Fachartikel

Seite 2 - DDoS-Schutz bei Cloudplattformen

Waschgang im Scrubbing Center
Cloudanbieter mit einer DDoS-Defense-Plattform können Organisationen einen effektiveren Schutz vor DDoS-Angriffen bieten. Es erfolgt eine dezentrale Bekämpfung des eingehenden DDoS-Traffics dank verteilter Elemente im eigenen Weitverkehrs-Netz. Am Edge des Backbones sind dafür mehrere sogenannte "Scrubbing Center" installiert, in die durch verteilte Analysesysteme frühzeitig entdeckter DDoS-Traffic geroutet werden kann. Dort wird er analysiert, bereinigt und anschließend werden die legitimen Datenströme an die jeweilige Zieladresse geleitet.

Eine DDoS-Defense-Plattform kann aus mehreren Elementen aufgebaut sein, unter anderem einem "Scrubbing Center": Sämtlicher Traffic fließt durch einen DDoS-Traffic-Filter. Dort wird er auf Anomalien und potenzielle Gefahren überprüft. Bösartigem Traffic wird der direkte Zugang zu den Rechenzentren, inklusive der jeweiligen Kundenservices, verwehrt. Ob es sich um guten oder schlechten Traffic handelt, entscheiden die Data-Analytics-Systeme schon am Edge des Netzwerks. Diese analysieren die Metadaten des Verkehrs und erkennen Auffälligkeiten.

Schon bei den Backbone-Routern werden stetig die Flow-Daten des eintreffenden Traffics ausgeleitet,
von verteilten und hoch skalierbaren Analyse-Systemen unter die Lupe genommen und auf
unterschiedliche Schwellwerte und Anomalien hin geprüft.


Kommt es im Filter zu einer Identifikation von gefährlichem Traffic, werden die Datenströme in das Scrubbing Center geleitet. Dies geschieht dezentral und bei einer verteilt eingehenden großen DDoS-Attacke erfolgt eine Aktivierung sämtlicher Scrubbing Center. Dort sind dann unterschiedliche "Washing Programs" vorgesehen: Bei diesem Vorgang filtern Systeme den bösartigen Traffic differenziert anhand bestimmter Merkmale. Dazu gehören Indikatoren wie die länderspezifische Herkunft des Traffics, Protokolle, Quell- beziehungsweise Ziel-IP-Adresse et cetera. Darüber hinaus erfolgt ein kontinuierlicher Abgleich mit Reputationslisten (beispielsweise spamhaus.org), in denen bereits bekannte DDoS-Quellen vermerkt sind.
DDoS-Defense-Plattformen nehmen Angriffen Wind aus den Segeln
Erst wenn der Traffic durch die unterschiedlichen Washing Programs geschleust wurde, läuft der übriggebliebene bereinigte Datenverkehr zum entsprechenden Rechenzentrum und damit zum Kunden. Das Umrouten des Datenverkehrs kann teilweise zu leichten Latenzerhöhungen führen, da die Netzwerkpakete unter Umständen nicht mehr den direkten Weg zur Cloudplattform nehmen können. Doch da sich so Systeme selbst bei starken DDoS-Attacken am Laufen halten lassen, betrachten IT-Verantwortliche diese leichte Latenzerhöhung meist nicht allzu kritisch. Für den Fall, dass sich der bösartige Traffic nicht zu 100 Prozent eliminieren lässt, kann ein kleiner, übriggebliebener Restanteil den Kundensystemen im Normalfall nichts mehr anhaben.

Weiterhin können folgenden Elementen eine DDoS-Defense-Plattform ausmachen:

  • Kontinuierliche Angriffserkennung: Es ist in der Regel vorab nicht bekannt, wann es zu einem DDoS-Angriff kommt. Somit muss sichergestellt sein, dass der eingehende Traffic laufend überprüft wird. Dies beginnt bei den Backbone-Routern: Dort werden stetig die Flow-Daten des eintreffenden Traffics ausgeleitet und von verteilten und hoch skalierbaren Analysesystemen unter die Lupe genommen und auf unterschiedliche Schwellwerte und Anomalien hin geprüft. Lediglich Stichproben durchzuführen, greift zu kurz.
  • Schadensbegrenzung ohne Eingriff durch den Anwender: Bei der Identifikation eines DDoS-Angriffs am Edge des Netzwerks schickt die DDoS-Defense-Plattform die Datenströme selbstständig durch die Scrubbing Center. Händisches Eingreifen ist über kurz oder lang zum Scheitern verurteilt und darf nicht mehr nötig sein.
  • Layer 3 und 4 Angriffsschutz: Die Plattform sollte eine umfassende Sicherheit bieten und dazu sämtliche virtuelle Ressourcen und Installationen einschließen. Ungefähr 98 Prozent aller Attacken spielen sich auf der Netzwerk- und Transportebene ab, es handelt sich mittlerweile oft um hochvolumige Angriffe bis hin zu mehreren 100 GBit/s. Aus diesem Grund muss der Angriffsschutz auf diesen Layern kugelsicher sein.
  • IP-spezifische DDoS-Filterung bei Bedarf: Auch wenn sich nicht vorhersagen lässt, wann es zu einem DDoS-Angriff kommt, gibt es Zeitpunkte mit einer erhöhten Wahrscheinlichkeit. Ein Beispiel sind Rabattaktionen von E-Commerce-Händlern. Bestimmte IP-Adressen lassen sich dann auf Wunsch speziell schützen. Dabei wird der gesamte Traffic an diese Adresse von vornherein über die Filterplattform geleitet und der DDoS-Verkehr somit direkt eliminiert. Auf Wunsch lässt sich auch nur der Traffic aus bestimmten Regionen filtern, falls beispielsweise bereits vorab Hinweise über die Herkunft eines möglichen DDoS-Angriffs vorhanden sind.
  • Reportfunktion nach Angriffen: Ist ein Angriff erfolgt, wird im Nachhinein eine umfassende Analyse erstellt, um ihn in seinen Einzelheiten nachvollziehen zu können. So lassen sich Angriffsmuster ableiten, die Unternehmen helfen, in Zukunft noch besser gegen DDoS-Attacken vorbauen zu können. Anbietern, die Services des öffentlichen Sektors hosten, ist oftmals im Falle eines DDoS eine Anzeige bei den Strafverfolgungsbehörden vorgeschrieben, auch dafür sind Analysereports unverzichtbar.
  • Proaktiver Experten-Support: Der Cloudanbieter prüft die Systeme des Kunden proaktiv und meldet sich, sobald im Netzwerk eine DDoS-Attacke entdeckt wird. Gleichzeitig steht der Service jederzeit für Fragen zur Verfügung.
Fazit
Mit der zunehmenden Vernetzung von Geräten stehen Cyberkriminellen laufend mehr Geräte zur Verfügung, die sie durch DDoS-Attacken kapern können. Vor diesem Hintergrund müssen Unternehmen heute mehr denn je darauf achten, dass ihre Netzwerke ausreichend geschützt sind. Allerdings nutzen moderne Unternehmen neben eigenen Rechenzentren in aller Regel auch Clouddienste, um ihre Rechen- und Speicherkapazitäten zu erweitern und damit sowohl in- als auch externe Prozesse abzubilden. Daher ist der Schutz der virtuellen Ressourcen eines Unternehmens mindestens genauso wichtig.

Unternehmen müssen von ihren Cloudanbietern einfordern, DDoS-Schutz ganzheitlich und möglichst effizient umzusetzen. Von Vorteil ist es dabei, wenn der Cloudprovider über eine eigene DDoS-Defense-Plattform verfügt, die er selbständig kontinuierlich weiterentwickeln kann, um den immer komplexer werdenden Angriffen möglichst effizient begegnen zu können. So schützen Unternehmen effektiv ihre eigenen Rechenzentren, die laufenden Services ihrer Kunden – und damit letztlich ihre Geschäftsfähigkeit und Reputation.


<< Vorherige Seite Seite 2 von 2
10.11.2021/ln/Daniel Heinze, Head of Network Engineering bei Ionos

Nachrichten

Direkter Draht mit Abhörschutz [8.12.2021]

Rohde & Schwarz Cybersecurity und GnuPG bieten mit der Kombination ihrer Produkte "R&S Trusted Disk" und "GnuPG VS-Desktop" eine VS-NfD-konforme Krypto-Umgebung an. Die Verschlüsselungstechnologie integriert sich in die Arbeitsprozesse und macht Umwege wie etwa die Übermittlung von Passwörtern per Telefon oder SMS beim Versand von klassifizierten E-Mails unnötig. [mehr]

Multifaktor-Authentifizierung von Box ließ sich aushebeln [7.12.2021]

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen. [mehr]

Kaspersky goes Edge [3.12.2021]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2022 "Microsoft Azure" [29.11.2021]

Während der Winter seine ersten Fühler ausstreckt, glühen die Tastaturen unserer Autoren. Im Sonderheft I/2022 "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchten sie die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure Active Directory bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Bestellen Sie Ihr Exemplar jetzt vor, um es Anfang April druckfrisch zu erhalten. Wie immer profitieren Abonnenten von einem Vorzugspreis. [mehr]

Download der Woche: Hyper-V Switch [24.11.2021]

Mit Hyper-V offeriert Microsoft eine längst wettbewerbsfähige Virtualisierungsplattform, die für manche Anwendungsfälle allerdings zu dominant auftritt. Denn durch die ständige (Hintergrund-)Aktivität des Hypervisors und seine Blockade des Zugriffs auf Erweiterungsressourcen macht er unter Windows 10 den Einsatz anderer Virtualisierungslösungen nahezu unmöglich. Hier tritt das freie Minitool "Hyper-V Switch" auf den Plan: Es deaktiviert beziehungsweise aktiviert wieder Hyper-V mit einem Klick. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen