Imperva ochrona przed atakami DDoS SPECYFIKACJA PRODUKTU Automatyczne przeciwdziałanie nawet największym i najsprytniejszym atakom DDoS Korzyści Potężne wsparcie centrów danych rozproszonych po całym świecie Specjalistyczna pomoc w ochronie przed masowymi atakami typu SYN Flood, atakami wymierzonymi w serwery DNS oraz amplifikacją DNS Zaawansowane algorytmy przeciwdziałające złożonym atakom w warstwie aplikacji Działające w czasie rzeczywistym panele do monitorowania i analizowania trwających ataków Dedykowane, całodobowe centrum NOC zapewniające zachowanie dostępności na poziomie biznesowym Skuteczna reakcja na ataki DDoS przy użyciu routingu typu Anycast, Unicast i hybrydowego Ochrona infrastruktury całych podsieci przed atakami w warstwie sieciowej Imperva zabezpiecza strony internetowe przed najpoważniejszymi i najbardziej inteligentnymi typami ataków DDoS w tym atakami na poziomie sieci, protokołu i aplikacji (warstwy 3, 4 i 7) ograniczając ich wpływ na działalność biznesową do minimum. Dzięki naszej usłudze chmurowej firmy internetowe kontynuują działalność i zachowują wysoką wydajność nawet w trakcie ataku, unikając strat finansowych i poważnego uszczerbku na reputacji. Usługa sprawdza się nawet w atakach o największej skali, takich jak SYN Flood i amplifikacja DNS, i odpiera złożone ataki w warstwie aplikacji poprzez zastosowanie zaawansowanych i progresywnych mechanizmów obronnych. Usługa automatycznie i transparentnie reaguje na ataki DDoS z minimalną liczbą pomyłek, tak że odwiedzający stronę nawet nie wiedzą, że strona internetowa jest celem ataku. Ochrona przed atakami DDoS obejmuje działające w czasie rzeczywistym panele do monitorowania i analizowania trwających ataków oraz dedykowane, całodobowe centrum NOC obsługiwane przez doświadczonych ekspertów ds. bezpieczeństwa, które zapewnia zachowanie dostępności usługi na poziomie biznesowym w czasie ataku. 1
Zalety Imperva Automatyczna i zawsze włączona detekcja i aktywacja trybu trwa atak Brak zakłóceń dla działalności przedsiębiorstwa dzięki transparentnej reakcji z minimalną liczbą pomyłek Pełna ochrona nawet przed największymi i najsprytniejszymi atakami DDoS Aktywacja przez prostą zmianę ustawień DNS bez potrzeby instalowania jakiegokolwiek sprzętu lub oprogramowania, integrowania ze stroną internetową lub wprowadzania w niej zmian Kompleksowa ochrona przed wszystkimi typami ataku DDoS chroni stronę internetową przed wszystkimi typami zagrożeń DDoS, w tym atakami sieciowymi (np. Slowloris, ICMP/TCP/UDP Flood) i atakami na poziomie aplikacji (np. GET Flood), które próbują przeciążyć zasoby serwerowe. Usługa wykrywa i reaguje na złożone ataki wykorzystujące słabe punkty aplikacji, serwera WWW i serwera DNS, a także ataki typu hit-and-run i zagrożenia stwarzane przed duże botnety. chroni strony internetowe przed wszelkimi typami ataków DDoS: TCP SYN+ACK TCP FIN TCP RESET TCP ACK TCP ACK+PSH TCP Fragment UDP ICMP IGMP HTTP Flood Brute Force Connection Flood Slowloris Spoofing DNS Flood Mieszane ataki typu SYN+UDP lub ICMP+UDP Flood Ping of Death Smurf Lustrzane ICMP i UDP Teardrop Zero-day DDoS Ataki wykorzystujące słabe punkty systemów Apache, Windows i OpenBSD Ataki na serwery DNS I inne Skalowalna, wysoko wydajna sieć obsługująca ataki o dużej skali Ponieważ ataki DDoS o coraz większej skali, takie jak SYN Flood i amplifikacja DNS, zwykle przekraczają przepustowość 100 Gb/s, organizacje potrzebują bardzo wydajnej sieci do ich odpierania. Dzięki naszej globalnej sieci o wydajności powyżej 1 Tb/s (terabit na sekundę) chroni nawet przed największymi atakami wolumetrycznymi. Działająca nieprzerwanie chmura pozwala stosować mechanizmy obronne poza siecią, tak aby docierający do jego serwerów był już przefiltrowany. Inteligentna ochrona wielowarstwowa wykorzystuje routery brzegowe klasy ISP, które odfiltrowują i odizolowują natychmiastowo rozpoznane szkodliwe pakiety (amplifikacja DNS, pakiety Martian itd.). Pozostały jest priorytetyzowany według klasyfikacji CoS (Class of Service) i rozprowadzany po centrach scrubbingowych, z których każde jest podłączone do wielu łączy 10 Gb/s. Każde takie centrum obejmuje kilka połączonych, klastrów scrubbingowych wysokiej mocy. Klastry te służą do profilowania i blokowania u DDoS w czasie rzeczywistym. W trakcie ataku płynnie przetwarzają przychodzące pakiety i sesje HTTP, a dzięki unikalnej, inteligentnej technologii do profilowania u i wykrywania botów precyzyjnie odfiltrowują szkodliwy bez wpływu na normalne odwiedziny strony. Serwery 2
DATASHEET Rozwiązanie wytrzymało potężny atak DDoS (Distributed Denial of Service rozproszona odmowa usługi) i umożliwiło dalsze korzystanie z zaatakowanej strony internetowej 1.10.2013 LATEST 100 GIGABIT ATTACK IS ONE OF INTERNET S LARGEST Zaawansowane przeciwdziałanie atakom w warstwie 7 Technologia identyfikacji odwiedzających odróżnia normalnych odwiedzających stronę (ludzi, wyszukiwarki itd.) od klientów automatycznych lub szkodliwych. Ma to kluczowe znaczenie w odniesieniu do ataków w warstwie aplikacji (warstwie 7), ponieważ zapytania DDoS wyglądają jak normalne odwiedziny. W przeciwieństwie do innych usług chroniących przed atakami DDoS, które opierają się na technikach łatwych do ominięcia i podatnych na pomyłki (takich jak ograniczanie przepustowości lub ekrany powitalne/opóźniające), odróżnia generowany przez ludzi i boty, rozpoznaje dobre i złe boty oraz wykrywa technologie AJAX i API. Normalne boty, w tym Google i Bing, nadal łączą się ze stroną nawet wtedy, gdy jest atakowana. Ochrona serwerów DNS przed atakami DDoS Moduł DNS DDoS chroni serwery DNS przed ukierunkowanymi atakami DDoS, co ma kluczowe znaczenie dla dostępności strony internetowej. Wystarczy zmienić rekordy NS tak, by kierowały do usługi, a wszystkie zapytania DNS dotyczące chronionych domen będą analizowane i filtrowane pod kątem szkodliwego u w chmurze, aby tylko bezpieczne zapytania docierały do pierwotnego serwera DNS. W ten sposób serwer jest zabezpieczony przed bezpośrednimi atakami DDoS oraz próbami jego blokowania w celu wykorzystania serwera jako platformy do amplifikacji DNS wymierzonej w inne serwery. W razie ataku użytkownicy usługi dostają alerty pocztą elektroniczną oraz powiadomienia w graficznym interfejsie. Transparentne przeciwdziałanie chroni stronę internetową nie tylko przed całkowitą odmową usługi, lecz również przed zakłóceniami związanymi z atakami DDoS, pomyłkami mechanizmów zabezpieczających itd. Pomyłki w trakcie przeciwdziałania są na poziomie poniżej 0,01% i nie wpływają w żaden sposób na normalne odwiedziny użytkowników. Dzięki tak zaawansowanej ochronie przed atakami DDoS przedsiębiorstwo działa bez zakłóceń nawet podczas długotrwałego ataku. Co więcej, 99,99% normalnych odwiedzających nie odczuje w żaden sposób ataku i będzie mogło nadal korzystać ze strony internetowej bez denerwujących ekranów powitalnych czy opóźnień. Automatyczna detekcja i aktywacja oferuje automatyczny i zawsze włączony mechanizm reagowania na ataki DDoS, które skutecznie przeciwdziała atakom typu hit-and-run polegającym na krótkotrwałych przyrostach u w losowych odstępach w długim przedziale czasu. Taki atak może wywołać poważne szkody w rozwiązaniach odpierających ataki DDoS, ponieważ wymaga ich ręcznego włączania i wyłączania w przypadku każdego przyrostu u. Dzięki automatycznej detekcji i aktywacji przejmuje pełną odpowiedzialność za wykrywanie ataków i reagowanie na nie. Szybkie, łatwe wdrożenie routing DNS Wdrożenie modułu ochrony przed atakami DDoS nie wymaga instalowania sprzętu ani oprogramowania, prac integracyjnych ani wprowadzania zmian w kodzie strony internetowej. Wystarczy, że użytkownik zmieni po prostu ustawienie DNS dla swojej strony. Dzięki tak łatwemu mechanizmowi wdrożenia użytkownik jest chroniony już po kilku minutach i nie musi zmieniać obecnego dostawcy usług hostingowych ani infrastruktury aplikacji. 3
Ochrona infrastruktury podsieci Przedsiębiorstwom chcącym zabezpieczyć wiele typów usług i protokołów w całym zakresie docelowych adresów IP w podsieci oferuje ochronę przed atakami DDoS na żądanie w oparciu o routing BGP. W razie ataku jest przekierowywany przez centra scrubbingowe przy użyciu ogłoszeń BGP. Od tego momentu pełni funkcję dostawcy usług internetowych (ISP) i przekazuje wszystkie ogłoszenia dotyczące chronionego zakresu adresów IP. Cały przychodzący sieciowy jest analizowany i filtrowany, po czym tylko prawidłowy jest bezpiecznie kierowany do sieci firmowej z wykorzystaniem tunelowania GRE. Ruch przechodzący przez system podczas ataku DDoS. Chronione podsieci są kierowane do rozwiązania w celu ich ochrony z wykorzystaniem ogłoszenia BGP. Chronione podsieci 1.2.3.0/24 Ogłoszenie BGP Tunel GRE Router Infrastruktura Ochrona infrastruktury dla pojedynczych adresów IP Dzięki opisanemu unikalnemu modelowi wdrożenia pozwala zabezpieczyć infrastrukturę użytkowników, którzy nie posiadają własnej całej podsieci klasy C. W efekcie mniejsze organizacje mogą chronić wiele typów usług i protokołów (nawet dla jednego adresu IP) bez routingu BGP. nadaje takiemu użytkownikowi bezpieczny adres IP, po czym analizuje i filtruje cały przychodzący. Następnie przefiltrowany jest kierowany pod pierwotny adres IP przez nadmiarowy, bezpieczny, dwukierunkowy tunel GRE, a wychodzący jest kierowany z aplikacji do użytkowników. Ochrona pojedynczych adresów IP to idealne rozwiązanie dla serwerów gier i aplikacji typu SaaS (oprogramowanie jako usługa). Cechują się one dużym em, kluczowymi zasobami niewykorzystującymi HTTP o małej liczbie adresów IP oraz wdrożeniami chmurowymi, które bardzo potrzebują ochrony przed bezpośrednimi atakami na adresy IP. Ruch przechodzący przez system podczas ataku DDoS. Ruch jest kierowany pod adres IP nadany przez system, dzięki czemu ten jest filtrowany w sieci, zanim wróci do przez bezpieczny tunel GRE. Adres IP 1.2.3.4 systemu Tunel GRE Infrastruktura 4
Współpraca na rzecz bezpieczeństwa chroni strony internetowe z wykorzystaniem zbiorowej wiedzy o zagrożeniach DDoS, w tym informacji o nowych i coraz popularniejszych metodach ataku. Dzięki crowdsourcingowi informacje te są gromadzone z całej sieci usług obejmującej tysiące stron internetowych, co pozwala wykrywać nowe ataki w trakcie ich trwania oraz identyfikować znanych szkodliwych użytkowników. W oparciu o te dane można wprowadzać reguły odpierania ataków na wszystkich chronionych stronach w czasie rzeczywistym. Przystępna cenowo, chmurowa ochrona przed atakami DDoS Usługa chmurowa zapewnia całodobową ochronę przed atakami DDoS bez ponoszenia nakładów na wielogigabitowe łącza internetowe, dodatkowy sprzęt, czy koszty operacyjne. Eliminuje to koszty związane z nadmierną przepustowością, wdrażaniem dodatkowych serwerów i równoważeniem obciążenia urządzeń w siedzibie klienta. Po wykupieniu abonamentu Enterprise klientowi biznesowemu przypisywany jest osobisty doradca, który odpowie na wszystkie potrzeby klienta związane z ochroną przed atakami DDoS. Światowej klasy wsparcie ekspertów ds. ataków DDoS i bezpieczeństwa Usługa ochrony przed atakami DDoS umożliwia organizacjom stałe monitorowanie ataków i przeciwdziałanie im z pomocą naszego doświadczonego zespołu inżynierów z operacyjnego centrum bezpieczeństwa (SOC). Nasze usługi obejmują proaktywne zarządzanie zdarzeniami związanymi z bezpieczeństwem i reagowanie na nie, stały monitoring w czasie rzeczywistym, sprawne dostosowywanie strategii, raporty podsumowujące ataki oraz całodobową pomoc techniczną. Więcej informacji: imperva.com/incapsula 2015, Imperva, Inc. Wszelkie prawa zastrzeżone. Imperva, logo Imperva, SecureSphere, i Skyfence są znakami towarowymi spółki Imperva, Inc. i jej spółek zależnych. Wszystkie pozostałe marki lub nazwy produktów są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich właścicieli. DS-DDOS-PROTECTION-0915-rev1 imperva.com 5