Network DDoS Protection: Giải pháp bảo vệ cho các dịch vụ yêu cầu tính sẵn sàng cao

Thách thức về khả năng duy trì dịch vụ

Trong vài năm qua, các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đã gia tăng đáng kể về tần suất, quy mô và mức độ phức tạp. Mặc dù các tổ chức đã có các chiến lược bảo mật nhằm đối phó với nhiều mối đe dọa bảo mật hiện có, nhưng rõ ràng họ chưa sẵn sàng để đối phó với loại hình tấn công DDoS mới này. Loại hình này sử dụng các mạng botnet phân tán gồm các máy tính bị nhiễm mã độc để đồng loạt tấn công bằng các giao thức hợp pháp, rất khó phát hiện và thậm chí còn khó ngăn chặn hơn. Rõ ràng cần phải có các giải pháp bổ sung để hoàn thiện cơ sở hạ tầng bảo mật hiện tại trong mô hình phòng thủ theo từng lớp.

Khả năng duy trì dịch vụ đang gặp rủi ro

Internet là một môi trường chia sẻ, và các cuộc tấn công DDoS độc hại đã tăng nhanh chóng trong những năm qua, xuất phát từ và nhắm đến nhiều địa điểm khác nhau. Các cuộc tấn công có thể được thực hiện bởi các nhóm lý tưởng (hacktivism) vì lý do chính trị, bởi các băng nhóm tội phạm có tổ chức (tội phạm mạng) vì mục đích tống tiền và trộm cắp, hoặc bởi các cơ quan tình báo quân sự nước ngoài. Ngày nay, các cuộc tấn công DDoS cũng có thể được thực hiện bởi những hacker mới vào nghề mà không cần nhiều chuyên môn để tấn công bất kỳ ai hoặc bất kỳ dịch vụ nào trên Internet. Khi dịch vụ của một tổ chức không còn khả dụng cho khách hàng, điều này có thể nhanh chóng dẫn đến tổn thất doanh thu, sự thất vọng và không hài lòng của khách hàng, cùng với việc tổn hại đến uy tín thương hiệu.

DDoS là một vấn đề có quy mô lớn

Mục đích của một cuộc tấn công DDoS là làm cho dịch vụ không khả dụng đối với người dùng hợp pháp. Để thực hiện một cuộc tấn công DDoS hiệu quả, nhiều máy tính bị nhiễm virus, được gọi là "zombie" hoặc "bot", sẽ được điều khiển từ xa để gửi lưu lượng độc hại đến một nạn nhân đồng thời. Tận dụng số lượng lớn các zombie trong các mạng botnet này, lưu lượng truy cập hướng tới nạn nhân nhanh chóng tăng lên quy mô khổng lồ. Tùy thuộc vào loại tấn công DDoS, kết nối Internet của nạn nhân có thể bị bão hòa, các dịch vụ bảo mật mạng có thể bị quá tải khi cố gắng kiểm tra lưu lượng zombie với khối lượng lớn, hoặc các máy chủ ứng dụng có thể bị kiệt sức khi cố gắng đáp ứng nhiều yêu cầu từ botnet.

Các giải pháp không dễ dàng để tích hợp

Triển khai các dịch vụ bảo vệ chống DDoS trong mạng hiện có có thể gặp nhiều thách thức; chúng có thể tạo ra các điểm nghẽn và làm tăng độ trễ cho các dịch vụ mà chúng đang cố gắng bảo vệ. Các nhà cung cấp dịch vụ thường phải đối mặt với nhiều kiến trúc mạng khác nhau và đã đầu tư vào chiến lược bảo mật hiện tại. Các nhà vận hành mạng muốn duy trì giải pháp phân tích mạng và phát hiện bảo mật mà họ đã lựa chọn, và cần các thiết bị giảm thiểu DDoS có thể tích hợp và bổ sung cho các giải pháp từ các nhà cung cấp khác nhau.

A10 Thunder TPS – Giải pháp bảo vệ chống lại mối đe dọa thế hệ mới

Dòng sản phẩm A10 Thunder™ Threat Protection System (TPS) cung cấp khả năng bảo vệ hiệu suất cao trên toàn mạng trước các cuộc tấn công DDoS, đảm bảo khả năng duy trì dịch vụ trước nhiều loại tấn công về khối lượng, giao thức, tài nguyên và các tấn công ứng dụng tinh vi khác.

Bảo vệ DDoS đa cấp (multi-level) đảm bảo khả năng duy trì dịch vụ

Thunder TPS bảo vệ chống lại nhiều loại vectơ tấn công khác nhau, bao gồm tấn công về khối lượng, giao thức, tài nguyên và tấn công ứng dụng cấp độ cao, những tấn công này được phát hiện và giảm thiểu nhanh chóng để ngăn dịch vụ bị gián đoạn. Một cơ sở lưu lượng truy cập bình thường có thể được thiết lập, nhờ đó các bất thường trong lưu lượng sẽ được nhận diện nhanh chóng. Thêm vào đó, các hành động tùy chỉnh có thể được thực hiện để đối phó với các tấn công ứng dụng cấp độ cao (L7) khi cần thiết, nhờ vào công nghệ kiểm tra gói sâu (DPI) scripting aFleX®.

Khả năng mở rộng hiệu suất đáp ứng quy mô tấn công ngày càng tăng

Với khả năng giảm thiểu DDoS từ 38 đến 155 Gbps (và lên tới 1,2 Tbps trong một cụm), Thunder TPS có thể xử lý hiệu quả các cuộc tấn công DDoS lớn nhất. Mỗi mẫu Thunder TPS được trang bị công nghệ Tăng tốc Lưu lượng Linh hoạt (FTA) dựa trên mạch lập trình trường (FPGA) hiệu suất cao, giúp phát hiện và ngăn chặn ngay lập tức hơn 30 loại tấn công phổ biến (như SYN cookies) mà không làm ảnh hưởng đến các CPU đa mục đích của hệ thống. Các cuộc tấn công phức tạp hơn ở cấp độ ứng dụng (L7) như HTTP, SSL, và DNS được xử lý bằng các CPU Intel Xeon mới nhất, cho phép hệ thống duy trì hiệu suất bằng cách phân phối các chức năng phát hiện và giảm thiểu tấn công trên các tài nguyên hệ thống tối ưu để giảm thiểu các cuộc tấn công cấp độ ứng dụng như Slowloris.

Tính linh hoạt trong triển khai rộng rãi

Với các mô hình triển khai linh hoạt cho cả hoạt động in- và out-of-band, cũng như các chế độ hoạt động định tuyến hoặc transparent, Thunder TPS có thể dễ dàng được tích hợp vào bất kỳ kiến trúc mạng nào, bất kể quy mô. Với API RESTful mở aXAPI®, Thunder TPS cho phép tích hợp với các giải pháp phát hiện tùy chỉnh hoặc của bên thứ ba. Ngoài việc xử lý lưu lượng mạng lớn, Thunder TPS duy trì thống kê chi tiết hoặc telemetry của tất cả lưu lượng và có thể chia sẻ qua sFlow với phân tích mạng của bạn để nâng cao khả năng nhìn thấy lưu lượng mạng. Thunder TPS cũng cung cấp hỗ trợ mạnh mẽ cho việc tích hợp dịch vụ bảo mật bên thứ ba hàng đầu với hơn 120 triệu quy tắc có thể được nhập, và có thể được sử dụng trong các blacklists, whitelists và các tập hợp quy tắc khác.

Tổng kết

Dòng sản phẩm A10 Thunder TPS cung cấp nhiều giải pháp để giải quyết các thách thức và vấn đề tấn công DDoS mà các nhà cung cấp dịch vụ và doanh nghiệp lớn hiện nay đang phải đối mặt. Thunder TPS bảo vệ hạ tầng mạng và cho phép các giải pháp bảo mật hiện tại mở rộng quy mô để đối phó với các cuộc tấn công DDoS quy mô lớn bất ngờ, đồng thời cung cấp cho các nhà vận hành mạng cái nhìn chi tiết về mạng và sự an tâm.

Để đảm bảo rằng tài nguyên trung tâm dữ liệu của bạn được sử dụng hiệu quả, Thunder TPS cung cấp nhiều tính năng hiệu suất cao và tinh vi trong các dạng phần cứng tối ưu nhất, nhằm giảm thiểu các cuộc tấn công DDoS lớn và phức tạp nhất. Sự kết hợp giữa hiệu suất cao trong một kích thước nhỏ giúp giảm chi phí hoạt động (OPEX) nhờ vào việc tiêu thụ điện năng thấp hơn, chiếm ít không gian trong giá đỡ và yêu cầu làm mát ít hơn.