White Paper. Solutions de sécurité d'akamai : Protégez vos processus métiers et vos applications en ligne

Transcription

1 White Paper Solutions de sécurité d'akamai : Protégez vos processus métiers et vos applications en ligne

2 Table des matières EXECUTIVE SUMMARY Un paysage menaçant Une défense au-delà du périmètre de l'entreprise Principales fonctionnalités des solutions de sécurité SÉCURITÉ DE LA COUCHE APPLICATIVE Web Application Firewall (WAF) Contrôles d'accès HTTP Priorisation des utilisateurs... 5 SÉCURITÉ DE LA COUCHE RÉSEAU SiteShield Diffusion sécurisée (SSL et certificats numériques) Conformité PCI Détection des fraudes basée sur le protocole IP Gestion des droits basée sur le protocole IP Liste noire/liste blanche IP SÉCURITÉ DNS Enhanced DNS (EDNS) Global Traffic Management (GTM) LIMITATION DES ATTAQUES PAR DÉNI DE SERVICE La première ligne de défense : une action à grande échelle Surveillance du trafic et du point d'origine Autres capacités de limitation des attaques DDoS CONTINUITÉ DES ACTIVITÉS Plate-forme de diffusion sans interruption Amélioration de la fiabilité pour le contenu dynamique NetStorage Site failover EdgeComputing AKAMAI : AMÉLIORER LE WEB ET LE RENDRE PLUS SÛR

3 Akamai Security Capabilities 1 Résumé Alors que les entreprises continuent à déplacer leurs opérations et données sensibles sur Internet, elles doivent aussi prendre les mesures adaptées afin de préserver ces ressources des menaces croissantes du monde en ligne. Des vers et des virus au phishing et au pharming, en passant par les botnets et les attaques par déni de service, l'infrastructure ouverte d'internet est une cible facile pour les criminels, cherchant à tirer un profit en volant des données, en compromettant des systèmes ou encore en perturbant les transactions en ligne toujours plus nombreuses. Pour lutter contre la prolifération de ces menaces, les entreprises doivent se doter d'une architecture de défense à plusieurs couches capable de préserver leur périmètre de plus en plus poreux des attaques potentielles qui se complexifient et prennent de l'ampleur. Située au point d'entrée des requêtes des utilisateurs et de l'infrastructure centrale de l'entreprise, la plate-forme EdgePlatform d'akamai propose de façon exclusive une protection de certaines couches critiques. En exploitant l'avantage unique de son statut de plus grande plate-forme de serveurs distribués au monde, EdgePlatform offre un large éventail de systèmes de sécurité, à la fois flexibles et évolutifs, pour aider les clients à étendre leurs défenses jusqu'à la périphérie d'internet et renforcer leur infrastructure face aux potentielles attaques massives d'aujourd'hui. Ce livre blanc donne un large aperçu des méthodes proposées par Akamai pour aider les entreprises à renforcer la sécurité de leurs ressources sur le web, grâce à des moyens de défense allant des couches application, réseau et DNS aux solutions axées sur la limitation des attaques par déni de service distribué (DDoS) et la continuité des activités. Introduction Un paysage menaçant Depuis quelques années, l'ampleur et la gravité des attaques lancées vers des sites et des applications s'intensifie. La cybercriminalité est de plus en plus lucrative alors que les entreprises font migrer leurs applications lourdes vers le web, s'appuyant de plus en plus sur Internet pour leurs opérations et leurs données stratégiques. Internet est désormais une mine d'or virtuelle recelant des données sensibles et des ressources précieuses mais malheureusement, l'envergure de sa sécurité n'a pas encore comblé son retard. En réalité, c'est plutôt l'opposé qui se passe : les vulnérabilités se sont multipliées alors que le web se révèle comme un environnement de plus en plus complexe et hétérogène. La sécurité ne joue que le second rôle face aux pressions concurrentielles qui engendrent des cycles de développement rapide et sans fin si bien que des faiblesses et des points d'attaques potentiels sont introduits en permanence. Cela signifie que les applications et les sites web sont plus que jamais vulnérables aux attaques. En fait, le consortium de sécurité des applications web a récemment indiqué que plus de 87 % des applications web sont considérées comme présentant une vulnérabilité de niveau élevé ou supérieur, la moitié des risques étant détectables via une simple analyse automatique 1. Et comme si cela ne suffisait pas, les logiciels malveillants sont de plus en plus dangereux car les vers et virus exploitent des techniques toujours plus sophistiquées et deviennent de plus en plus difficiles à détecter et à neutraliser. Les logiciels malveillants se propagent plus rapidement que jamais chez des millions d'hôtes peu méfiants grâce à l'utilisation furtive de techniques de rootkit, de piratage psychologique, de cryptage, de polymorphisme ou autres du même type. Ainsi, les botnets ces armées d'ordinateurs zombies infectés se développent de façon exponentielle depuis quelques années. Le centre de sécurité des données technologiques de Géorgie estime que 34 millions d'ordinateurs, rien qu'aux États-Unis, pourraient aujourd'hui faire partie d'un botnet 2. Leur nombre fait planer une énorme menace car les armées de zombies sont à la fois peu coûteuses et très efficaces pour mettre à exécution bon 2 nombre de cybercrimes divers, notamment les attaques DDoS, le vol de données, l'envoi de spams, le phishing et la propagation de logiciels espions et autres programmes malveillants. Personne n'est à l'abri : des attaques récentes et largement médiatisées ont paralysé tous types d'établissements, des sites de réseaux sociaux populaires aux institutions financières, en passant par les organisations gouvernementales et les plus grands noms du web. Ces attaques se révélant lucratives, une criminalité clandestine très sophistiquée est apparue, accompagnée d'un marché noir actif en matière de services spécialisés et ayant des liens évidents avec le crime organisé. Alors qu'ils fuient délibérément les radars, leur impact est bien réel : le coût de la cybercriminalité pour les entreprises est aujourd'hui estimé à 1 billion par an 3.

4 Akamai Security Capabilities 2 Une défense au-delà du périmètre de l'entreprise Afin d'atténuer les risques opérationnels et de sécuriser l'infrastructure stratégique dans un environnement menaçant, les entreprises doivent opter pour une stratégie de défense en profondeur, utilisant des couches de protection superposées pour détecter et détourner les attaques à tous les niveaux et à tous les points d'accès de leur infrastructure. Outre les solutions de périmètre classiques telles que les pare-feux, les systèmes de détection des intrusions, les routeurs renforcés et autres dispositifs de sécurité, un système de défense distribué dans le Cloud fournit une couche nécessaire dans l'approche de défense en profondeur. Et cela est d'autant plus vrai dans l'environnement actuel où les périmètres de réseau d'entreprise deviennent de plus en plus poreux pour s'adapter à une diversité croissante de dispositifs mobiles, de méthodes d'accès et de plate-forme clients. Une défense à la périphérie offre des capacités uniques pour combattre la nature distribuée et invasive des menaces d'internet. Elle neutralise les attaques à la source plutôt que de les laisser atteindre le périmètre centralisé. De plus, l'architecture périphérique est la seule à pouvoir monter suffisamment en charge pour absorber et détourner les attaques massives lancées par les botnets - actuels y compris les attaques DDoS qui peuvent assaillir les sites à des niveaux de trafic plusieurs centaines de fois supérieurs au volume habituel. Figure 1 : Attaques de tra c, principaux pays d origine Des données issues de la plate-forme Akamai montrent que les sources d'attaques de trafic continuent à fluctuer alors que la nature interconnectée et mondiale d'internet fait du cybercrime un employeur donnant ses chances à tous. Ces données, ainsi que d'autres statistiques Internet sont publiées chaque trimestre dans les rapports «État des lieux de l'internet» d'akamai. 2 8 Pays % de trafic % 1er trimestre 09 1 Chine 2 États-Unis 3 Corée du Sud 4 Inde 5 Taïwan 6 Brésil 7 Pays-Bas 8 Mexique 9 Japon 10 Allemagne - AUTRES % 27.59% 14.63% 22.15% 6.83% 7.53% 3.93% 1.60% 2.32% 2.22% 2.29% 2.60% 2.06% 1.16% 1.96% 1.21% 1.95% 1.79% 1.93% 2.95% 30.75% Principales fonctionnalités des solutions de sécurité Akamai sécurise, surveille et exploite sa plate-forme EdgePlatform, dotée de serveurs sur plus de réseaux, dans 70 pays à travers le monde. Grâce à une décennie d'expérience et d'efficacité prouvée, Akamai diffuse aujourd'hui environ un cinquième de l'ensemble du trafic mondial et compte parmi ses clients les entreprises les plus renommées dans le monde, notamment : Cloud permettent aux entreprises de verrouiller leur périmètre de sécurité et de renforcer leur infrastructure de défense en profondeur grâce aux protections flexibles et capables de monter en charge, nécessaires pour lutter contre les menaces actuelles. De plus, l'approche innovante d'akamai contourne le compromis classique consistant à sacrifier les performances et la disponibilité pour une plus grande sécurité. Trois des cinq premières sociétés de courtage en ligne Neuf des 10 premiers fournisseurs de logiciels anti-virus Toutes les branches de l'armée américaine Plus de 150 portails d'information parmi les plus fréquentés au monde 85 des 100 principales enseignes américaines en ligne, qui effectuent chaque année plus de 100 milliards de transactions en ligne par le biais d'akamai Conçue avec pour objectifs prioritaires la sécurité, la faculté de récupération et la tolérance aux pannes, EdgePlatform d'akamai est reconnue pour ses capacités à fournir une défense à la périphérie flexible et intelligente au niveau de l'ensemble des couches de la pile OSI, comme le montre la figure 2. Ces fonctionnalités dans le

5 Akamai Security Capabilities 3 Figure 2 : La plate-forme d'akamai offre des outils évolutifs en matière de sécurité ; qui permettent de combattre les cyber-menaces au niveau de la couche applicative, de la couche réseau IP et de la couche DNS. Ils proposent aussi des solutions de limitation des attaques DDoS et de continuité des activités à chaque niveau de l'infrastructure. Couche d'application HTTP Web Application Firewall Contrôles d'accès HTTP Priorisation des utilisateurs Protection DDOS Couche réseau IP Continuité des activités Montée en charge de la plate-forme Surveillance du trafic et du point d'origine et capacités au niveau des couches d'application, IP et DNS Diffusion sécurisée SiteShield (SSL et certificats numériques) Conformité PCI Détection des fraudes basée sur le protocole IP Gestion des droits basée sur le protocole IP Listes blanches et listes noires IP Plate-forme de diffusion sans interruption Technologie SureRoute Site failover NetStorage EdgeComputing Couche DNS Enhanced DNS Global Traffic Management Sécurité de la couche applicative De plus en plus d'attaques cybercriminelles contournent les pare-feux classiques et contrôles de sécurité spécifiques aux s en utilisant des attaques, toujours plus sophistiquées, sur la couche HTTP pour viser les applications et sites web. Malheureusement, le caractère hétérogène des applications web, associé à des cycles de développement rapides et continus, offre souvent de nombreuses vulnérabilités à exploiter. Le développeur de solutions de sécurité Sophos estime effectivement qu'en 2008, une page web était infectée toutes les 4,5 secondes 4. Cette tendance implique des besoins en pare-feux et autres défenses de sécurité aptes à comprendre et analyser la charge utile du trafic web comme HTTP, HTTPS et XML et à offrir une protection contre les dangereuses menaces qui pèsent sur la couche applications telles que le cross-site scripting (XSS), les failles de débordement de mémoire tampon et les attaques par injection SQL. Akamai fournit ce type de protection à la périphérie du réseau, développant ainsi les solutions de défenses classiques avec un niveau inégalé de redondance et de montée en charge intégrées. Web Application Firewall (WAF) Web Application Firewall d'akamai est un système de défense périphérique évolutif, doté de capacités de détection d'attaques dans le trafic HTTP et SSL lorsque celui-ci passe via la plate-forme EdgePlatform d'akamai, avant de parvenir aux centres de données d'origine des clients. Le service WAF donne aux clients la possibilité de paramétrer des alertes ou blocs de trafic en fonction de règles qui vérifient la présence de données spécifiques comme les cookies, les certificats clients et les champs référents ou détectent des schémas anormaux et potentiellement dangereux dans les en-têtes de requête HTTP. Basé sur la traduction du ModSecurity Core Rule Set (CRS) open source, le WAF protège contre les types d'attaques les plus fréquents et les plus nuisibles, notamment le Cross Site Scripting (XXS) et l'injection SQL.

6 Akamai Security Capabilities 4 Le WAF est unique de par son architecture distribuée qui permet à la fois une montée en charge instantanée des défenses en fonction des besoins, et un filtrage du trafic corrompu aussi près que possible de la source de l'attaque. Contrairement à un pare-feu centralisé, le WAF ne crée pas de points d'étranglement de performances ou de points de défaillance uniques qui se révèlent souvent comme étant des cibles faciles pour les pirates. Le WAF utilise des contrôles de couches de réseau et d'application configurables et basés sur des règles pour empêcher les types de vecteurs d'attaques suivants : Violations de protocole Violations des limites de requêtes Violations de politique HTTP Robots malveillants Attaques par injections de commande Portes dérobées, chevaux de Troie Perte de contenu sortant (bannières de serveur) Le fait de passer via l'infrastructure d'akamai n'est pas systématiquement le meilleur moyen de gérer chaque type d'attaque d'application web. Certaines catégories d'attaques peuvent être mieux prises en charge grâce à une connaissance approfondie de l'infrastructure de réseau, des bases de données et des applications spécifiques du centre de données du client. Ainsi, le WAF fournit une couche de défense extérieure efficace et flexible qui fonctionne à la fois comme un service indépendant et comme un complément à d'autres systèmes de protection des applications web améliorant la robustesse et la capacité de montée en charge de ces systèmes en faisant migrer certaines de leurs fonctions vers la plateforme d'akamai afin que les défenses centralisées puissent se concentrer sur les protections plus spécifiques aux applications. Contrôles d'accès HTTP Akamai propose des mécanismes d'accès qui permettent aux clients de garder un contrôle total sur la diffusion de leur contenu à accès restreint, tout en profitant des performances et capacités de montée en charge offertes par sa plate-forme. Le client désigne le contenu qui exige une authentification et le mécanisme d'accès à utiliser. Ces mécanismes comprennent : L'authentification centralisée des utilisateurs. Le contenu protégé se trouve sur les serveurs de stockage d'akamai mais chaque requête d'utilisateur est authentifiée par le serveur d'origine du client avant d'être diffusée, ce qui permet un contrôle centralisé tout en profitant des performances élevées d'une diffusion allégée. L'authentification périphérique des utilisateurs.les serveurs périphériques d'akamai authentifient les requêtes de contenu des utilisateurs à la place du serveur d'origine du client. Le fonctionnement de cette caractéristique unique s'appuie sur une combinaison de cookies cryptés et d'url à contenu spécial, générés de façon dynamique par le serveur d'origine du client. Le client conserve une totale flexibilité pour le choix des critères avec lesquels autoriser ou restreindre un accès, mais l'authentification et le processus de diffusion sont entièrement transférés chez Akamai. L'authentification d'akamai.il s'agit d'un mécanisme robuste et flexible pour authentifier les serveurs d'akamai au niveau du serveur d'origine du client, grâce à l'utilisation d'une clé secrète partagée. Cela signifie que le serveur d'origine peut authentifier en toute sécurité les requêtes issues de n'importe quel serveur du réseau d'akamai sans avoir à utiliser une liste prédéfinie d'adresses IP ou d'autres mécanismes plus rigides. Priorisation des utilisateurs Akamai offre des capacités de gestion des situations de sollicitations massives où le serveur d'application du client est exposé à un risque de défaillance. En surveillant l'état du serveur d'application, Akamai est en mesure de limiter, si besoin, la charge au niveau du serveur en redirigeant le surplus d'utilisateurs vers un contenu alternatif mis en cache une salle d'attente virtuelle qui les retient sur le site et empêche le serveur d'origine d'être surchargé. Cette solution offre un double avantage car les cas clients montrent qu'il faut beaucoup plus de temps pour rétablir des niveaux de trafic après une défaillance de site (lorsque le site est totalement inaccessible) qu'après un ralentissement de site. Sécurité de la couche réseau Alors que les attaques cybercriminelles se font de plus en plus complexes et qu'un nombre croissant d'attaques dévastatrices vise principalement la couche d'application, la couche IP représente encore près de deux tiers des attaques actuelles 5. En conséquence, les défenses qui renforcent cette couche fondamen - tale de communications Internet sont essentielles pour la sécurité de toute infrastructure web. Akamai exploite son architecture exclusive et sa base de connaissances Internet en temps réel pour offrir diverses capacités permettant de sécuriser la couche réseau. SiteShield Le service SiteShield d'akamai aide à protéger le serveur d'origine du client en le rendant invisible sur Internet, ce qui revient à le supprimer de l'espace des adresses IP accessibles via Internet. Cela minimise les risques associés aux menaces de la couche réseau, et limite notamment le nombre d'attaques DDoS qui visent directement le serveur d'origine.

7 Akamai Security Capabilities 5 Le fonctionnement de SiteShield consiste à autoriser le pare-feu du client à restreindre les connexions entrantes vers les serveurs SiteShield d'akamai uniquement, au lieu de laisser les ports standard HTTP/S 80 et 443 ouverts et vulnérables à toute connexion entrante. Les serveurs SiteShield peuvent être configurés pour communiquer avec l'origine sur des ports non standard ainsi que pour masquer des ports supplémentaires. La plate-forme EdgePlatform d'akamai intercepte et exécute chaque requête d'utilisateur, au nom du client, en communiquant de façon sécurisée et invisible avec le serveur d'origine pour récupérer du contenu qui n'est pas en mémoire tampon. Cas clients : SiteShield Akamai SiteShield protège «U.S. Citizen and Immigration Services» Lorsque les services américains d'immigration et de citoyenneté (U.S. Citizen and Immigration Services - USCIS) ont voulu à la fois rationaliser leur infrastructure et fournir une protection rentable contre les attaques par déni de service, ils ont choisi Akamai, exploitant les deux solutions Dynamic Site Accelerator et SiteShield. Selon Stephen Schillinger, responsable de la division des services web de l'uscis, «SiteShield nous offre une tranquillité d'esprit. Grâce à cette solution, nous savons que notre infrastructure web sera protégée des attaques et restera disponible malgré les problèmes pouvant survenir dans l'environnement USCIS».. «Akamai garantit la disponibilité constante de notre site et une expérience aussi optimale que possible pour nos utilisateurs». Stephen Schillinger, responsable de la division des services web, USCIS Diffusion sécurisée (SSL et certificats numériques) Akamai diffuse un contenu sécurisé SSL sur un réseau conçu pour répondre aux normes rigoureuses du secteur banque, finance et assurance. Le service de diffusion sécurisée permet aux clients de profiter des performances, de la fiabilité et des avantages du délestage offerts par Akamai tout en diffusant un contenu protégé par une authentification et un chiffrement SSL. Certificats numériques. Pour rendre les transactions plus sûres et plus fiables, Akamai propose un certain nombre d'options de certificats SSL afin de répondre aux diverses exigences commerciales des clients. Elles incluent des certificats avec adresse Internet unique, de remplacement et avec validation prolongée, ainsi qu'une option de label affichant un logo de confiance sur le site ou l'application web sécurisés. Niveau de chiffrement. Les serveurs d'akamai peuvent être configurés pour n'accepter que les connexions sécurisées basées sur un niveau minimal de chiffrement. Les requêtes n'étant pas conformes à ce minimum peuvent être refusées ou envoyées vers une autre page avec les conditions requises de mise à niveau. Conformité PCI Le réseau SSL d'akamai est conforme aux normes de sécurité des données du secteur des cartes de paiement (PCI DSS), niveau 1 des directives de fournisseur de services. Le réseau SSL d'akamai est analysé chaque trimestre par un fournisseur de services d'analyse agréé («Approved Scanning Vendor» - ASV) ; il est aussi évalué et vérifié tous les ans par un expert qualifié en sécurité («Qualified Security Assessor» - QSA). Les systèmes du monde entier qui traitent, stockent ou transmettent des données de carte de crédit doivent être conformes aux normes PCI. La certification PCI d'akamai permet aux organisations clientes de rationaliser leur propre processus de certification et d'assurer la protection de leurs données de transaction utilisateurs sensibles.

8 Akamai Security Capabilities 6 Détection des fraudes basée sur le protocole IP Akamai propose un outil de détection des fraudes, reposant sur sa capacité à fournir des données géographiques en temps réel (pays, état/région, ville, latitude et longitude ou code postal) pour chaque requête d'utilisateur, en fonction des informations IP. Ces données sont rendues disponibles via une simple interface de programmation (API) pouvant être intégrée dans le serveur d'application web du fournisseur de contenu. Les données peuvent par exemple être utilisées pour vérifier les coordonnées saisies par l'utilisateur ; les disparités entre des lieux peuvent aboutir à la nécessité d'un second niveau de vérification. La détection des fraudes basées sur le protocole IP permet aussi le blocage de requêtes issues de serveurs mandataires (proxy) ouverts ou anonymes qui représentent un risque de sécurité élevé. Gestion des droits basée sur le protocole IP À l'instar de ses fonctions de détection des fraudes basée sur le protocole IP, la capacité d'akamai à valider la situation géographique d'utilisateur en temps réel aide les fournisseurs de contenu à garantir la conformité des informations diffusées. Grâce à cela, les clients sont en mesure de faire respecter des obligations contractuelles ou légales, protégeant leurs ressources tout en réduisant les possibilités et les dépenses de distribution des produits dans des régions et à des utilisateurs non autorisés. Liste noire/liste blanche IP Akamai offre la possibilité d'autoriser ou de refuser une requête émanant d'une adresse IP : Liste noire : refuse l'accès à une liste d'adresses IP spécifiques (et/ou blocs CIDR) Liste blanche : autorise l'accès à une liste d'adresses IP spécifiques (et/ou blocs CIDR) sans inspection plus poussée Cette fonctionnalité peut être utilisée à la fois pour le contrôle d'accès et pour limiter les attaques DOS. Sécurité DNS L'infrastructure DNS (Domain Name System) d'une application ou d'un site web est un élément critique mais souvent insuffisamment déployé dans la structure d'ensemble. Une défaillance de système de noms de domaine (DNS) peut anéantir les opérations web d'une organisation. Pourtant, de nombreuses entreprises ne reposent que sur deux ou trois serveurs DNS, se trouvant souvent dans le même réseau, voire le même data center, ce qui les rend vulnérables aux défaillances matérielles, aux pertes de puissance ou aux pannes de réseau, ainsi qu'aux attaques DNS. Akamai propose diverses options aux clients cherchant à armer leur système DNS contre de telles vulnérabilités. Enhanced DNS (EDNS) Le service Enhanced DNS d'akamai fournit une solution DNS externalisée sécurisée, robuste et évolutive pour diriger en toute confiance les utilisateurs vers les applications et sites web d'une entreprise. Configuré comme un service DNS secondaire officiel, EDNS permet au client d'exploiter les performances, la capacité de montée en charge et la fiabilité inégalées de la plate-forme nameserver mondialement distribuée d'akamai sans modifier ses processus d'administration DNS existants. En utilisant EDNS, les serveurs de DNS principaux du client ne sont pas directement exposés aux utilisateurs, ce qui limite le risque d'empoisonnement de cache et d'attaques par déni de service. En outre, EDNS exploite un certain nombre de technologies, notamment IP Anycast, les transferts de zone sécurisés, les serveurs de noms de domaine protégés par des routeurs et les DNS non basés sur BIND, pour offrir aux clients une solution sécurisée et résistante aux défaillances. Global Traffic Management (GTM) Global Traffic Management d'akamai est une solution dans le Cloud évolutive qui permet aux entreprises, dont les serveurs d'origine sont géographiquement dispersés, d'optimiser la disponibilité et les performances de leurs applications web. GTM exploite le système DNS dynamique d'akamai mondialement distribué pour diriger les requêtes des utilisateurs vers le meilleur site d'origine, en fonction des règles paramétrées par le client, qui englobent les règles d'entreprise et les conditions de performances du serveur d'origine et d'internet en temps réel surveillées en permanence par l'edgeplatform. Les règles d'entreprise configurables de façon dynamique sont les suivantes : basculement automatique, équilibrage de charge pondéré ou routage IP. GTM peut aussi servir à restreindre les attaques DDoS émanant de régions localisées. En exploitant les données géographiques en temps réel relatives à chaque requête, GTM peut permettre d'installer un trou noir dirigeant le trafic issu de régions attaquantes vers des machines inexistantes ou non réceptives tout en dirigeant le trafic légitime vers les véritables serveurs d'origine. Limitation des attaques par déni de service Les attaques par déni de service distribuées (DDoS) représentent l'une des forces de nuisance les plus visibles du cyberespace. Bien que quelques attaques DDoS soient sous-tendues par des motivations politico-sociales, beaucoup sont soutenues financièrement par des entreprises qui engagent des cybercriminels pour attaquer les sites de leurs concurrents, voire par les criminels eux-mêmes qui exercent un chantage sur les entreprises en les menaçant, parfois avec succès, d'une importante interruption de leur activité. L'ampleur des attaques DDoS est malheureusement montée en flèche en raison d'une prolifération des botnets. Selon Arbor Networks, les plus grandes attaques DDoS ont été multipliées par cent en l'espace de sept ans, passant de 400 Mo/s en 2001 à 40 Go/s en Les attaques du 4 juillet 2009 ont encore été d'une toute autre ampleur ; Akamai a alors absorbé un surplus d'attaques de trafic de 200 Go/s pour le compte de ses clients gouvernementaux assiégés.

9 Akamai Security Capabilities 7 La première ligne de défense : une action à grande échelle La plate-forme d'akamai, constituée de serveurs à la sécurité renforcée, diffuse dans le monde entier un trafic web au débit global allant de 800 Go/s à plus de 2 To/s. Grâce à ses capacités d'allocations de ressources dynamiques en temps réel et à grande échelle, EdgePlatform d'akamai est la seule plate-forme capable d'aider les clients à résister aux tempêtes DDoS qui peuvent conduire à des niveaux de trafic des centaines de fois supérieurs à la normale. De plus, l'équilibrage de charge et le système de routage intelligents d'akamai veillent à ce que les attaques de trafic ne dégradent pas les performances des requêtes d'utilisateurs légitimes et ce, pour tous les clients d'akamai. Surveillance du trafic et du point d'origine Avec des serveurs installés dans sites à travers réseaux mondiaux, EdgePlatform surveille et analyse en permanence l'état d'internet en temps réel. Cela comprend des données sur les niveaux de trafic dans différentes régions, l'état de l'infrastructure dorsale, l'état du serveur DNS et le taux de désabonnement du protocole BGP. Grâce à des mécanismes d'alerte agrégés et spécifiques à chaque client, déclenchés par des schémas de trafic web inhabituels, la vision unique et instantanée d'akamai du web mondial permet une identification proactive des trafics d'attaque et de leurs origines. Akamai peut aussi offrir aux clients une surveillance du point d'origine qui détecte les ralentissements des temps de réponse de l'origine en raison d'une surcharge. Autres capacités de limitation des attaques DDoS Parce qu'il n'y a pas de solution simple et unique pour combattre les nombreuses catégories d'attaques DDoS, il est crucial d'avoir un système de défense pouvant être rapidement adapté aux caractéristiques de chaque attaque. EdgePlatform flexible et gérée par métadonnées d'akamai peut le faire en offrant un large éventail de réponses de protection et la capacité d'utiliser un certain nombre d'entre elles de façon dynamique au cours d'une attaque. La limitation des risques DDoS couvre tous les niveaux d'infrastructure d'une application, y compris les couches applicative, réseau et DNS. Ainsi, bon nombre des services que nous avons déjà couverts notamment le service Web Application Firewall, SiteShield, Enhanced DNS et Global Traffic Manager fournissent des fonctions de limitation des risques DDoS, comme indiqué dans leurs descriptions ci-dessus. Voici les autres fonctions DDoS d'edgeplatform : Le blocage ou la redirection de requêtes en fonction de caractéristiques telles que l'adresse IP, l'emplacement géographique d'origine ou les schémas de chaînes de requête La mise en quarantaine des attaques de trafic via les réponses DNS. L'utilisation de réponses lentes pour couper les machines attaquantes en minimisant les effets sur les utilisateurs légitimes. La redirection du trafic loin des serveurs ou des régions qui subissent l'attaque. La limitation du taux de transfert des requêtes transmises au serveur d'origine afin d'en garantir la santé. La mise en quarantaine du trafic suspect dans un ensemble restreint de serveurs. La diffusion de pages d'erreur personnalisées pendant l'attaque (mises en cache sur les serveurs d'akamai). La vérification par cookies pour identifier des niveaux anormalement élevés de nouveaux utilisateurs, ce qui peut indiquer une attaque. Renvoi du trafic illicit vers la machine effectuant la requête par le biais d'une réponse DNS.

10 Akamai Security Capabilities Cas clients : Limitation des risques DDoS Akamai protège le gouvernement américain lors d'une attaque DDoS sans précédent : le site visé connaît un trafic équivalent à huit ans en une seule journée Le 4 juillet 2009, le gouvernement des États-Unis a été confronté à la plus importante attaque DDoS de son histoire, le principal site visé ayant reçu près de 8 milliards de pages vues en un jour, provoquant des niveaux de trafic près de 600 fois plus élevés que la normale. L'attaque a déferlé en plusieurs vagues et a duré plus d'une semaine, 48 sites ayant été visés au total. Malgré l'ampleur sans précédent de cette attaque, l'ensemble des sites du gouvernement américain diffusés via Akamai y compris les sites de la Maison- Blanche et 13 des 15 agences du cabinet fédéral sont restés en ligne, contrecarrant ainsi les objectifs des pirates. Au plus haut niveau de l'attaque, Akamai a absorbé plus de 200 Go/s de trafic visant les sites gouvernementaux. Dans le même temps, Akamai continuait à desservir le trafic aux utilisateurs légitimes et maintenait 100 % de disponibilité pour l'ensemble de ses clients, diffusant un trafic à plus d'un téraoctet par seconde pour le reste de sa base de clients. Continuité des activités L'indisponibilité d'un site web peut coûter des millions de dollars en termes de perte de chiffre d'affaires et de productivité. C'est pour cela qu'il est plus important que jamais de préparer à l'avance la continuité et / ou la reprise d'activité après un sinistre. Les entreprises qui s'appuient sur une infrastructure web centralisée classique sont particulièrement vulnérables aux sinistres d'origine naturelle et humaine des tremblements de terre aux attaques par déni de service, en passant par les câbles coupés, les coupures de courant et les routeurs mal configurés. En revanche, l'architecture distribuée d'akamai fournit plusieurs couches de protection qui permettent de garantir la disponibilité de l'infrastructure web stratégique. NetStorage Délais de transaction sur le web suite au tremblement de terre de Taïwan en décembre 26 Panne Internet totale sur une période de 8 heures La continuité d'activité, à l'instar de la limitation des risques DDoS, couvre tous les niveaux d'infrastructure d'une application. Les services décrits précédemment, tels que Global Traffic Management et la priorisation des utilisateurs, font partie de l'arsenal d'outils de reprise d'activité après sinistre offerts par Akamai. Ces fonctionnalités, ainsi que les suivantes, permettent à nos clients de continuer leurs opérations commerciales grâce au bon fonctionnement des applications/sites en dépit de graves défaillances du serveur d'origine, de routage ou de réseau. Plate-forme de diffusion sans interruption La construction de la plate-forme d'akamai repose intégralement sur la redondance et la tolérance aux pannes à chaque niveau. Conçu pour s'auto rétablir suite à tous les types de défaillances que ce soit au niveau de la machine, du centre de données, du réseau ou d'internet Akamai offre une plateforme d'une grande disponibilité pour la diffusion d'application et de contenu web, réduisant ainsi la nécessité pour le client de gérer sa propre infrastructure de basculement. EdgePlatform parcourt dynamiquement les défaillances et les incidents pour diffuser le contenu en permanence, avec rapidité et fiabilité. Amélioration de la fiabilité pour le contenu dynamique Grâce à Dynamic Site Solution et Web Application Accelerator, Akamai offre la possibilité d'améliorer la fiabilité et les performances, y compris pour des applications et contenus dynamiques, non stockables en cache. En exploitant la technologie SureRoute, EdgePlatform peut acheminer le contenu dynamique en contournant les problèmes majeurs d'internet qui pourraient interrompre la connectivité. Par exemple, durant le tremblement de terre de Taïwan en 2006, Akamai a estimé qu'internet avait été interrompu pendant 8 heures, suite à une coupure des câbles du réseau sous-marin. Akamai a toutefois pu contourner le problème et continuer à diffuser le contenu dynamique sans que les performances soient altérées, alors que les sites de e-commerce n'ayant pas recours à Akamai ont subi des défaillances ou de sérieuses dégradations pendant plusieurs semaines. Alors que la plupart des transactions Internet à travers l'asie ont été perturbées pendant des semaines après qu'un tremblement de terre ait sectionné des câbles de réseau sous-marins, Akamai a continué à diffuser le contenu dynamique sans aucune interruption ou dégradation des performances /22/06 20:00 12/23/06 12:00 12/24/06 4:00 12/24/06 20:00 12/25/06 12:00 12/26/06 4:00 12/26/06 20:00 12/27/06 12:00 12/28/06 4:00 12/28/06 20:00 12/29/06 12:00 12/30/06 4:00 12/30/06 20:00 12/31/06 12:00 1/1/07 4:00 1/1/07 20:00 1/2/07 12:00 1/3/07 4:00 1/3/07 20:00 1/4/07 12:00 1/5/07 4:00 Performances des transactions d'origine Performances des transactions d'akamai

11 Akamai Security Capabilities 9 NetStorage est le service de stockage sécurisé, distribué et toujours disponible d'akamai. Les clients peuvent héberger tout type de contenu y compris les médiathèques, téléchargements de logiciels ou sites web via ce service évolutif, à la demande. NetStorage dupliquera automatiquement le contenu à destination de plusieurs sites. Cela garantit une solide tolérance aux pannes ainsi que de meilleures performances car les requêtes de contenu sont dirigées vers l'emplacement optimal. NetStorage est la solution idéale pour les entreprises cherchant à gérer une infrastructure en interne de la façon la plus minimale et la plus rationalisée possible. Site failover En prenant en charge la première vague et en absorbant les pics de trafic pour l'infrastructure d'origine, Akamai fournit une couche de protection contre les requêtes massives et les attaques par déni de service. Grâce à sa solution Site Failover, Akamai fournit de multiples options pour que les sites web ne soient pas interrompus en cas de défaillance du serveur d'origine. Site Failover propose trois options majeures en cas de défaillance de l'origine : Basculement vers les serveurs périphériques. Les clients peuvent choisir d'utiliser les serveurs d'akamai pour alimenter une page de basculement par défaut. Basculement vers un autre site. Akamai dirigera les utilisateurs vers un site de secours pouvant avoir une fonctionnalité réduite ou être différent du site original. Basculement vers NetStorage d'akamai. Les clients peuvent héberger une version de secours intégrale de leur site sur le service NetStorage d'akamai offrant une grande disponibilité. En cas de défaillance du serveur d'origine, Akamai dirigera les utilisateurs vers le site du client, sur NetStorage, afin qu'une présence en ligne soit assurée aux entreprises, quelles que soient les conditions d'internet et la disponibilité du serveur d'origine. EdgeComputing Le service EdgeComputing d'akamai permet aux entreprises de déployer des applications J2EE sur EdgePlatform, offrant ainsi aux applications web des performances, une évolutivité et une fiabilité inégalées. La couche de présentation comme la logique commerciale des applications sont exécutées sur le réseau d'akamai, afin que les applications qui ont une faible charge centrale ou sont basées sur des données changeant peu fréquemment comme les catalogues produits, les applications de localisation de magasins, les concours et cadeaux publicitaires, les inscriptions d'utilisateurs et la recherche de site puissent être activées grâce à des transmissions aller-retour occasionnelles et minimales vers une base de données d'origine, voire sans aucune infrastructure d'origine.

12 Akamai : Améliorer le web et le rendre plus sûr Alors que les attaques gagnent en ampleur et en complexité, les entreprises doivent faire preuve d'innovation et d'initiative pour protéger leurs infrastructures web et leurs ressources numériques. Les systèmes de sécurité centralisés classiques ne suffisent plus car leur capacité de montée en charge et leur accessibilité sont insuffisantes pour défendre un périmètre qui s'étend désormais à la périphérie d'internet. C'est pour cette raison que les couches de protection distribuées dans le Cloud sont devenues indispensables à toute architecture de défense. Ces types de solutions permettent de surmonter les défis d'internet et de son caractère distribué par nature. Elles offrent des performances, une flexibilité et une évolutivité inégalées ainsi que la possibilité de minimiser les attaques à la source, avant qu'elles n'aient l'occasion d'accéder à l'infrastructure centrale de l'entreprise. Au cours des dix dernières années, Akamai s'est efforcé de perfectionner, d'accélérer et de sécuriser Internet pour en faire un meilleur espace de transactions commerciales. Des milliers d'entreprises dépendent d'edgeplatform pour la diffusion fiable et sécurisée de 500 milliards d'interactions web chaque jour ; c'est pourquoi la sécurité n'est jamais négligée chez Akamai. Elle fait au contraire partie intégrante de chaque aspect des opérations, des serveurs renforcés à l'architecture pourvue de capacités de correction automatique, en passant par les rigoureuses politiques de sécurité physiques et opérationnelles en place 7. Les entreprises qui cherchent à verrouiller leur périmètre à la périphérie d'internet peuvent exploiter la plate-forme mondiale d'akamai, via son large éventail de solutions et de fonctionnalités de sécurité. Ces fonctions, associées aux services d'applications et de contenus intégrés, flexibles et complets, continueront à aider les entreprises de tous secteurs dans l'accomplissement de leurs objectifs, en diffusant leurs applications web stratégiques de façon sécurisée, réactive et fiable Rapport sur la sécurité des infrastructures dans le monde par Arbor Networks, Volume IV. Octobre Rapport sur la sécurité des infrastructures par Arbor Networks, Volume IV, Pour en savoir plus, consultez la Vue d'ensemble du système de gestion de la sécurité de l'information d'akamai qui expose plus précisément les politiques de sécurité opérationnelles et de réseau globales d'akamai. La différence Akamai Akamai propose l unique service managé du marché capable de diffuser des contenus (riches, interactifs et dynamiques) sur le web et d'accélérer les transactions et les applications sur Internet. Aujourd hui Akamai compte parmi ses clients quelques-uns des plus grands groupes internationaux et ce dans l'ensemble des secteurs d activités. Véritable alternative aux infrastructures web centralisées, la plate-forme mondiale d Akamai s appuie sur plusieurs dizaines de milliers de serveurs dédiés qui, en plus d offrir un point de vue incomparable sur le réseau Internet, apportent aux entreprises l envergure, la fiabilité, la visibilité et les performances nécessaires pour déployer leurs modèles économiques et mener à bien leurs activités en ligne. Akamai conforte l Internet dans son rôle d information, de divertissement, d échange et de communication. Pour découvrir la différence Akamai, allez sur Akamai Technologies, Inc. U.S. Headquarters 8 Cambridge Center Cambridge, MA Tél: Fax: Numéro vert (USA) : 877.4AKAMAI ( ) Bureaux dans le monde Unterfoehring, Allemagne Paris, France Milan, Italie Londres, Angleterre Madrid, Espagne Stockholm, Suède Bangalore, Inde Sydney, Australie Pékin, Chine Tokyo, Japon Séoul, Corée 2009 Akamai Technologies Inc. Tous droits réservés. Toute reproduction complète ou partielle sous quelque forme ou support que ce soit sans autorisation écrite expresse est strictement interdite. Akamai et le logo en forme de vagues d Akamai sont des marques déposées. Les autres marques commerciales citées appartiennent à leurs propriétaires respectifs. À la connaissance d'akamai, les informations utilisées dans la présente publication sont exactes à la date de leur parution. Ces informations sont sujettes à modification sans préavis.