SPÉCIFICATION DE L'API VERISIGN OPENHYBRID CLOUD SIGNALING

Transcription

1 DOSSIER TECHNIQUE SPÉCIFICATION DE L'API VERISIGN OPENHYBRID CLOUD SIGNALING Version 1.0 Janvier 2015 VerisignInc.com

2 DÉNI DE RESPONSABILITÉ LÉGALE DÉCLARATION DE COPYRIGHT Copyright 2015 VeriSign, Inc. Tous droits réservés au titre d'un ouvrage non publié. VERISIGN, le logo Verisign et les autres marques commerciales et concepts de Verisign sont des marques commerciales déposées ou non déposées de VeriSign, Inc. et de ses filiales aux États-Unis et à l'étranger. Les lois régissant le copyright et les traités internationaux protègent ce document et tous les produits Verisign qu'il concerne. INFORMATIONS DE PROPRIÉTÉ DE VERISIGN Ce document est la propriété de VeriSign, Inc. Il ne peut être utilisé par le destinataire qu'aux fins pour lesquelles il a été transmis et doit être renvoyé sur demande ou lorsque le destinataire n'en a plus besoin. Il ne doit pas être copié ni communiqué sans l'autorisation écrite préalable de Verisign. DÉNI ET LIMITATION DE RESPONSABILITÉ VeriSign, Inc. s'est efforcée de veiller à la précision et à l'intégralité des informations contenues dans ce document. VeriSign, Inc. n'offre toutefois aucune garantie de quelque nature que ce soit (explicite, implicite ou statutaire) concernant les informations contenues aux présentes. VeriSign, Inc. décline toute responsabilité vis-à-vis d'une quelconque partie en cas de perte ou de dommage (direct ou indirect) causé par des erreurs, omissions ou déclarations de toute nature contenues dans ce document. En outre, VeriSign, Inc. décline toute responsabilité découlant de l'application ou de l'utilisation du produit ou du service décrit aux présentes et désavoue spécifiquement toute représentation indiquant que les produits ou services décrits aux présentes ne portent pas atteinte à des droits à la propriété intellectuelle existants ou à venir. Les présentes n'accordent en aucun cas au lecteur le droit de fabriquer, d'utiliser ou de vendre de l'équipement ou des produits réalisés conformément à ce document. Enfin, tous les droits et privilèges relatifs à des droits à la propriété intellectuelle décrits aux présentes sont affectés au propriétaire du brevet, de la marque commerciale ou de service et aucune autre personne ne peut exercer de tels droits sans permission, autorisation ou licence expresse obtenue auprès du propriétaire du brevet, de la marque commerciale ou de service. Verisign se réserve le droit de modifier sans préavis les informations aux présentes. AVIS ET PRÉCAUTIONS Concernant les droits aux brevets ou marques commerciales américaines Verisign et les autres marques commerciales, marques de services et logos sont des marques commerciales déposées ou non déposées de Verisign et de ses filiales aux États-Unis et à l étranger. L'inclusion dans de document, le fichier en ligne associé ou le logiciel associé de toute information protégée par les droits à un quelconque autre brevet, une quelconque marque commerciale ou marque de service ne constitue ni ne sous-entend un droit ou une autorisation d'exercer un quelconque droit ou privilège protégé par un tel brevet, une telle marque commerciale ou de service. Tous les droits et privilèges de cette nature sont affectés au propriétaire du brevet, de la marque commerciale ou de service et aucune autre personne ne peut exercer de tels droits sans permission, autorisation ou licence expresse obtenue auprès du propriétaire du brevet, de la marque commerciale ou de service. 2 Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling

3 SOMMAIRE 1 PRÉSENTATION GÉNÉRALE Spécification de l'api Modèle d'authentification de l'api Limites de quantité d'appels de l'api API POST Alert RESTful API POST IP Lists RESTful 6 2 CAS D'UTILISATION Activité de signalisation de menace en provenance d'une appliance DDoS sur site Activité de signalisation de menace en provenance du réseau ou d'appliances de sécurité Impact de la performance de signalisation provenant d'environnements publics dans le cloud ou de plates-formes de surveillance conçues à cet effet Perfectionnements à venir 8 HISTORIQUE DE RÉVISION Révision Date Auteur(s) Description 1.0 Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling 3

4 1 PRÉSENTATION GÉNÉRALE Ce document définit une méthode selon laquelle un dispositif ou une application peut partager les informations relatives aux attaque par déni de service distribué (DDoS) avec d'autres dispositifs, applications ou services, comme un service de protection DDoS dans le cloud. Cette méthode permet une approche normalisée, indifférente au fournisseur, de la limitation des menaces DDoS utilisant plusieurs couches de protection pour répondre à la menace DDoS. La dissémination des informations sur les menaces interviendra par l'intermédiaire de communications RESTful entre dispositifs/applications via une API Restful. 1.1 Spécification de l'api Les attaques par déni de service distribué (DDoS) provoquent l'épuisement des ressources à plusieurs niveaux au sein de l'environnement d'un client et affectent les dispositifs, les applications et les services. Ces éléments peuvent être nécessaires ponctuellement pour signaler à un composant ou un prestataire en amont que la ressource est soumise à épuisement et qu'une action peut être nécessaire pour répondre à la menace en cours. L'API POST Alert est conçue pour signaler l'épuisement de la ressource et la nécessité d'une réponse limitative en envoyant les informations appropriées sur la ressource affectée et les paramètres de l'attaque. L'API POST IP Lists est conçue pour envoyer au composant ou au prestataire en amont la liste des IP qui doivent être inscrites en liste blanche ou en liste noire lorsqu'une limitation est effectuée pour le compte de la source. 1.2 Modèle d'authentification de l'api Lorsque cette API RESTful est utilisée, la forme d'authentification suggérée passe par un jeton d'accès OAuth 2.0 ou une clé d'api. En outre, une ID de source unique doit être fournie pour identifier le dispositif/l'application envoyant la demande. 1.3 Limites de quantité d'appels de l'api Pour garantir que le service destinataire n'est pas dépassé par les demandes de signalisation, il est généralement conseillé de mettre en place une limite de quantité, comme par exemple au maximum 100 demandes par minute et par utilisateur. 1.4 API POST Alert RESTful L'API Post Alert inclut des informations sur le type de menace/d'attaque et le service/la destination affecté(e). Le format suggéré pour les paramètres de l'api est JSON et le format de date/heure, UTC. Méthode : POST Demande : Paramètres de cette demande. 4 Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling

5 Nom Type Obligatoire Valeur par défaut Description source_id string true Chaîne identifiant spécifiquement la source émettrice de la demande. Les dispositifs DDoS sur site, les pare-feu ou les équilibreurs de charge, ainsi que les dispositifs dans un environnement du cloud où le service/la destination est hébergé(e) constituent des exemples de source. incident_id string true Chaîne identifiant spécifiquement l'alerte provenant d'une source donnée. alert_type string false Description du type d'attaque à l'origine de l'alerte. Ces données facilitent la limitation de l'attaque. start_time string true Heure de début de l'attaque. source_ip(s) string false 1 ou plusieurs IP/CIDR envoyant le trafic à destination. (une limite de 60 caractères est suggérée). destination string true Le nom de domaine, l'ip ou CIDR du service/de l'application destinataire du trafic qui nécessite une protection. destination_ port destination_ protocol integer false Port du service/de l'application du client destinataire du trafic (entre 0 et est suggéré). integer false Protocole affecté par l'attaque. misc_info string false Informations utiles à la limitation au format paires de valeur de nom délimitées par des barres verticales. Par exemple, pour fournir des informations décrivant l'impact de l'attaque sur le service/l'application : «cpu_utilization_threshold:95 current_cpu_ utilization:98 bandwidth_usage_threshold:90 current_ bandwidth_usage:95». (une limite de 1000 caractères est suggérée pour ce champ). Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling 5

6 Exemple de demande Méthode Corps de la demande POST { source_id : acme1234, incident_id : , alert_type : SYN-FLOOD, start_time : :50:55, source_ips : 172.X.X.X, 173.X.X.X, destination : /24, destination_port : 80, destination_protocol : HTTP, misc_info : { cpu_utilization_threshold:95 current_cpu_ utilization:98 bandwidth_usage_threshold:90 current_bandwidth_usage:95 Réponse : Données alert_id Description ID d'alerte identifiant spécifiquement l'alerte au sein du dispositif destinataire Exemple de réponse : État de la réponse Code d'état de la réponse HTTP Corps de la demande Success 201 { alert_id : Error 400 { errors : [{ code : 400, message : source_id is required. ] 1.5 API POST IP Lists RESTful L'API POST IP Lists inclut des informations sur les IP qui doivent être inscrites en liste blanche ou en liste noire lors d'une limitation d'attaque. Le format suggéré pour les paramètres de l'api est JSON. Méthode : POST Demande : Paramètres de cette demande. 6 Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling

7 Nom Type Obligatoire Valeur par défaut Description source_id string false Chaîne identifiant spécifiquement la source émettrice de la demande. Les dispositifs DDoS sur site, les pare-feu ou les équilibreurs de charge, ainsi que les dispositifs dans un environnement du cloud où le service/la destination est hébergé(e) constituent des exemples de source. Indiquer cet ID permet au service destinataire de relier la liste des IP à une source spécifique, de sorte que la liste soit appliquée aux attaques signalées par cette source lors de la limitation. type string true Type de liste créé. Les valeurs acceptées sont «Blacklist» (Liste noire) ou «Whitelist» (Liste blanche). ips string true IP ou préfixes qui doivent être utilisés dans l'objectif mentionné dans le type de demande. Exemple de demande : Méthode Corps de la demande POST { source_id : acme1234, type : Whitelist, ips : 11.x.x.x, 11.x.x.0/24, Réponse : Données iplist_id Description ID identifiant spécifiquement la liste au sein du dispositif destinataire type Type de liste. Valeurs : Blacklist Whitelist Exemple de réponse : État de la réponse Code d'état de la réponse HTTP Corps de la demande Success 201 { iplist_id : type : Whitelist: Error 400 { errors : [{ code : 400, message : IP addresses invalid. ] Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling 7

8 2 CAS D'UTILISATION 2.1 Activité de signalisation de menace en provenance d'une appliance DDoS sur site Les appliances DDoS sur site qui s'intègrent avec cette API peuvent envoyer des signalisations de menace à des prestataires dans le cloud à propos d'une attaque DDoS atteignant un seuil. Le prestataire dans le cloud serait dans l'obligation d'intervenir et de prendre la tête de la limitation du déni de service distribué (DDoS) afin d'adapter l'échelle à l'échelle nécessaire pour faire face aux attaques par déni de service distribué (DDoS) volumétriques. 2.2 Activité de signalisation de menace en provenance du réseau ou d'appliances de sécurité Les dispositifs sur site tels que routeurs, pare-feu, IDS/IPS etc. ne sont généralement pas conçus pour supporter l'activité des attaques DDoS en volume et peuvent être rapidement épuisés. L'intégration avec l'api peut permettre aux clients d'envoyer des signaux depuis différentes couches au sein de leur environnement de réseau et d'obtenir ainsi une situation de sécurité plus complète. 2.3 Impact de la performance de signalisation provenant d'environnements publics dans le cloud ou de plates-formes de surveillance conçues à cet effet Les clients dont les services ou les applications sont déployés dans des environnements publics du cloud ou dans des centres de données peuvent utiliser l'api pour l'intégrer à leurs services de surveillance existants et indiquer l'impact sur la performance d'une activité DDoS potentielle. Le prestataire de protection dans le cloud en amont est ainsi avisé de prendre les mesures nécessaires pour limiter la menace. 2.4 Perfectionnements à venir L'API peut être perfectionnée pour signaler des informations plus avancées sur les menaces en cours, comme des détails sur les mesures correctives appliquées à l'attaque, etc. 8 Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling

9 REMARQUES Verisign Public Spécification de l'api Verisign OpenHybrid Cloud Signaling 9

10 VerisignInc.com 2015 VeriSign, Inc. Tous droits réservés. VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant VeriSign Inc et ses filiales au tats nis et l étranger outes les autres ar ues co erciales appartiennent leurs propriétaires respecti s Verisign Public VRSN_DDoS-PS_CloudSignAPI_Specs_201501