A cura di Marco Gioanola, Cloud Services Architect di Arbor Networks
La migrazione in cloud è un argomento di grande attualità da almeno un paio d’anni e sono ormai numerosissime le aziende di vario tipo e dimensione che propongono questo tipo di servizio. Esiste un vasto assortimento di proposte finalizzate alla migrazione di dati e applicazioni in cloud, variabili in funzione del tipo di servizio specifico e della grandezza degli operatori: dai grandi cloud provider pubblici o ibridi ai service provider più piccoli e specializzati che offrono servizi gestiti mirati. Tutti hanno però in comune un’infrastruttura multi-tenant con accesso basato sulla connettività Internet.
Gli attacchi DDoS (Distributed Denial of Service) rappresentano, purtroppo, un problema dilagante per le società che offrono servizi cloud e hosting a causa della loro rapida espansione in termini di scala e frequenza. Un singolo attacco può colpire una sola applicazione all’interno di un ambiente, ma così facendo, se ha sufficiente potenza, l’attacco può saturare la connettività Internet e ripercuotersi su tutti i servizi che condividono lo stesso accesso Internet. Il fenomeno è stato descritto all’interno del Worldwide Infrastructure Security Report (WISR) di Arbor Networks, che evidenzia quanto segue:
• il 61% degli operatori di data center o cloud ha subito attacchi che hanno saturato completamente la loro banda nel 2016;
• il 21% degli operatori di data center o cloud ha subito oltre 50 attacchi DDoS al mese.
Si fa quindi più pressante per i provider di servizi cloud e per i loro clienti la necessità di implementare adeguate misure di protezione della disponibilità.
Come si difende la disponibilità?
Esistono due principali tecniche per proteggere i servizi cloud e gli utenti che ne usufruiscono dal rischio di attacchi DDoS.
1. L’utente finale può acquistare un’infrastruttura di protezione DDoS virtualizzata dal proprio fornitore di fiducia e abbinarla a un servizio di protezione DDoS offerto da un provider di servizi di sicurezza gestiti (MSSP) specializzato. Questa è la trasposizione in ambiente cloud del modello utilizzato per anni da molte aziende per proteggere i dati e le applicazioni residenti nei loro data center. Il vantaggio, dal punto di vista dell’utente finale, è la possibilità di utilizzare la stessa soluzione, già familiare, per i servizi cloud e non cloud.
2. L’alternativa è l’acquisto, separato o nel quadro di un’offerta completa, di un servizio di protezione DDoS fornito dall’operatore del cloud. Molti provider di servizi Internet hanno implementato un’infrastruttura di rilevamento e mitigazione DDoS a difesa delle proprie attività e hanno poi cercato di far fruttare questa capacità offrendola ai propri clienti in forma di servizio gestito. I provider di servizi cloud stanno iniziando a fare lo stesso: dovendo proteggere le proprie infrastrutture, hanno pensato di sfruttare le apparecchiature e competenze già in loro possesso per fornire ai clienti servizi di sicurezza aggiuntivi di alto valore di cui è difficile liberarsi.
Entrambi i modelli descritti assicurano la protezione necessaria e la scelta dipende dalle esigenze dell’utente finale in rapporto alle capacità del provider di servizi cloud. Per gli operatori cloud, tuttavia, la seconda soluzione è indubbiamente preferibile, come dimostra il crescente numero di operatori che cercano di fornire esplicitamente servizi di protezione DDoS.
Questa non è però generalmente una soluzione realizzabile da un singolo operatore, a meno che non si tratti di uno dei maggiori. Gli odierni attacchi DDoS volumetrici possono infatti superare i 500 Gbps, una portata che la grande maggioranza degli operatori cloud non riesce a gestire senza appoggiarsi a monte ad un servizio di protezione DDoS esterno. I fornitori di questi servizi sono, in alcuni casi, le aziende che offrono apparecchiature da utilizzare all’interno dell’ambiente cloud per fornire una protezione locale. In questi casi, è possibile adottare servizi integrati o talvolta interamente gestiti.
Non vi è alcun dubbio tuttavia sulla necessità per gli operatori cloud e i relativi clienti di adottare misure di protezione DDoS adeguate a difesa della disponibilità dei servizi. il WISR di Arbor ha evidenziato la forte impennata della percentuale di operatori di data center o cloud che hanno subito perdite durante il 2016 a causa degli attacchi DDoS, un problema che può essere certamente evitato. Esistono infatti tecnologie e processi difensivi efficaci capaci di tutelare le attività e, potenzialmente, di incrementare le entrate degli operatori di cloud.