O documento apresenta uma palestra sobre modelos de proteção contra ataques DDoS utilizando arquitetura de segurança na nuvem. O palestrante discute os impactos dos ataques cibernéticos em empresas, tipos de ataques DDoS, e como serviços da AWS como Shield, Route53, CloudFront, WAF e Auto Scaling podem fornecer proteção escalável contra DDoS.
4° Cloud Girls SP - Levando meu desenvolvimento para nuvem com Microsoft Azure
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
1. webfor.com.br
Modelo de Proteção contra ataques DDoS
Arquitetura de Segurança utilizando Computação em Nuvem:
Palestrante
Diogo Guedes
Cloud & Security Specialist
2. webfor.com.br
+15 anos de experiência em TI
MBA e Especializações em SI e Cloud Computing
+10 certificações de diferentes players incluindo:
• AWS Certified Solutions Architect - Professional
• AWS Certified Security - Specialty
• CCSE - Check Point Certified Security Expert
Diogo Guedes
Cloud & Security Specialist | Senior Information Security Analyst | Instructor
3. webfor.com.br
Agenda da Palestra
• Introdução
• Cenário global envolvendo negócios e operações online
• Ciberataques e Impactos as Empresas
• Ataques DoS e DDoS
• Ataques a infraestrutura
• Ataques a aplicação
• Dimensão dos Ataques
• Práticas de Segurança para Proteção
• Arquitetura de Segurança Utilizando Computação em Nuvem
• Conclusão e Brindes
Rewards
Semana de TI
4. webfor.com.br
Empresas mais valiosas do mundo
Introdução
Negócios Online
1. Amazon - US$187,9 bilhões
2. Apple - US$153,6 bilhões
3. Google - US$142,7 bilhões
4. Microsoft - US$119,59 bilhões
5. Samsung - US$91,28 bilhões
6. AT&T - US$87bilhões
7. Facebook - US$83,2 bilhões
8. ICBC - US$79,82 bilhões
9. Verizon - US$71,15 bilhões
10. China Construction Bank - US$69,74 bilhões
Fonte: Fórum Econômico Mundial
6. webfor.com.br
Sobre os ataques
Informações
• Os ataques de DDoS interrompem as operações de negócios,
causando prejuízos milionários além da degradação da marca e perda
de clientes.
• Apenas em 2017, quase 265 mil ocorrências foram registradas no
Brasil, segundo o 13º Worldwide Infrastructure Security Report. O
Brasil está entre os cinco países mais atacados, com 3,7% das
investidas.
• Uma arquitetura de segurança
resiliente torna-se peça chave para
proteção das empresas.
7. webfor.com.br
DoS (Deniel of Service)
Informações
• Um ataque de negação de serviço (DoS) é uma tentativa de fazer o website ou
uma aplicação tornar-se indisponível aos clientes ou usuários, como por exemplo,
através da inundação do tráfego de rede.
• Para atingir esse objetivo o atacante pode utilizar uma variedade de técnicas que
consomem os recursos do alvo - sejam de rede, memória, processamento, entre
outros - inviabilizando acessos legítimos por parte dos clientes ou usuários.
8. webfor.com.br
DDoS (Deniel of Service)
Informações
• Um ataque distribuído de negação de serviço (DDoS) é uma tentativa de fazer o website ou
uma aplicação tornar-se indisponível aos clientes ou usuários através de ataques de
múltiplas origens, potencializando e distribuindo o ataque entre grupos de computadores
infectados com malwares, não somente computadores, mas, roteadores, dispositivos de IoT
e outros endpoints, todos orquestrando o ataque simultaneamente ao alvo.
Atacante
Alvo
Mestres
Bots
9. webfor.com.br
Tipos de Ataques
DDoS
• Ataques DDoS são comumente endereçados as Camadas
3, 4, 6 e 7 do Modelo OSI.
• Ataques nas camadas 3 e 4 correspondem as camadas
de Rede e Transporte, referenciados como ataques a
infraestrutura.
• Os ataques na camada 6 e 7 correspondem as camadas
de apresentação e aplicação do Modelo OSI,
referenciados como ataques a camada de aplicação.
10. webfor.com.br
Tipos de Ataques
DDoS
Ataques a infraestrutura
• Ataque UDP Reflection
• Ataque SYN Flood
Ataques a aplicação
• Ataque HTTP Flood
• Ataque Cache-busting
Outras formas de ataques
• Scraper bots
• DNS query floods
• Negociação do TLS
• Brute force / credential stuffing
11. webfor.com.br
Dimensão dos Ataques
DDoS
• Ataque contra o GitHub em 28/02/2018. Indisponibilidade completa do serviço.
Sendo registrado pico de tráfego na ordem de 1.35 Tbps (terabits por segundo)
• O ataque conhecido como ATLAS a um
dos clients da Arbor Networks em
04/03/2018 (empresa USA não
divulgada) atingiu a ordem de 1.7 Tbps,
tornando-se o maior registrado até o
momento.
Fonte: GitHub, Akamai
12. webfor.com.br
Datacenter Tradicional
On-premises
• Alto investimento inicial para o deploy de soluções de proteção.
• Falta de tempo do time interno para desenhar e implementar
proteções.
• Falta de know-how de equipe interna para proteção contra ataques
DDoS.
• Limitação de escalonamento de recursos durante um ataque:
• Link de Internet
• Roteador de Borda
• Firewall
• IDS/IPS
• Servidores Web
• Servidores de Aplicação
• Servidores de Banco de Dados
• Servidores DNS
Alto
Custo
Baixo
Escalonamento
13. webfor.com.br
Vantagens da Cloud Computing
Computação em Nuvem
• Baixo investimento inicial (pagamento somente pelo
uso).
• Deploy de serviços em minutos.
• Serviços integrados com features de segurança
avançadas de proteção contra ataques.
• Capacidade de escalonamento virtualmente
ilimitada.
• Time de suporte para atuação em conjunto durante
ataques.
• Plano de escalonamento com seguro (evitando o
repasse dos custos de um ataque).
15. webfor.com.br
Modelo de Proteção contra ataques DDoS
AWS (Amazon Web Services)
• AWS Shield
• Amazon Route 53
• Amazon CloudFront
• AWS WAF
• Elastic Load Balancing
• VPCs and Security
Groups
• Minimize a superfície de ataque e proteja os recursos expostos.
• Provisione sua arquitetura para ser resiliente.
• Conheça o status normal, configure alertas quando sair do padrão.
• Esteja pronto para escalar e responder aos ataques.
16. webfor.com.br
AWS Shield
Proteção DDoS
• AWS Shield Standard
• AWS Shield Advanced
• É um serviço gerenciado para proteção contra ataques DDoS. Oferece técnicas de detecção e
mitigação inline (nativas) como deterministic packet filtering e priority-based traffic shaping para
minimizar indisponibilidade e latência, fornecendo proteção contra DDoS direcionado a
infraestrutura.
17. webfor.com.br
Route53
Proteção DDoS
• Sharding
• Roteamento anycast
• Altamente disponível e
escalável
• Serviço gerenciado pela AWS para resolução de nomes, assegurando capacidade consistente em
qualquer escala. Esse serviço utiliza ainda monitoramento da saúde do ambiente, resolvendo nomes
somente aos datacenters ou ativos de redes saudáveis. Evitando o roteamento de um usuário para um
serviço degradado ou indisponível.
18. webfor.com.br
Amazon CloudFront
Proteção DDoS
• Rede CDN
• +134 Pontos de Presença
• Cache de Conteúdo
• Pela sua característica de cache de conteúdo os servidores web de frontend são protegidos do acesso
direto, assim como sobrecarga quando solicitado um mesmo conteúdo inúmeras vezes.
19. webfor.com.br
AWS WAF
Proteção DDoS
• Web Application Firewall
integrado ao Amazon
Cloud Front.
• Regras pré-definidas para
bad bots, SQL Injection,
Cross-site scripting (XSS),
HTTP Floods e outras
ataques conhecidos.
• As regras de bloqueio podem ser baseadas no tipo de requisição web, tamanho, query string,
corpo da mensagem, rate-request, entre outros. Bloqueio por Geo-localização. O serviço é
gerenciado e autoescalável pela AWS não havendo restrições quanto a capacidade de
processamento.
20. webfor.com.br
Elastic Load Balancing
Proteção DDoS
• AWS Shield Integrado
• Escala horizontalmente
• Evita ponto único de falha
• Serviço que realiza a distribuição de carga entre servidores. Tem características avançadas de
balanceamento de carga incluindo o roteamento de tráfego entre diferentes datacenters. Possui
escalabilidade automática e segurança robusta para tornar os aplicativos tolerantes a falhas,
encaminhando o tráfego somente para servidores saudáveis, minimizando a sobrecarga sobre
um único recurso.
21. webfor.com.br
Auto Scaling group
Proteção DDoS
• Escalabilidade
• Registro automatizado
no ELB
• Os servidores são monirados continuamente em diversos parâmetros, dentre eles consumo de
CPU, memória e rede. Atingindo um valor limite pré-determinado (threshold) novos servidores
são adicionados automaticamente, aumentando o poder de absorção e processamento para
suportar os ataques de DDoS.