Sicherheitsmaßahmen gegen Cloud-Attacken via DDoS
Längst befinden sich auch Cloud-Infrastrukturen von Unternehmen im Visier der DDoS-Angreifer. Dieser Herausforderung kann man mit unterschiedlichen Ansätzen begegnen.
Machen wir uns nichts vor: Jedes Unternehmen, das öffentlich verfügbare Online-Dienste nutzt, wird über kurz oder lang zum Opfer eines DDoS-Angriffs (Distributed Denial of Service) werden. Meist handelt es sich dabei um gezielte Attacken, bei denen entweder ein Lösegeld für die Freigabe der Dienste verlangt wird oder bei denen es um die Erfüllung anderer, häufig politischer Zwecke geht. Bei einer DDoS-Attacke werden die Dienste mit zahlreichen Datenpaketen überschwemmt, so dass sie für normale Anfragen nicht mehr erreichbar sind.
Die für DDoS verwendeten Techniken können viele verschiedene Formen annehmen. So gibt es DDoS-Attacken via SYN Flooding (Syncronization), NTP (Network Time Protocol) oder DNS Amplifying (Domain Name System). Welche Methode genutzt wird, hängt von den Fähigkeiten der Angreifer und den attackierten Online-Diensten ab.
DDoS-Attacken gibt es bereits seit der Anfangszeit des Internets. So wurde der erste Denial of Service bereits 1974 registriert. Während die Methoden damals noch vergleichsweise simpel gestrickt waren, nutzen die Angreifer heutzutage in der Regel teilweise gigantische Botnets mit der Fähigkeit, enorm viel Traffic zu generieren. Dazu kommen diverse mittlerweile verfügbare Tricks und Tools, um den verursachten Datenverkehr weiter zu erhöhen. Auch die Cloud-Infrastrukturen von Unternehmen befinden sich zunehmend im Visier dieser Angriffe.
Schutz vor DDoS-Attacken
Viele Sicherheitsanbieter waren jedoch ebenfalls nicht untätig und haben inzwischen teils sehr effektive Techniken entwickelt, um die Auswirkungen von DDoS-Attacken zu begrenzen.
Nehmen wir zum Beispiel einen relativ einfachen Angriff mit Hilfe von SYN Flooding. Dabei versucht der Angreifer die Systeme des Opfers mit zahlreichen SYN Requests so lange zu überfluten, bis dort alle Ressourcen verbraucht sind und sie nicht mehr erreichbar sind. Ab diesem Zeitpunkt werden legitime Anfragen verzögert oder sogar komplett verworfen, so dass die angegriffenen Systeme nicht mehr erreichbar sind.
Eine moderne Firewall oder ein spezialisierter Schutz vor DDoS-Attacken, erkennt die im Vergleich zum normalen Traffic ungewöhnlich hohe Zahl von SYN Requests und kann dementsprechend reagieren. So ist es damit möglich, schädliche Datenpakete so lange zu blockieren oder zu verwerfen, bis ein normaler Betrieb wieder möglich ist.
Dienste zur Erkennung und Bekämpfung von DDoS-Attacken in der Cloud sind allerdings etwas komplexer und erfordern mehr Aufwand. Manche der verfügbaren Angebote, wie etwa Defense Pro von Radware, nutzen sogar Methoden aus dem Bereich Machine Learning, um normalen Traffic von böswillig versandten Daten zu unterscheiden. Dadurch kann das Tool Anomalien im Datenverkehr schneller erkennen und geeignete Gegenmaßnahmen einleiten. Auf diese Weise reduziert sich die Gefahr, dass legitime Anfragen verworfen oder geblockt werden.
Diese Systeme haben jedoch auch einen Nachteil. So kann sich der bei einer DDoS-Attacke verursachte Traffic schnell auf 100 GBit/s oder mehr belaufen. Das bedeutet, dass die Geräte zum Schutz vor diesen Angriffen sehr hohe Kapazitäten benötigen, um gegen diese doch relativ selten auftretenden Ereignisse gewappnet zu sein. Aus diesem Grund sind die Kosten und der Aufwand, solche Schutzmaßnahmen für ein Netzwerk rund um die Uhr zu betreiben, meist nur schwer gegenüber der Geschäftsführung zu rechtfertigen.
Schutz für die Cloud
Das ist der Punkt, an dem spezielle DDoS-Schutzmaßnahmen für Cloud-Infrastrukturen ins Spiel kommen. Dabei wird im Falle eines Angriffs der gesamte Traffic des Kunden mit Hilfe des Border Gateway Protocols (BGP) zu einem Cloud-Security-Anbieter weitergeleitet. Dort werden die Datenpakete mit den weiter oben beschriebenen Mechanismen bereinigt und wieder zum Kunden zurückgesendet.
Wie bei anderen Cloud-Angeboten auch werden auf diese Weise die teils doch recht erheblichen Kosten für den Aufbau und die Aufrechterhaltung leistungsfähiger Systeme zum Schutz vor DDoS-Attacken auf die Schultern vieler Cloud-Kunden verteilt. Da in der Regel immer nur ein vergleichsweise kleiner Teil dieser Kunden Opfer eines gerade stattfindenden Angriffs ist, ist diese Option sehr effizient bei der Verteilung der Kosten. Nichtsdestotrotz sind diese Angebote nicht gerade günstig. Die Anbieter müssen auf der ganzen Welt so genannte Scrubbing Center betreiben, die für den Schutz der einzelnen geografischen Regionen benötigt werden. Das ist aufwendig und teuer.
Wenn keines dieser Zentren in der Nähe ist, muss der gesamte Traffic – inklusive der zahlreichen DDoS-Daten – in eine andere Region übertragen werden. Dadurch kommt es selbst bei kleineren Angriffen zu spürbaren Verzögerungen und Auswirkungen auf die betroffenen Dienste. Auch verursacht die Übertragung möglicherweise datenschutzrechtliche Probleme, wenn sensible Daten an ein Offshore-Center übertragen und dort bearbeitet werden. Das betrifft insbesondere Behörden und Unternehmen im EU-Raum, die die neuen Regelungen der DSGVO (Datenschutz-Grundverordnung) einhalten müssen.
Hybrider Schutz dank Cloud Overflow
Das ist einer der Gründe, warum viele Provider, die Schutz vor DDoS-Attacken bieten, auch hybride Modelle im Portfolio haben. Sie sind aber bei den Kunden bislang nicht so verbreitet wie reine On-Premises- oder Cloud-Angebote.
Der hybride Ansatz wird auch Cloud Overflow genannt und hat durchaus das Potenzial, das Beste aus beiden Welten zu verbinden. So kümmern sich dabei lokale Systeme mit vergleichsweise geringen Kapazitäten um kleinere DDoS-Attacken auf Cloud-Umgebungen. Wenn der Angriff zu groß wird oder zu lange dauert, um lokal aufgefangen zu werden, lässt sich ein so genannter Overflow nutzen. Dieser sendet einen Teil oder den gesamten eingehenden Traffic zu einem spezialisierten Anbieter, der die Kapazitäten hat, um alle schädlichen Pakete auszusortieren.
Dieses Modell hat erhebliche Vorteile, die vor allem die Kostenseite betreffen. So sind die Anschaffungskosten für die lokal benötigte Hardware relativ gering, da die On-Premises vorhandenen Systeme nur für kleinere DDoS-Attacken ausgelegt werden müssen. Die Kosten für die erweiterten Schutzdienste sind ebenfalls begrenzt, da viele Angriffe schon lokal abgefangen werden können und keine Overflow-Kapazitäten benötigen. Aus Security-Sicht decken diese Maßnahmen außerdem das gesamte mögliche Angriffsspektrum ab. Einige der führenden Anbieter zum Schutz vor DDoS-Attacken wie Arbor Networks, Radware und Imperva haben diese hybriden Angebote deswegen in ihrem Programm.
Unternehmen, die auf der Suche nach einem Security-Setup zum Schutz vor DDoS-Attacken sind, das sowohl relativ niedrige Kosten aufweist und zugleich einen umfassenden Schutz bietet, sollten sich aus diesen Gründen näher mit dem hybriden Ansatz beschäftigen. Cloud Overflow ist die beste Wahl für alle Unternehmen, die eng mit Internetdiensten verknüpfte lokale Strukturen haben, die aber selbst nicht groß genug sind, um eine umfangreiche eigene Lösung zum Schutz DDoS-Attacken zu rechtfertigen.
Angriffe via DDoS sind heutzutage nahezu unvermeidbar. Aufgrund der mittlerweile breiten Angebotspalette zum Schutz vor ihnen, können ihre Auswirkungen jedoch effektiv begrenzt werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!