Giải pháp phòng chống tấn công DDoS – Netscout Arbor Edge Defense

Netscout Arbor Edge Defense (AED) là dòng sản phẩm phòng chống tấn công DDoS cho lớp ứng dụng. Được thiết kế để phát hiện tấn công và giảm thiểu các cuộc tấn công tiên tiến nhất trong một thiết bị duy nhất nhằm bảo vệ các ứng dụng quan trọng của doanh nghiệp hay các tổ chức.

Các cuộc tấn công hiện nay thường rất đa dạng, từ các tầng thấp đến tầng cao trong mô hình OSI đến các dạng tấn công flood. Ngay cả một số cuộc tấn công ở mức cơ bản cũng có thể gây ảnh hưởng nhất định đến các doanh nghiệp, do vậy trong một số tình huống cấp bách, các dịch vụ trên nền đám mây hay dịch vụ của nhà cung cấp dịch vụ Internet được coi là giải pháp thay thế. Các cuộc tấn công dạng flood thường gây nghẽn kết nối Internet, hoặc trung tâm dữ liệu. Do vậy để giải quyết tính đa dạng của các cuộc tấn công DDoS hiện nay, các doanh nghiệp hay tổ chức cần một giải pháp phòng chống toàn diện – với các giải pháp được thực hiện ngay tại nội tại mạng và kết hợp với các dịch vụ của nhà mạng hoặc đám mây. Thiết bị AED của Abor được thiết kế nhằm cung cấp một khả năng giám sát chủ động và ngăn chặn với các loại hình tấn công sau:

• Chống tấn công ở lớp dịch vụ (application layer)
• Chống tấn công làm cạn kiệt tài nguyên (state exhausting)
• Chống tấn công với dung lượng lớn (volumetric)
• Ngăn chặn malware và các mối đe doạ tiềm ẩn khác xâm nhập vào trong mạng (cơ sở dữ liệu bảo mật của AED bao gồm hơn 3 triệu IP/DNS/URL độc hại)

Mô hình giải pháp Arbor AED inline

Thiết bị cũng cung cấp khả năng kết hợp với các thiết bị đặt tại nhà cung cấp dịch vụ Internet hay dịch vụ Cloud của chính hãng thông qua tính năng “Cloud Signaling). Với tính năng dịch vụ này, thiết bị có thể được thiết lập và tự động cảnh báo cũng như chuyển hướng traffic lên trên dịch vụ Cloud hoặc thiết bị của nhà mạng, các traffic sau khi được lọc sẽ được trả lại cho doanh nghiệp như bình thường.

Một đặc điểm vượt trội của dòng thiết bị AED là không bị giới hạn về mặt kết nối do hoạt động dựa trên công nghệ stateless, không sử dụng các công nghệ lọc gói tin (packet filtering) như một số hãng chống DDoS khác hoặc trên các thiết bị cân bằng tải (load balancer), IPS hay Firewall có tính năng DDoS. Thiết bị chỉ giám sát và theo dõi (tracking) trạng thái kết nối khi được yêu cầu, do vậy trong bảng thông tin về trạng thái kết nối, nó chỉ lưu lại một số lượng ít thông tin về kết nối cần phải giám sát và xử lý.

Dòng sản phẩm AED được thiết kế nhằm đơn giản nhất trong quản trị và vận hành, do vậy ngay sau khi cài đặt, thiết bị sẽ tự động ngăn chặn các cuộc tấn công gây nguy hiểm cho mạng. Ngoài ra thiết bị cũng hỗ trợ khả năng ghi lại (record) và phân tích các mẫu lưu lượng (traffic pattern) nhằm thiết lập các tùy chỉnh cho chính sách bảo vệ mạng và đặc biệt là cho ứng dụng. Với dịch vụ cập nhật trực tuyến AIF từ hãng, thiết bị đảm bảo khả năng phản ứng nhanh với các loại hình tấn công kiểu mới, được Arbor giám sát trên toàn cầu như đã giới thiệu ở trên với đội ngũ trong nhóm ASERT của chính hãng.

Một tính năng quan trọng của Netscout AED là nó không phải là một thiết bị dạng hộp đen (black box) nghĩa là chỉ cung cấp khả năng ngăn chặn tấn công DDoS – mà nó còn có khả năng cung cấp dịch vụ giám sát theo thời gian thực với các loại tấn công, ngăn chặn các host hoặc gói tin và khả năng vận hành mạng đối với các cuộc tấn công vượt ngưỡng (threshold). Thiết bị cũng có khả năng cảnh báo cho đội ngũ vận hành mạng nhằm theo dõi và điều chỉnh chính sách bảo vệ khi cần thiết. Đồng thời, AED còn hỗ trợ chuẩn STIX/TAXII để thiết bị có thể tích hợp với cở sở dữ liệu bảo mật của các hãng thứ 3 có hỗ trợ cùng chuẩn STIX/TAXII.

Khả năng bảo vệ linh hoạt của AED với bộ lọc phong phú sẽ đem lại cho các doanh nghiệp sự an toàn tuyệt đối trước những nguy cơ tấn công mạng.

AED có khả năng thực hiện các chính sách bảo vệ đến lớp ứng dụng:

• TCP/UDP/HTTP(S) flood attacks
• Botnet protection
• Hacktivist protection
• Host behavioral protection
• Anti-spoofing
• Configurable flow expression filtering
• Payload expression-based filtering
• Permanent and dynamic blacklists/ whitelists
• Traffic shaping
• Multiple protections for HTTP, DNS and SIP
• TCP connection limiting
• Fragmentation attacks
• Connection attacks

Những nguy cơ về tấn công DDoS không chỉ tại Việt Nam mà xảy ra mọi nơi trên thế giới, nhu cầu thực tiễn cần đầu tư một hệ thống phòng chống tấn công DDoS là rất quan trọng giúp:

• Bảo vệ tài nguyên tức thời trước các cuộc tấn công DDOS từ mức ứng dụng (Application level) đến mức mạng (Network level). Có khả năng phân tích các cuộc tấn công và cung cấp khả năng phòng thủ nâng cao với các tính năng có sẵn và mềm dẻo- thay đổi theo từng phương thức tấn công cao cấp.
• Chủ động phát hiện và giảm thiểu các tổn thất có thể gặp phải. Cho phép tự động phát hiện và ngăn chặn các cuộc tấn công DDoS, trước khi chúng gây ảnh hưởng đến dịch vụ. Đồng thời có khả năng ngăn chặn ở mức cao- tự động, giúp giảm thiểu các gánh nặng cho đội ngũ vận hành, giám sát mạng.
• Có khả năng giám sát theo thời gian thực với các mẫu tấn công, mối đe dọa và ngăn chặn kịp thời.
• Có thể phân tích chuyên sâu, tạo các báo cáo tấn công theo thời gian thực, giúp cho việc phân loại, và phỏng thủ chiều sâu với các loại tấn công mới, theo nguồn gốc quốc gia hay các xu hướng tấn công một cách chủ động và tiên tiến.

Liên hệ tư vấn:

Công ty cổ phần Nam Trường Sơn Hà Nội

Tầng 15, tòa Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, Hà Nội

Tel: 02462.818.045

Email: ntshanoi@nts.com.vn