Migliore protezione DDoS del 2021

Nell’ottobre 2016 il provider DNS Dyn è stato colpito da un grande attacco DDoS (Distributed Denial of Service) da parte di un esercito di dispositivi IoT che erano stati hackerati appositamente. Più di 14.000 domini che utilizzano i servizi di Dyn sono stati sovraccaricati e sono diventati irraggiungibili, compresi grandi nomi come Amazon, HBO e PayPal.

Secondo una ricerca di Cloudflare, il costo medio del fallimento dell’infrastruttura per le aziende è di 100.000 dollari (75.000 sterline) all’ora. Come potete quindi assicurarvi che la vostra organizzazione non cada vittima di questo tipo di attacco. In questa guida scoprirete i principali fornitori di infrastrutture che hanno i muscoli digitali necessari per proteggersi dagli attacchi progettati per inondare la vostra capacità di rete.

Scoprirete anche quali fornitori possono offrire protezione contro gli attacchi più sofisticati alle applicazioni (livello 7), che possono essere effettuati senza un enorme numero di computer hackerati (a volte noti come botnet).

• Abbiamo anche evidenziato i migliori servizi di web hosting.

Project Shield è la creazione di Jigsaw, una propaggine della società madre Alphabet di Google. Lo sviluppo è iniziato diversi anni fa sotto George Conard sulla scia degli attacchi al monitoraggio delle elezioni e ai siti web relativi ai diritti umani in Ucraina.

Project Shield è in grado di filtrare il potenziale traffico dannoso agendo come un reverse proxy che si trova tra un sito web e internet in generale, filtrando le richieste di connessione. Se una connessione sembra provenire da un visitatore legittimo, Project Shield permette la richiesta di connessione. Se una richiesta di connessione viene determinata come cattiva, ad esempio tentativi multipli di connessione dallo stesso indirizzo IP, allora viene bloccata. Questo sistema rende Project Shield estremamente facile da implementare semplicemente cambiando le impostazioni DNS del vostro server.

Qualsiasi utente potente che legge potrebbe chiedersi come il filtraggio del traffico tramite un proxy funzionerà con SSL. Fortunatamente, Jigsaw ha pensato a questo e ha messo insieme un tutorial completo per assicurarsi che le connessioni sicure al vostro sito funzionino senza problemi. Molti altri tutorial sono anche disponibili nella sezione di supporto.

Al momento Project Shield è disponibile solo per i media, il monitoraggio delle elezioni e i siti web relativi ai diritti umani. Il focus principale è anche sui piccoli siti web con poche risorse che non possono permettersi soluzioni di hosting costose per proteggersi dal DDoS. Se la tua organizzazione non corrisponde a questi requisiti, potresti dover considerare una soluzione alternativa come Cloudflare.

• Puoi iscriverti a Project Shield qui

Chiunque abbia usato Internet negli ultimi anni conoscerà Cloudflare perché molti siti web importanti fanno uso della sua protezione. Anche se Cloudflare ha sede negli Stati Uniti, mantiene oltre 180 centri dati in tutto il mondo: un’infrastruttura che rivaleggia con quella di Google. Questo massimizza le possibilità del tuo sito di rimanere online.

Ogni utente Cloudflare può scegliere di attivare la modalità ‘Sono sotto attacco’ che può proteggere anche dal più sofisticato degli attacchi DoS presentando una sfida Javascript. Come una questione di routine Cloudflare agisce anche come un reverse proxy seduto tra i visitatori e l’host del tuo sito per filtrare il traffico in modo molto simile al Project Shield di Jigsaw. Nel marzo 2019, Cloudflare ha introdotto Spectrum per UDP, che fornisce protezione DDoS e firewalling per i protocolli inaffidabili.

I visitatori che fanno richieste di connessione devono eseguire un guanto di sfida di filtri sofisticati, tra cui la reputazione del sito, se il loro IP è stato inserito nella lista nera e se l’intestazione HTTP sembra sospetta. Le richieste HTTP sono stampate a dito per proteggersi dalle Botnet conosciute. Come gigante del settore, Cloudflare può facilmente sfruttare la sua posizione condividendo le informazioni tra gli oltre 7 milioni di siti web che gestisce.

Cloudflare offre un pacchetto di base gratuito che include una mitigazione DDoS non misurata. Per coloro che sono disposti a pagare per un abbonamento Cloudflare business (i prezzi partono da 200 dollari o 149 sterline al mese), è disponibile una protezione più avanzata come l’upload di certificati SSL personalizzati.

• Puoi iscriverti a Cloudflare qui

La protezione AWS Shield è fornita dalla brava gente di Amazon web services. Il livello “Standard” è disponibile per tutti i clienti AWS senza costi aggiuntivi. Questo è l’ideale perché molte piccole imprese scelgono di ospitare i loro siti web con Amazon. AWS Shield Standard è disponibile per tutti i clienti senza costi aggiuntivi. Protegge contro gli attacchi più tipici della rete (livello 3) e del trasporto (livello 4) quando si utilizzano i servizi Cloud Front e Route 53 di Amazon.

Questo dovrebbe mettere fuori gioco tutti, tranne gli hacker più determinati. Tuttavia, la vostra larghezza di banda, ad esempio 15 Gbp/s, sarà ancora limitata dalla dimensione della vostra istanza Amazon, rendendo possibile agli hacker di effettuare un attacco DoS se hanno risorse sufficienti. Peggio ancora si rimane responsabili di pagare per il traffico extra alla vostra istanza.

Per mitigare questo Amazon offre anche AWS Shield Advanced. Un abbonamento include la protezione dei costi DDoS, che può salvarti da un enorme picco nella tua bolletta mensile se sei vittima di un attacco. AWS Shield Advanced può anche distribuire le vostre ACL (Access Control Lists) al confine della rete AWS stessa dandovi protezione anche contro i più grandi attacchi.

Gli abbonati Advanced beneficiano anche di un DRT (DDoS response team) 24 ore su 24 e di metriche dettagliate su qualsiasi attacco alle vostre istanze. La tranquillità offerta da AWS Shield Advanced è però costosa. Dovete essere disposti ad abbonarvi per un minimo di un anno al prezzo di 3.000 dollari (2.200 sterline) al mese. Questo è in aggiunta ai costi di utilizzo del trasferimento dei dati che è possibile coprire su una base “pay as you go”.

• Puoi iscriverti a AWS Shield qui

Come Amazon, Microsoft offre la possibilità di affittare lo spazio di servizio tramite il loro servizio Azure. Tutti i membri beneficiano della protezione DDoS di base. Le caratteristiche includono il monitoraggio del traffico sempre attivo e la mitigazione in tempo reale degli attacchi di rete (livello 3) per qualsiasi indirizzo IP pubblico utilizzato. Questo è lo stesso tipo di protezione offerto ai servizi online di Microsoft e le intere risorse della rete di Azure possono essere utilizzate per assorbire gli attacchi DDoS.

Per le organizzazioni che hanno bisogno di una protezione più sofisticata, Azure offre anche un livello “Standard”. Questo è stato ampiamente lodato per essere molto facile da attivare, richiedendo solo pochi clic del mouse. In particolare, Azure non richiede di apportare alcuna modifica alle applicazioni, anche se il livello standard offre protezione contro gli attacchi DDoS delle applicazioni (livello 7) tramite il firewall delle app web gateway. Azure monitor può mostrarvi le metriche in tempo reale se si verifica un attacco. Queste vengono conservate per 30 giorni e possono essere esportate per ulteriori studi, se lo desiderate.

Azure controlla costantemente il traffico web verso le tue risorse. Se questi superano una soglia predefinita, la mitigazione DDoS viene lanciata automaticamente. Questo include l’ispezione dei pacchetti per assicurarsi che non siano malformati o spoofati, nonché l’utilizzo di un limite di velocità.

La protezione standard costa attualmente $2.944 (£2.204) al mese più i costi dei dati per un massimo di 100 risorse. La protezione si applica allo stesso modo a tutte le risorse. In altre parole non è possibile personalizzare la mitigazione DDoS per le singole risorse.

• Puoi iscriverti a Microsoft Azure qui

Aggiornamento: I servizi di sicurezza di Verisign sono trasferiti a Neustar.

Verisign è vecchio quasi quanto Internet stesso. Dal 1995 è cresciuta da una semplice Autorità di Certificazione a un giocatore importante nell’industria dei Servizi di Rete.

La protezione DDoS di Verisign opera nel cloud. Gli utenti possono scegliere di reindirizzare i tentativi di connessione con una semplice modifica delle loro impostazioni DNS (Domain Name Server). Il traffico viene inviato a Verisign per il controllo per prevenire gli attacchi alla rete. Verisign analizza accuratamente tutto il traffico prima di reindirizzarlo.

Come Verisign gestisce due dei tredici server di nomi di percorso globali, non dovrebbe sorprendere che l’organizzazione mantenga anche diversi “centri di scrubbing” DDoS dedicati. Questi analizzano il traffico e filtrano le richieste di connessione sbagliate. L’infrastruttura combinata corre a quasi 2TB/s e può bloccare anche gli attacchi DDoS più schiaccianti.

Questo è in gran parte ottenuto tramite Athena, la piattaforma di mitigazione delle minacce di Verisign. Athena è ampiamente diviso in tre elementi. Lo ‘Shield’ filtra la rete (livello 3) e gli attacchi di trasporto (livello 4) tramite DPI (Deep Packet Inspection), blacklist & whitelist e gestione della reputazione del sito. Il “proxy” Athena ispeziona le intestazioni HTTP per il traffico cattivo durante i primi tentativi di connessione. Il ‘proxy’ e lo ‘shield’ sono supportati dal ‘load balancer’ di Athena che aiuta a prevenire gli attacchi alle applicazioni (livello 7).

Il portale clienti visualizza rapporti dettagliati sul traffico e permette di configurare la gestione delle minacce, ad esempio creando blacklist di connessione. Per gli utenti che sono riluttanti a distribuire tutto nel cloud, Verisign offre anche OpenHybrid che può essere installato in loco.

• Puoi iscriverti a Verisign DDoS Protection qui

Immagine di credito: Wikimedia Commons (Antoine Lamielle)