Bernard Schep, Regional Sales Manager Benelux A10 Networks
Grote organisaties en dienstverleners kunnen hun ICT op enorm veel verschillende manieren organiseren. Gevolg is dat als je naar bescherming zoekt tegen bepaalde soorten aanvallen, de traditionele methodes niet voor iedereen even goed meer werken. Leveranciers passen zich daarop aan, zoals ook A10 Networks dat heeft gedaan met zijn anti-DDoS-oplossingen.
Oorspronkelijk concentreert A10 Networks zich op vier oplossingsgebieden, zo begint Bernard Schep zijn verhaal. “We zijn begonnen met het bieden van oplossingen voor load balancing, en dat hebben we opgevolgd met SSL-inspection zodat je ook zicht hebt op de data die de organisatie verlaat”, zegt de Regional Sales Manager Benelux. “Om hosters en ISP’s te bedienen die uitdagingen hebben met beschikbaarheid van IPv4-adressen hebben we daar Carrier Grade NAT aan toegevoegd. Maar we hebben vervolgens ook manieren ontwikkeld om vriendelijk en onvriendelijk verkeer van elkaar te scheiden.” Een logisch gevolg daarvan is de anti-DDoSoplossingen die A10 Networks biedt. Een belangrijk onderscheid is dat deze direct voortborduurt op de load-balancingtechnologie van het bedrijf. “We hebben een sharedmemoryarchitectuur gebouwd”, legt Schep uit. “Processoren kunnen dan informatie delen voor load balancing maar bijvoorbeeld ook om dreigingen te detecteren.” Volgens Schep gaat de anti-DDoS van A10 daardoor verder dan andere oplossingen. “Je ziet vaak een ASIC-gebaseerde architectuur die beperkt schaalbaar is en meteen prestaties inlevert wanneer hij op volle kracht moet werken. Anderen bieden alleen monitoring, terwijl de schoonmaakfunctie later is toegevoegd.”
Handmatig is onvoldoende
Dat is volgens Schep echter niet voldoende, vooral omdat DDoS-aanvallen omvangrijker en complexer worden. “Binnen nu en korte tijd hebben organisaties gewoon niet meer de tijd om handmatig actie te ondernemen wanneer ze een aanval opmerken”, zegt hij. “Signature-gebaseerde oplossingen werken ook niet, omdat botnets hun kenmerken eenvoudig kunnen wijzigen.” Daarom is het zo belangrijk geworden om de anti-DDoS uit te rusten met machine learning om direct te kunnen reageren op aanvallen.
De tijden dat iedereen ‘gewoon’ een fysieke appliance afneemt ligt ondertussen ver achter ons
Maar daar blijft het niet bij. Bestrijding van DDoS is iets dat volgens Schep binnen de complete infrastructuur op enig niveau moet plaatsvinden.
Omdat iedere organisatie andere technische of financiële mogelijkheden heeft, moeten leveranciers volgens Schep DDoS-aanvallen op verschillende manieren kunnen onderscheppen. “Wij doen dat op een aantal verschillende niveaus”, zegt hij. “Apparaten beschikken over functionaliteiten om aanvallen op laag 2 of laag 3 tegen te gaan. Je kunt namelijk op protocolniveau ‘doorvragen’ om vast te stellen of het om authentieke client of een aanval gaat. Dus deels lossen we het op de poorten in de hardware zelf op.” Alle appliances van de 4x-generatie en nieuwer beschikken over de mogelijkheid om op zijn minst detectie toe te passen. “Dat is interessant, want bijvoorbeeld een load balancer zit heel centraal in het netwerk”, zegt Schep. “Vanuit daar kan een ISP bijvoorbeeld fijnmazig vaststellen welke specifieke klanten op enig moment worden aangevallen.”
Het is meestal niet krachtig genoeg om de grootste aanvallen af te vangen. Sommige organisaties, bijvoorbeeld grote cloudproviders of gamingbedrijven, zetten een anti-DDoS appliance bij iedere internet gateway, het zogenaamde inline-model. Maar dit is nog lang niet voor iedereen haalbaar, waardoor ook andere implementatiemodellen nodig zijn. “Wij bieden er drie”, zegt Schep. “De eerste is het al genoemde inlinemodel. De tweede is het monitoren van de internetgateways, en verdacht verkeer binnen een bepaalde adress range herrouteren naar een cleaning-apparaat ergens in de infrastructuur.” Minder duur dan al het verkeer op iedere aparte gateway schoonschrobben, maar de capaciteit is beperkt waardoor een zeer grote aanval alsnog succesvol kan zijn. “Als tussenweg heb je nog een hybridemodel”, zegt Schep. “Je stuurt dan een deel van het vuile verkeer naar een wasstraat in de cloud als je zelf niet genoeg capaciteit hebt.” Dat herrouteren is echter een handmatige handeling, waardoor je alsnog tijdelijk offline bent, en de dienst kan vrij kostbaar zijn.
Virtueel
Het hangt dus heel erg van de situatie van de organisatie af welk model ideaal is. “Wij ondersteunen ze alle drie”, stelt Schep. “Eindklanten zijn dus niet beperkt in hun keuze voor implementatie- of consumptiemodellen.” Dat geldt ook voor de apparaten zelf. De tijden dat iedereen ‘gewoon’ een fysieke appliance afneemt ligt ondertussen ver achter ons. Ook op dat punt heeft A10 Networks zijn aanbod door de jaren uitgebreid. “We bieden vier consumptiemodellen”, noemt Schep. “De traditionele appliance, de virtuele appliance, bare metal en cloudinstances.” Net als bij het anti-DDoS-aanbod heeft ieder model zijn voor- en nadelen. Zo is een virtuele appliance flexibeler dan een traditionele appliance, maar is de latency nog steeds hoger. Bare Metal had altijd minder capaciteit, al beginnen die cijfers langzaam richting die van de appliance te kruipen.
Maar keuze in technologie heeft weinig betekenis als de reseller geen keuze in prijsmodel kan bieden. “Die hebben we dan ook aangepast”, zegt Schep. “Voorheen waren het CAPEXgebaseerde modellen met langdurige supportcontracten. Voor anti-DDoS zijn we overgestapt op abonnementen, waarbij je een bepaalde capaciteit afneemt. We meten het schone verkeer en afhankelijk van de infrastructuur leveren we een aantal dozen. Partners hoeven zich niet te veel bezig te houden met ontwerp, terwijl klanten niet hoeven in te schatten wat ze nodig hebben.” Wanneer meer capaciteit nodig blijkt, is het een kwestie van het opwaarderen van de subscriptie. “Pay-as-you-Go dus.”
‘Voor anti-DDoS zijn we overgestapt op abonnementen, waarbij je een bepaalde capaciteit afneemt’
Flexibiliteit op alle fronten is volgens Schep dus een cruciaal onderdeel geworden voor anti-DDoS-oplossingen. “Vroeger was het alles of niets.” Bij een aanval werd meteen al het verkeer tijdelijk geblokkeerd, waardoor ook legitiem verkeer tijdelijk geen doorgang kon vinden. “Of leveranciers vroegen hun klanten om een percentage dat in zulke gevallen doorgelaten moet worden. Wij escaleren echter op basis van het precieze effect van het kwaadaardige verkeer. Zo voorkom je ook nog eens false positives.”
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 2019, nummer 2]