Indicadores e casos de sucesso em Segurança e Performance Web Paulo Cacciari 30 de maio de 2014 Diretor Comercial, Exceda Temos escritórios em 5 países Plataforma de +140.000 servidores Entregamos mais de 25% do tráfego da internet no mundo Plataforma no Brasil Estamos muito próximo do seu cliente e vamos garantir maior disponibilidade, agilidade na resposta e escalabilidade da infra estrutura. +5 mil servidores Presença em +40 cidades +100 pontos de presença em +20 operadoras SEGURANÇA MEDIA DELIVERY ACELERAÇÃO Proteção DDoS Streaming de Vídeo Aplicações WEB Segurança O Que é um DDoS ? Data Center do Cliente Usuário final Volume de ataque por pais TOP 7 40 35 30 25 20 21.88 21.3 15 17.79 10 10.59 5 6.12 4.73 2 0 5.51 7.63 3.5 Q1 2013 China USA 5.01 0.2 0.2 Q1 2014 Alemanha Brasil India Iran Franca Volume de ataque em Gbps 30 25 20 22 24 15 17 10 12 5 7 9 7 0 Q2 2013 < 1 Gb 1 -5 Gbps 5 - 10 Gbps 10 - 20 Gbps 20 - 40 Gbps 40 -60 Gbps > 60 Gbps Volume médio gerado pelos ataques Crescimento(Gbps) 10 9.17 9 8 7 6 5 4 4.17 4.53 3 2 1 0 Q1 2013 Q4 2013 Q1 2014 4 13 1 % dos ataques na camada de aplicação 17 horas em média Ataques realizados em Q1 de 2014 87 % dos ataque na camada da infra estrutura 3 2 39 % de crescimento no tamanho médio do ataque Equipamentos Imperva, F5, Barracuda, Arbor DDoS “Scrubber” Defesa por desvio de tráfego BGP Cloud WAF Defesa na Borda, Escalável, Camada 7 Soluções em DDoS Diferentes abordagens para a defesa contra ataques de Distributed Denial of Service Equipamentos • • • • • Protege aplicações críticas Infra estrutura concentrada - ponto único de falha Capacidade de processamento limitada Fácil adequação as peculiaridades da aplicação Visibilidade e controle DDoS "Scrubber" Scrubbing Center O Tráfego enviado ao tunel GRE responde direto ao usuario da aplicação Primeiro, o tunel GRE é configurado para desvio do tráfego para o DC IP Address 5.6.7.8 Customer Datacenter ANUNCIO BGP Para o IP 1.2.3.4, IP Address Vá para 5.6.7.8 1.2.3.4 Quando o ataque é detectado o cliente executa a mudança no BGP SLA de Mitigação Mitigação em Cloud Tempo de Mitigação (típico) Tempo de Mitigação (SLA) UDP/ICMP Floods 0 minutos 1 minuto 5 minutos SYN Floods 0 minutos 1 minuto 5 minutos TCP Flag Abuses 0 minutos 1 minuto 5 minutos GET/POST Floods 0 minutos 10 minutos 20 minutos DNS Ataques 0 minutos 5 minutos 10 minutos Categoria de Ataque Atua em todas os protocolos e portas Depende de uma detecção prévia Acesso sempre pelo Scrubbing DC Análise detalhada dos pacotes WAF: Web Application Firewall Data Center do Cliente Aplicação de Firewall web distribuída pela Akamai › SQL Injection › Cross Site Scripting › Outros ataques HTTP Conexão confiável Proteção de camadas de rede e aplicação na borda da internet e longe da sua infraestrutura. Scrubber Usuário final HTTP e HTTPs (80 e 443) Bloqueia o ataque na origem Sempre ativo Eficiente em camada de aplicação Soluções para proteção DDoS Suporte 24/7 e Integração de Ambiente de Segurança Exceda Serviços gerenciados e correlacionamento dos eventos para análise de eventos passados e atuação pro-ativa, com as modificações de regras para maior nível de proteção. Distributed Denial of Service "Scrubber" Equipamentos Web Application Firewall Baseado em Cloud - - Capacidade limitada - “Always on” - Único ponto de falha Eficiente em camada 7 de aplicação - Alto investimento - Garante melhor performance - Proteção para ataque de inteligência - - Voltado para ataques de volumetria Necessário desvio do tráfego Reativo Benefícios da solução • Segurança – Aumenta nível de segurança das aplicações web protegendo • Ataques na camada de transporte e na infra estrutura • Ataques na camada de aplicação (camada 7) • Ataques no DNS • Performance – Melhor em pelo menos 30% o desempenho de carregamento das aplicações no browser do usuário • Disponibilidade – SLA de 100% de disponibilidade da plataforma – Escalabilidade infinita Aceleração de Serviços Online Proteção de DNS Web Application Firewall Site Shield Banco Santander Proteção de Website de serviços bancários Solução: Suíte de Aceleração e Serviços de Segurança Objetivo: Mitigar efeitos de ataques tipo DDoS de forma emergencial e expandir para proteção completa Implementação emergencial: 2 dias (DSA) e-DNS Solução completa: WAF DSA Sec ( http/https) Site Shield Medições de Resultados - Tráfego Primero dia de tráfego, pós implementação dos serviços Tráfego máximo de mais de 60 Mbps, com taxa de eficiência de mais de 78% de offload de banda. Ou seja, para um consumo de cerca de 70 Mbps da origem necessita apenas de 15 Mbps. Medição de Resultados - Requerimentos Offload de requerimentos de 88%, ou seja, apenas 12% haviam sido enviados para origem. Comportamento pós ataque Em meia hora, o tráfego passou de 60 Mbps para 1,5 Gbps. Uma parte muito pequena dos requerimentos foi passada para website de origem. Comportamento pós ataque Durante o ataque, apenas 1% dos requerimentos não foram atendidos pelo website de origem, o mesmo percentual do dia anterior. Os clientes não perceberam que o site estava sendo atacado, já que a disponibidade não diminuiu. Resultados Comprovados 1. Redução no de uso de infraestrutura • A utilização dos serviços da Akamai gerou um off-load de 78% de banda e de 88% de requerimentos na origem. 2. Capacidade de absorção dos ataques e proteção do website • O incremento de cerca de 25 vezes do tráfego devido ao ataque não gerou bloqueios ou impactos operativos nos serviços. 3. Disponibilidade e percepção de qualidade • Todos os serviços seguiram funcionando normalmente, sem nenhum impacto para os clientes do banco, gerando confiança e protegendo a marca. Mídia Financeiro E-Commerce +300CLIENTES Cobertura do Programa de Canais +30 Canais RED CAST Obrigado Paulo Cacciari [email protected]