DDoS-aanvallen lopen voorop in de strijd tegen digitale bedrijven, en geen enkel bedrijf of bedrijfstak is veilig. DDoS-aanvallen zijn bedoeld om de digitale bronnen van een bedrijf te overbelasten (of uit te putten) en te voorkomen dat ze normaal presteren. In het slechtste geval zal de massale toestroom van verkeer ervoor zorgen dat webservers crashen. DDoS-aanvallen kunnen ook een rookgordijn zijn voor datalekken, waarbij wordt geprobeerd de IT-aandacht te vestigen op de DDoS-aanvallen in plaats van op het datalek. Ransom DDoS-aanvallen – waarbij kwaadwillenden betaling eisen om een DDoS-aanval te voorkomen of te stoppen – nemen ook toe.
Dus hoe kunnen DDoS-aanvallen worden beperkt? Het belangrijkste is om zoveel mogelijk slecht verkeer te blokkeren terwijl de applicatie of service optimaal blijft draaien. En er zijn vier belangrijke overwegingen die elk bedrijf moet beoordelen om de juiste DDoS-beveiligingsoplossing te selecteren.
1. Uitgebreide bescherming tegen DDoS-aanvallen
DDoS-aanvallen zijn er in vele vormen, maar de primaire typen zijn verbindingsprotocolaanvallen, volumetrische aanvallen en applicatielaagaanvallen:
Verbindingsprotocolaanvallen zijn bedoeld om verbindingstabellen van edge-apparaten zoals routers, firewalls en load balancers te vullen, waardoor het netwerk wordt uitgeschakeld. Veelvoorkomende voorbeelden van aanvallen met verbindingsprotocollen zijn SYN-floods en UDP-floods.
Volumetrische aanvallen proberen het netwerk rechtstreeks aan te vallen en vullen de pijp om te voorkomen dat legitieme verzoeken erdoor komen. Veelvoorkomende voorbeelden van volumetrische aanvallen zijn ICMP-floods, IP/ICMP-fragmentatie en IPSec-floods.
Applicatielaagaanvallen zijn het meest verstorende type DDoS-aanval omdat ze gericht zijn op een aspect van uw applicatie of service dat gevolgen kan hebben voor uw klanten of personeel. Bovendien hebben ze mogelijk een lage doorvoersnelheid van het verkeer waardoor ze moeilijk te detecteren zijn. Aanvallen op de applicatielaag, zoals HTTP GET-floods en DNS-amplificatie, zijn de afgelopen jaren steeds populairder geworden.
Een echt effectieve DDoS-beveiligingsoplossing moet alomvattend genoeg zijn om al deze aanvalsvectoren af te weren.
2. Schaalbaar om de grootste DDoS-aanvallen te verminderen
Een belangrijke vraag die u moet stellen, is: “Hoe schaalbaar moet mijn DDoS-beveiligingsoplossing zijn?” Het antwoord is “zeer” omdat de omvang van DDoS-aanvallen elke dag groter wordt.
Een andere vraag die moet worden gesteld, is: “Moet ik cloudgebaseerde DDoS-bescherming gebruiken of mijn systemen verdedigen met een on-premises oplossing?” Apparaten op locatie hebben een beperkte mogelijkheid om op aanvraag te schalen, dus u moet zich voorbereiden op de doorlooptijden die gepaard gaan met het vergroten van uw capaciteit. Bovendien kunnen on-premises DDoS-beveiligingsoplossingen complex zijn om te installeren en te onderhouden, dus een toegewijd IT-team zou nodig zijn.
Door de cloud geleverde oplossingen bieden een eenvoudige service zonder installatie of onderhoud en kunnen automatisch worden geschaald met de omvang van een DDoS-aanval. Ze bieden gecentraliseerde mitigatie om consistente bescherming te bieden voor alle applicaties en sites. De wereldwijde aanwezigheid van een gevestigde mitigatieservice kan scrubbingcapaciteit met hoge doorvoer bieden en u beschermen tegen massale DDoS-aanvallen. Als het gaat om DDoS-verdediging, hebben cloudgebaseerde oplossingen veel te bieden.
3. Always-On versus on-demand DDoS-bescherming: vind de juiste balans tussen investering en bescherming
Wil je liever dat al het online verkeer altijd wordt omgeleid, of geef je er de voorkeur aan om alleen tijdens een aanval het verkeer om te leiden voor scrubben? Always-on DDoS-detectie biedt constante bescherming, maar voegt ook een kleine hoeveelheid latentie toe aan normale bewerkingen.
Aan de andere kant zal on-demand DDoS-bescherming de latentie van applicaties van dag tot dag verminderen, maar u bent meer blootgesteld aan een DDoS-aanval wanneer deze begint en voordat u verkeer begint om te leiden. Always-on-oplossingen zijn duurder dan on-demand-oplossingen, dus het is een kwestie van een afweging maken tussen bescherming en kosten om aan uw zakelijke vereisten te voldoen.
4. Geïntegreerde vs. stand-alone DDoS-bescherming: kies tussen eenvoud of complexiteit
De stand-alone benadering van DDoS-bescherming biedt alleen bescherming tegen DDoS-aanvallen. U hebt aanvullende applicatiebeveiligingsservices nodig die afzonderlijk moeten worden geïmplementeerd en beheerd, en die aanzienlijke complexiteit kunnen toevoegen. Met een geïntegreerde oplossing wordt DDoS-bescherming geleverd met firewalls voor webtoepassingen, botbeheer en API-bescherming, die zowel uitgebreide bescherming als eenvoud bieden. U hoeft slechts één oplossing te beheren in plaats van meerdere producten van meerdere leveranciers.
Het is tijd om uw DDoS-beveiligingsoplossing opnieuw te evalueren
Citrix biedt een uitgebreide, cloud-geleverde DDoS-beveiligingsoplossing met always-on en on-demand opties. Het heeft een van de grootste reinigingscapaciteiten om te beschermen tegen grootschalige DDoS-aanvallen. De Citrix DDoS-beveiligingsoplossing is beschikbaar als een stand-alone service en ook als een geïntegreerde oplossing met een webapplicatie-firewall en botbeheer en API-bescherming.
