internet, afin d'identifier et d'analyser plus proactivement les attaques. Cette vigilance à l'égard des menaces peut être étendue à toutes les couches d'une architecture de sécurité, y compris les systèmes de défense centralisés.

6 4 La sécurité dans le Cloud avec Akamai Depuis plus de 10 ans, Akamai transforme Internet en un lieu plus sain, plus rapide et mieux sécurisé pour les transactions commerciales. Près de entreprises font aujourd'hui confiance à Akamai pour sécuriser et accélérer leurs transactions stratégiques en ligne, grâce à la plate-forme EdgePlatform d'akamai, la plus grande plate-forme de serveurs distribués au monde. Constituée de plus de serveurs répartis sur près de réseaux et dans 70 pays du monde, EdgePlatform fournit près d'un cinquième du trafic web mondial à un débit agrégé compris entre 800 Gb/s et 2 Tb/s. Conçue avec pour objectif d'assurer la sécurité, la capacité de résistance et de tolérance aux défaillances, EdgePlatform est reconnue pour son aptitude à fournir une défense intelligente, extensible et située en bordure de réseau, afin de lutter contre une grande variété d'attaques pouvant viser aussi bien l'infrastructure DNS que la couche réseau ou les applications web d'une entreprise. Les mesures de sécurité d'akamai couvrent un grand nombre de domaines, dont les pare-feux d'applications web distribués, un ensemble de contrôles d'authentification et d'accès, la diffusion SSL certifiée PCI, la protection contre les sollicitations massives ou encore, la réduction des attaques de déni de service. Cet ensemble étendu à la demande, et flexible peut être exploité selon les besoins de l'entreprise, afin de s'adapter aux différents types de menaces et d'attaques. La mise en place du service d Akamai ne nécessite aucune élaboration d infrastructure supplémentaire. De plus, le déploiement ne requiert qu un temps très court de mise en œuvre. Enfin, l évolutivité de la plate-forme est quasiment illimitée. Akamai permet à ses clients d'exploiter toute la puissance du Cloud pour assurer leur continuité d'activités et renforcer leur infrastructure face aux cyberattaques insidieuses d'aujourd'hui. Pour illustrer plus en détail le fonctionnement du système, examinons une classe spécifique de menaces que sont les attaques par déni de service distribuées (DDoS). Attaques DDoS : une menace d'une ampleur phénoménale Les attaques par déni de service distribuées (DDoS) représentent l'une des forces de nuisance les plus visibles du cyberespace actuel, capables de paralyser complètement des systèmes en torpillant des infrastructures ciblées à l'aide de salves de trafics illicites. Les attaques d'août 2009 perpétrées sur Twitter, Facebook et Google ont été particulièrement remarquées, mais de nombreuses entités commerciales et gouvernementales subissent également des attaques semblables. Leurs effets se répercutent bien après l'attaque elle-même, non seulement en termes de pertes de chiffre d'affaires, de ressources et de productivité faisant suite à l'interruption d'activité, mais également en termes de dommages pour la réputation d'une marque ou la confiance de sa clientèle. Malheureusement, avec près de attaques DDoS lancées durant l'année 2008, la recrudescence du phénomène est plus élevée que jamais et s'étend sur une bien plus grande échelle 13. D'après une étude d'arbor Networks, l'ampleur des attaques par déni de service s'est multipliée par 100 en l'espace de sept ans, passant de 400 Mbps en 2001 à 40 Bbps en Le 4 juillet 2009, le gouvernement des États-Unis a subi une attaque d'une très grande ampleur, à l'occasion de laquelle Akamai a fait face à des attaques de trafic de plus de 200 Gb/s pour le compte de ses clients gouvernementaux assiégés. Environ un quart des sites visés étaient diffusés par la plate-forme d'akamai, ce qui signifie que la capacité totale de ce botnet aurait largement pu dépasser un demi téraoctet (500 Gb/s) en termes de puissance. Ces chiffres effarants illustrent la férocité potentielle des réseaux de zombies et des techniques d'amplification actuels. L'assaut du 4 juillet a été lancé depuis plus de adresses IP distinctes, en atteignant plusieurs sites avec un niveau de trafic 100 fois plus élevé que la normale. L'un des sites gouvernementaux visés a reçu en un jour un trafic équivalent à celui de huit années. Cas client : La plus grande cyberattaque de l'histoire du gouvernement américain Akamai assure à l'ensemble de ses clients la disponibilité à 100 % de leurs sites web Le 4 juillet 2009, le gouvernement américain a fait face à la plus importante attaque cybercriminelle de toute son histoire. Au total, l'attaque a duré plus d'une semaine et a visé 48 sites gouvernementaux et commerciaux aux États-Unis et en Corée du Sud. Les attaques de trafic sur site le plus touché ont atteint jusqu'à 124 Gb/s en crête, soit près de 600 fois leur niveau normal et l'équivalent d'une capacité de serveurs web et 12 circuits OC-192. Akamai a détecté des niveaux de trafic élevés dès le début de la première vague d'attaques et a prévenu ses clients. Akamai a rapidement identifié les sources de l'attaque et a mis en place des contre-mesures en quelques heures, dont le blocage et la mise en quarantaine du trafic provenant d'adresses IP coréennes, et a pu fournir une disponibilité de service tout en absorbant les attaques de trafic. Malgré l'intensité sans précédent de cette attaque, tous les clients d'akamai ont pu résister sans perturbation de service. Malheureusement, les sites ciblés qui n'utilisaient pas Akamai n'ont pas été aussi chanceux, et la plupart ont été mis hors-service pendant deux jours, et ont été perturbés presque toute la semaine. Statistiques des attaques : 200 Gb/s d'attaques de trafic cumulées 1 million de hits par seconde IP d'attaque 64 milliards de lignes de registres (13 To de données) Réduction de la bande passante d'origine de 99,9 %

7 5 Il est difficile de se protéger des attaques DDoS, pas seulement à cause de leur ampleur, mais également à cause de la variété de leurs attaques. Il n'y a pas de remède miracle ; la meilleure solution est une approche multi-couche qui dépend de la nature précise d'une attaque. L'attaque vient-elle d'un petit groupe d'ip ou d'une zone géographique précise? Est-ce une attaque directe ou une attaque par réflexion? Quelle partie de l'infrastructure se trouve visée? Si des techniques d'amplification sont utilisées, quelles sont-elles? Quelle faille de protocole ou couche est exploitée? Est-ce une simple attaque par «brute-force», une attaque épuisant les ressources, ou utilise-t-elle une approche plus sophistiquée et évasive? La diversité et l'ampleur des attaques DDoS les rendent presque imparables avec les solutions centralisées traditionnelles ; une défense dans le Cloud est indispensable. Stratégies préventives contre les attaques DDoS Bien que chaque attaque DDoS nécessite sa propre analyse et son propre plan d'action, il y a un certain nombre de stratégies globales qui peuvent aider. Comme pour la sécurité réseau en général, une protection efficace contre le DDoS nécessite une approche de défense en profondeur en utilisant un ensemble de contre mesures de sécurité. Nous illustrons ici différentes manières de minimiser les risques et les impacts des attaques DDoS sur l'infrastructure de l'entreprise, et chacune sera décrite plus en détail ci-dessous. Transférer la charge du serveur d'origine vers un service dans le Cloud à la capacité extensible Masquer les serveurs d'origine sur Internet Protéger et camoufler les services DNS Mettre en place un plan de basculement solide Tirer profit de techniques personnalisées de la plate-forme Défendre la couche applicative Délestage du point d'origine Décharger les fonctions centralisées de l'infrastructure d'origine vers une plate-forme dans le Cloud largement distribuée fournit une couche initiale importante de protection contre les DDoS en dopant la robustesse et l'évolutivité générales de l'infrastructure, afin qu'elle puisse gérer les forts pics de trafic liés aux attaques DDoS. Plus l'infrastructure est déchargée vers le Cloud, plus elle devient robuste et évolutive. Avec Akamai, les clients sont capables de tirer profit de plus de serveurs distribués à l'échelle mondiale, avec une mise en œuvre de la capacité automatisée conçue pour une gestion transparente des pics de trafic. En plus du contenu web pouvant être mis en cache, EdgePlatform d'akamai peut décharger les serveurs d'origine de la diffusion de contenu protégé, de contenu SSL gourmand en ressources, et de contenus dynamiques, y compris des applications d'entreprise. La plate-forme mondiale d'akamai a aidé avec succès ses clients à supporter les tempêtes DDoS qui ont parfois entraîné des niveaux de trafic des centaines de fois supérieurs à la normale. De plus, les systèmes intelligents de routage et d'équilibrage des charges d'edgeplatform aident à s'assurer que les attaques de trafic ne dégradent pas la performance des requêtes légitimes des utilisateurs finaux pour n'importe lequel des clients d'akamai.

8 6 Au-delà de la simple absorption des attaques de trafic, Akamai fournit une couche de protection inhérente aux serveurs d'origine des clients. Les attaques de trafic sont gérées à la périphérie de l'internet, loin de l'infrastructure centrale. Les serveurs d'akamai ont une architecture qui n'accepte et ne transmet à l'origine que les requêtes HTTP/S valides et correctement formées. En plus de protéger l'origine et de préserver la continuité du service, cette approche fait aussi gagner du temps pour pister et analyser l'attaque afin de déterminer les contre-mesures les plus efficaces à déployer. La conception distribuée, disponible et résistante d'edgeplatform permet également aux clients d'akamai de supporter de nombreux genres de défaillances, qu'elles surviennent au niveau de la machine, du centre de données, ou du réseau. Des pannes d'internet à l'échelle mondiale ne sont pas si rares, et ont de nombreuses causes, dont les défaillances BGP (accidentelles ou non), les coupures de courant, de câble, et les catastrophes naturelles, pour n'en citer que quelques-unes. En offrant du contenu à partir de serveurs distribués qui sont proches des utilisateurs finaux, Akamai évite ces défaillances et incidents d'internet et offre du contenu rapidement et de manière fiable. Pour du contenu dynamique qui doit être généré au serveur d'origine du client, EdgePlatform tire profit de la technologie SureRoute pour que le trafic contourne les dysfonctionnements majeurs d'internet qui mettraient en péril la connectivité. Dissimulation de l'origine Cacher d'internet les serveurs d'origine d'un site est un moyen d'améliorer leur protection. Avec le service SiteShield d'akamai, toutes les requêtes d'utilisateurs finaux sont filtrées via les serveurs distribués SiteShield. Comme les serveurs de ce groupe de confiance sont les seuls à pouvoir communiquer directement avec le serveur d'origine, SiteShield camoufle efficacement l'infrastructure d'origine de beaucoup d'acteurs malveillants. En masquant l'origine - en la verrouillant pour ne communiquer qu'avec des serveurs Akamai, SiteShield minimise les risques associés aux menaces de la couche réseau qui viseraient directement le serveur d'origine. Ceci n'inclut pas seulement les attaques d'épuisement des ressources, telles que les SYN floods et Slowloris, mais également les failles des protocoles TCP et SSL telles que les attaques TearDrop et Christmas Tree qui utilisent des paquets difformes pour entraîner un déni de service. SiteShield est transparent pour l'utilisateur final - les requêtes légitimes sont satisfaites par Akamai, qui communique avec l'origine si nécessaire. Protection DNS La protection du DNS (Domain Name System) est une autre couche importante de défense. L'infrastructure DNS est critique au fonctionnement du site - elle traduit les noms d'hôtes du web en adresses IP, indispensables pour trouver un site. Cependant, l'infrastructure DNS est souvent le maillon le plus faible de l'architecture web d'une organisation. De nombreuses entreprises reposent sur seulement deux ou trois serveurs DNS, ce qui les rend très vulnérables aux attaques DDoS ainsi qu'aux autres types de défaillances. Le service Enhanced DNS (edns) d'akamai offre protection et évolutivité aux systèmes des clients en répondant aux requêtes DNS des utilisateurs finaux via l'infrastructure DNS distribuée mondialement et sécurisée d'akamai. Dans les faits, edns camoufle les serveurs de DNS principaux du client en les protégeant des attaques, tout en offrant des services de DNS résistants aux défaillances et très évolutifs. edns minimise les risques, d'empoisonnement du cache lors d'attaques de déni de service, qui visent les infrastructures DNS. Robustes capacités de basculement Bien qu EdgePlatform d'akamai offre une couche solide de protection en absorbant le trafic, des attaques DDoS plus sophistiquées peuvent toujours submerger un serveur d'application ou la base de données d'un site. Un plan de basculement peut minimiser les impacts négatifs sur le service dans une telle situation. En dirigeant les internautes vers une salle d'attente virtuelle ou vers un site de secours avec des fonctionnalités réduites par exemple, ceux-ci resteront captés sur votre site le temps de l'interruption de service. Ceci peut être fait de différentes manières. La fonction «User Prioritization» d'akamai, par exemple, surveille la santé du serveur d'application et limite la charge entrante si nécessaire, en redirigeant le surplus d'utilisateurs vers du contenu alternatif mis en cache. Ceci empêche une défaillance complète du site en préservant la santé du serveur d'origine. Les utilisateurs redirigés vers du contenu alternatif sont plus susceptibles de rester sur le site et d'achever leur transaction que les utilisateurs qui subissent un arrêt de site. Si le serveur d'origine s'arrête quand même, le service Site Failover d'akamai offre de multiples options pour assurer la continuité du service. Les utilisateurs peuvent alors obtenir une page de basculement personnalisée ou du contenu mis en cache, ou être redirigés vers un autre site, qui peut être hébergé par NetStorage, la solution de stockage d'akamai. Encore une fois, garder les internautes permet de minimiser la perte de chiffre d'affaires et les dommages liés à la réputation de la marque causés par l'interruption de service. Techniques ciblées en bordure de réseau L'une des principales forces d'une architecture distribuée dans le Cloud est la capacité de déployer rapidement et de manière flexible des défenses ciblées à la périphérie de l'internet, en bloquant les attaques au plus près de leur source. De par la nature variée des attaques DDoS, il n'y a pas de stratégie unique de minimisation, c'est pourquoi la faculté d'enclencher et de couper des fonctions, ou de les re-configurer à la volée augmente considérablement l'efficacité et la rentabilité d'un tel contrôle de sécurité.

9 7 EdgePlatform d'akamai offre une gamme impressionnante de fonctionnalités qui peuvent s'adapter à chaque situation. Les fonctions gérées par métadonnées permettent un déploiement rapide et flexible à travers la plate-forme mondiale d'akamai, de sorte que les stratégies de minimisation peuvent évoluer en temps réel, en réponse à une attaque. Quelques contre-mesures de périphérie potentielles : Le blocage ou la redirection de requêtes en se basant sur des caractéristiques telles que l'emplacement géographique d'origine, les schémas de chaînes de requête, ou l'adresse IP (listes noires et listes blanches). L'autorisation, le refus, ou la redirection de trafic en se basant sur des caractéristiques telles que l'agent utilisateur (le navigateur) ou la langue. La mise en quarantaine des attaques de trafic via les réponses DNS. L'utilisation de réponses lentes pour couper les machines attaquantes en minimisant les effets sur les utilisateurs légitimes. La redirection du trafic loin des serveurs ou des régions qui subissent l'attaque. La limitation du taux de transfert des requêtes transmises au serveur d'origine afin d'en garantir la santé. La mise en quarantaine du trafic suspect dans un ensemble restreint de serveurs. La diffusion de pages d'erreur personnalisées pendant l'attaque (mises en cache sur les serveurs d'akamai). La vérification par cookies pour identifier des niveaux anormalement élevés de nouveaux utilisateurs, ce qui peut indiquer une attaque. Le renvoi du trafic illégitime vers la machine effectuant la requête au niveau DNS ou http. Les fonctions spécifiques de défense employées varieront selon la nature de l'attaque et les exigences du site ou de l'application subissant l'attaque, et sont susceptibles de changer à mesure que l'attaque, ou son analyse, progresse. En ayant la flexibilité nécessaire au déploiement de stratégies de défense optimisées pour un scénario donné, les entreprises peuvent répondre de manière plus efficace, économisant ainsi de l'argent et minimisant les dommages. Et en déployant ces défenses à la périphérie de l'internet, les entreprises peuvent maintenir les niveaux de performance, de montée en charge, et de résistance aux pannes dont ils ont besoin. En tirant profit de ces capacités via un fournisseur de service dans le Cloud, les entreprises bénéficient de coûts d'exploitation plus faibles et de beaucoup moins de contraintes de planification. Cas clients : Attaque de ver La technique de Novel contrecarre une attaque de ver sans fin Une entreprise leader du marché de l'antivirus a vu son infrastructure d'internet subir les assauts continus d'une attaque de déni de service venant d'un ver. Il était coûteux d'absorber cette attaque en continu, et cela consommait des ressources de l'infrastructure importantes. Après une analyse et des tests minutieux, Akamai a déterminé que le ver ne répondait pas correctement à certains types de réponses de la couche logicielle HTTP. Ceci a permis à Akamai d'intégrer une solution qui a filtré de manière efficace le trafic du ver à moindre coût, tout en continuant de permettre au trafic de requêtes valides d'être traité normalement. Bloquer les effets au niveau du serveur de périphérie a permis à ce client de faire d'énormes économies, tout en maintenant une disponibilité du site de 100 %.

10 8 Défense au niveau des applications À mesure que les attaques deviennent plus sophistiquées, elles passent à travers les pare-feux traditionnels et attaquent la couche applicative, en tirant profit des ports 80 et 443, qui, pour faciliter respectivement le trafic HTTP et HTTPS, sont habituellement laissés ouverts dans les pare-feux. Selon Symantec, plus de 60 % des failles d'internet identifiées en 2008 concernaient des applications web 15. Des techniques telles que le cross-site scripting (XSS), les buffer overflow, et les injections SQL sont utilisées pour effectuer des attaques extrêmement nuisibles sur la couche logicielle. Contrer cette menace nécessite des moyens de défenses qui peuvent comprendre et analyser la charge utile du trafic web. Akamai fournit ce type de protection via son service Web Application Firewall (WAF). Exécuté à la périphérie d'internet sur la plate-forme d'akamai, le WAF détecte et signale ou bloque le trafic malveillant via des règles configurables, de vérification de protocole, de validation d'entrée, d'identification des robots et chevaux de Troie, et de détection de fuite SQL. Avec son architecture unique, le WAF se différencie des pare-feux centralisés «classiques» car il offre à la fois une évolutivité à la demande sans précédent, mais aussi la capacité de détourner le trafic corrompu aussi près que possible de la source de l'attaque. De plus, contrairement à un pare-feu centralisé, le WAF ne crée pas de goulet d'étranglement de performance ou de points de défaillance uniques qui seraient une cible facile pour les attaquants. Ainsi, il fonctionne aussi bien en service autonome que combiné avec les couches de protection logicielle existantes, en tirant profit de la plate-forme Akamai pour renforcer la robustesse et l'évolutivité de ces systèmes centralisés. Malgré le fait que le WAF offre une protection automatique contre de nombreuses attaques courantes et dangereuses au niveau du web, comme les attaques de cross-site scripting ou d'injection SQL, les attaques de trafic de la couche applicative peuvent être difficiles à distinguer du trafic légitime, car elles se dissimulent sous des requêtes d'application web qui ont l'air normales. Dans ces cas de figure, l'analyse humaine est généralement nécessaire à l'identification des points communs des attques de trafic, afin d'identifier la meilleure stratégie de sécurisation. Le WAF et les autres fonctionnalités de protection de périphérie peuvent ensuite être configurés sélectivement pour contrer une attaque spécifique, en plus de la protection automatique contre les autres failles logicielles connues. Cas clients : Attaque de requêtes de recherche adaptative Attaque de botnet contrecarrée par l'emploi de multiples stratégies ciblées En utilisant un déploiement rapide et une approche sur plusieurs couches, Akamai a permis à un important moteur de recherche sur Internet de résister à une vague sophistiquée d'attaques de trafic menées par un botnet, qui consistait en un jeu de requêtes de recherches adaptatives, impossibles à mettre en cache. La première couche de cette approche consistait à bloquer automatiquement par Akamai les requêtes des adresses IP les plus offensives. Ceci a paré environ 85 % de la vague d'attaque initiale sans aucun impact pour l'utilisateur final ni perturbation du service, gagnant du temps pour une analyse plus profonde de l'attaque. Un deuxième composant défensif a tiré profit d'akamai pour identifier et bloquer un jeu de mauvaises requêtes. Dans ce cas, ce jeu comprenait des variantes contenant différentes portions d'url encodé pour générer une plus grande variété et éviter d'être détecté. Ces mauvaises requêtes ont été complètement déchargées des serveurs du moteur de recherche, les libérant pour la gestion des requêtes légitimes. La plate-forme d'akamai a géré les «mauvaises» requêtes avec une page d'erreur personnalisée, informant tous les utilisateurs légitimes concernés de la situation afin de minimiser davantage l'impact sur l'utilisateur final. De plus, le moteur de recherche a protégé ses serveurs d'origine avec SiteShield pour empêcher le botnet d'effectuer des connexions à l'origine directes, gourmandes en ressources. Ainsi, le moteur de recherche a repoussé l'attaque avec succès, avec un impact minime sur l'utilisateur final, car Akamai a absorbé des attaques de trafic de plus de hits par seconde à la place de son client.

11 9 Conclusion Alors que la taille et la complexité des menaces d'internet continuent de se multiplier, les entreprises ont besoin d'être plus vigilantes que jamais dans la protection de leur infrastructure numérique et de leurs ressources. Une sécurité efficace demande une approche de défense en profondeur qui renforce les protections traditionnelles centralisées avec un anneau de défense extérieur dans le Cloud qui fournit la flexibilité et la montée en charge à la hauteur des menaces actuelles. Les attaques de déni de service distribuées sont un des exemples des menaces disproportionnées et insidieuses auxquelles les entreprises doivent faire face aujourd'hui, elles mettent en lumière les limites des solutions de défense conventionnelles de périmètre centralisé et elles mettent en valeur les avantages indéniables qu'une sécurité dans le Cloud peut offrir, en termes d'évolutivité, de flexibilité, de planification des capacités et de coût. Dans ce nouveau monde, Internet est le périmètre de l'entreprise, et une sécurité d'entreprise robuste demande d'englober le Cloud plutôt que de s'en retirer, les menaces distribuées demandent des protections distribuées. Cependant, afin de profiter des bienfaits uniques de la sécurité dans le Cloud, les entreprises doivent faire attention et choisir un partenaire de confiance, qui offre des solutions inter-réseaux testées et évolutives. Beaucoup de noms prestigieux, à la fois privés et publics, sont sécurisés et optimisés sur la plate-forme d'akamai. Akamai a fait ses preuves en surmontant quelques-uns des plus graves incidents de DDoS de l'histoire de l'internet. La disponibilité de la plate-forme Akamai et du contenu du client que nous transportons est le point critique de notre mission et de notre succès, et c'est pourquoi notre compétence première se concentre sur l'exploitation de la meilleure infrastructure informatique massivement distribuée au monde, sûre, hautement performante et disponible. La sécurité est complètement intégrée dans chaque aspect de la plate-forme et des opérations Akamai, de ses serveurs robustes avec son architecture résistante aux pannes jusqu'aux politiques de sécurité physique et opérationnelle rigoureuses qu'elle applique 16. Ces contrôles de sécurité sont conçus pour protéger, pas seulement Akamai, mais l'internet dans son ensemble, et les milliers d'entreprises qui dépendent d'edgeplatform pour offrir chaque jour, de manière sûre et fiable, un total de plus de 500 milliards d'interactions sur le web. Avec sa vision mondiale inégalée, sa plate-forme distribuée et son large éventail de fonctionnalités de protection exécutées sur une plate-forme, Akamai est le seul à pouvoir aider les entreprises à maîtriser la puissance du Cloud pour sécuriser efficacement leur périmètre et se défendre contre les menaces à grande échelle en constante évolution d'aujourd'hui.

12 Rapport mondial sur les menaces de la sécurité d'internet par Symantec : tendances pour Rapport sur la sécurité des infrastructures par Arbor Networks, Volume IV, Rapport mondial sur les menaces de la sécurité d'internet par Symantec : tendances pour Pour plus d'informations, consultez la vue d'ensemble du système de gestion de la sécurité de l'information d'akamai, qui aborde plus en détail le réseau complet d'akamai et ses politiques de sécurité opérationnelles. La différence Akamai Akamai propose l unique service managé du marché capable de diffuser des contenus (riches, interactifs et dynamiques) sur le web et d'accélérer les transactions et les applications sur Internet. Aujourd hui Akamai compte parmi ses clients quelques-uns des plus grands groupes internationaux et ce dans l'ensemble des secteurs d activités. Véritable alternative aux infrastructures web centralisées, la plate-forme mondiale d Akamai s appuie sur plusieurs dizaines de milliers de serveurs dédiés qui, en plus d offrir un point de vue incomparable sur le réseau Internet, apportent aux entreprises l envergure, la fiabilité, la visibilité et les performances nécessaires pour déployer leurs modèles économiques et mener à bien leurs activités en ligne. Akamai conforte l Internet dans son rôle d information, de divertissement, d échange et de communication. Pour découvrir la différence Akamai, allez sur Akamai Technologies, Inc. U.S. Headquarters 8 Cambridge Center Cambridge, MA Tél. : Fax : Numéro vert (USA) : 877.4AKAMAI ( ) Bureaux dans le monde Unterfoehring, Allemagne Paris, France Milan, Italie Londres, Angleterre Madrid, Espagne Stockholm, Suède Bangalore, Inde Sydney, Australie Pékin, Chine Tokyo, Japon Séoul, Corée Singapour 2009 Akamai Technologies Inc. Tous droits réservés. Toute reproduction complète ou partielle sous quelque forme ou support que ce soit sans autorisation écrite expresse est strictement interdite. Akamai et le logo en forme de vagues d Akamai sont des marques déposées. Les autres marques commerciales citées appartiennent à leurs propriétaires respectifs. À la connaissance d'akamai, les informations utilisées dans la présente publication sont exactes à la date de leur parution. Ces informations sont sujettes à modification sans préavis.