Upload
internet
View
107
Download
0
Embed Size (px)
Citation preview
Paulo Cacciari
Diretor Comercial, Exceda30 de maio de 2014
Indicadores e casos de sucesso em Segurançae Performance Web
Temos escritórios em
5 países
Entregamos mais de
25% do tráfego da internet no mundo
Plataforma de
+140.000 servidores
Plataforma no Brasil
+5 milservidores
+100 pontos de presença em +20 operadoras
Estamos muito próximo do seu cliente e vamos garantir maior disponibilidade, agilidade na resposta e escalabilidade da infra estrutura.
Presença em
+40 cidades
SEGURANÇAProteção DDoS
MEDIA DELIVERYStreaming de Vídeo
ACELERAÇÃO Aplicações WEB
Segurança
O Que é um DDoS ?
Usuáriofinal
Data Centerdo Cliente
Volume de ataque por pais TOP 7
Q1 2013 Q1 20140
5
10
15
20
25
30
35
4040.68
17.7921.88 21.3
10.597.63
4.73 6.12
25.015.51
0.23.5
0.2
China USA Alemanha Brasil India Iran Franca
Volume de ataque em Gbps
Q2 20130
5
10
15
20
25
30
2224
7 7
129
17
< 1 Gb 1 -5 Gbps 5 - 10 Gbps 10 - 20 Gbps 20 - 40 Gbps 40 -60 Gbps > 60 Gbps
Volume médio gerado pelos ataques
Q1 2013 Q4 2013 Q1 20140
1
2
3
4
5
6
7
8
9
10
4.17 4.53
9.17
Crescimento(Gbps)
Ataques realizados em Q1 de 2014
1
23
4
39% de
crescimento no tamanho médio do ataque
87% dos
ataque na camada da
infra estrutura
13% dos
ataques na camada de
aplicação
17 horas em
média
EquipamentosImperva, F5, Barracuda, Arbor
DDoS “Scrubber”Defesa por desvio de tráfego BGP
Cloud WAFDefesa na Borda, Escalável, Camada 7
Diferentes abordagens para a defesa contra ataques de Distributed Denial of Service
Soluções em DDoS
Equipamentos
• Protege aplicações críticas• Infra estrutura concentrada - ponto único de falha• Capacidade de processamento limitada• Fácil adequação as peculiaridades da aplicação• Visibilidade e controle
DDoS "Scrubber"
Customer Datacenter
IP Address1.2.3.4
IP Address5.6.7.8
GRE Tunnel
ANUNCIO BGPPara o IP 1.2.3.4,Vá para 5.6.7.8
Primeiro, o tunel GRE é configurado para desvio do tráfego para o DC
Scrubbing Center
Quando o ataque é detectado o cliente executa a mudança no BGP
O Tráfego enviado ao tunel GREresponde direto ao usuario da aplicação
SLA de Mitigação
Categoria de Ataque
Mitigação em Cloud
Tempo de Mitigação (típico)
Tempo de Mitigação (SLA)
UDP/ICMP Floods 0 minutos 1 minuto 5 minutos
SYN Floods 0 minutos 1 minuto 5 minutos
TCP Flag Abuses 0 minutos 1 minuto 5 minutos
GET/POST Floods 0 minutos 10 minutos 20 minutos
DNS Ataques 0 minutos 5 minutos 10 minutos
Atua em todas os protocolos e portas
Depende de uma detecção prévia
Acesso sempre pelo Scrubbing DC
Análise detalhada dos pacotes
WAF: Web Application Firewall
Data Centerdo Cliente
Usuáriofinal
Conexãoconfiável
Scrubber
Aplicação de Firewall web distribuída pela Akamai
› SQL Injection› Cross Site Scripting› Outros ataques HTTP
Proteção de camadas de rede e aplicação na borda da internet e longe da sua infra-
estrutura.
HTTP e HTTPs (80 e 443)
Bloqueia o ataque na origem
Sempre ativo
Eficiente em camada de aplicação
Soluções para proteção DDoS
Distributed Denial of Service "Scrubber"
Equipamentos Web Application Firewall Baseado em Cloud
Serviços gerenciados e correlacionamento dos eventos para análise de eventos passados e atuação pro-ativa, com as modificações de regras para maior nível de proteção.
- Voltado para ataques de volumetria
- Necessário desvio do tráfego
- Reativo
- Capacidade limitada
- Único ponto de falha
- Alto investimento
- Proteção para ataque de inteligência
- “Always on”
- Eficiente em camada 7 de aplicação
- Garante melhor performance
Suporte 24/7 e Integração de Ambiente de Segurança Exceda
Benefícios da solução
• Segurança– Aumenta nível de segurança das aplicações web protegendo
• Ataques na camada de transporte e na infra estrutura• Ataques na camada de aplicação (camada 7)• Ataques no DNS
• Performance– Melhor em pelo menos 30% o desempenho de carregamento das
aplicações no browser do usuário
• Disponibilidade– SLA de 100% de disponibilidade da plataforma– Escalabilidade infinita
Banco Santander
Aceleração de Serviços OnlineProteção de DNS
Web Application FirewallSite Shield
Proteção de Website de serviços bancários
Solução:
Objetivo:
Implementação emergencial:
Solução completa:
Suíte de Aceleração e Serviços de Segurança
Mitigar efeitos de ataques tipo DDoS de forma emergencial e expandir para proteção completa
2 dias (DSA)
e-DNS
WAF
DSA Sec ( http/https)
Site Shield
Medições de Resultados - Tráfego
Primero dia de tráfego, pós implementação dos serviços Tráfego máximo
de mais de 60 Mbps, com taxa de eficiência de mais de 78% de
offload de banda.
Ou seja, para um consumo de cerca
de 70 Mbps da origem necessita
apenas de 15 Mbps.
Medição de Resultados - Requerimentos
Offload de requerimentos de 88%, ou seja,
apenas 12% haviam sido
enviados para origem.
Comportamento pós ataque
Em meia hora, o tráfego passou de
60 Mbps para1,5 Gbps.
Uma parte muito pequena dos
requerimentos foi passada para website de
origem.
Comportamento pós ataqueDurante o
ataque, apenas 1% dos
requerimentos não foram
atendidos pelo website de
origem, o mesmo percentual do dia
anterior.
Os clientes não perceberam que
o site estava sendo atacado, já
que a disponibidade não diminuiu.
Resultados Comprovados
1. Redução no de uso de infraestrutura• A utilização dos serviços da Akamai gerou um off-load de 78% de banda e de 88%
de requerimentos na origem.
2. Capacidade de absorção dos ataques e proteção do website
• O incremento de cerca de 25 vezes do tráfego devido ao ataque não gerou bloqueios ou impactos operativos nos serviços.
3. Disponibilidade e percepção de qualidade • Todos os serviços seguiram funcionando normalmente, sem nenhum impacto para
os clientes do banco, gerando confiança e protegendo a marca.
Mídia
E-Commerce
Financeiro
+300CLIENTES
Cobertura do Programa de Canais
+30 Canais
RED CAST