Günümüzde en sık rastlanan siber saldırı türlerinin başında DDoS geliyor. Şirketlerin çevrimiçi (online) erişilebilirliklerini engellemeye yönelik bir saldırı çeşidi olan DDoS'a karşı korunmanın pek çok yolu var. Bazı kuruluşlar, DDoS saldırılarına karşı koruma için dünyanın pek çok noktasına dağıtılmış sunucuların oluşturduğu "içerik dağıtım ağları"na (CDN) başvurur. Böylece ziyaretçilere site içeriğini en hızlı şekilde ulaştırmayı amaçlarlar. Bant genişliği ayrılabilen bazı CDN'ler, barındırdıkları hizmetlerin yanı sıra kendi ağlarının dışındaki hizmet sağlayıcıları (ISP) ve kuruluşlar için DDoS koruması da sunar. Bazı durumlarda veya daha geniş bir çok katmanlı koruma stratejisi kapsamında bu seçenek geçerli olabilse de, CDN kullanmayı düşünen şirketler, bu seçeneğin özel, yönetilen bir DDoS hizmetine kıyasla eksikliklerinin farkında olmalıdır.
İlk olarak, güvenlik bir CDN sağlayıcısının birincil odak noktası değildir. Onun temel işi içerik ve uygulama teslimidir. Saldırı araştırması, karşı önlemlerin geliştirilmesi ve tehdit istihbaratı en iyi olasılıkla ikinci planda kalan konulardır. Ayrıca, CDN sağlayıcıları saldırıların niteliğini araştırma, analiz etme ve anlamanın yanı sıra güvenliği destekleyecek bilinçli önerilerde bulunmak için yerleşik bir uzmanlığa sahip olmayabilir.
Bir CDN'nin ilk koruma önceliğinin kendi barındırdığı hizmetler olması anlaşılabilir bir durumdur. Son günlerde giderek daha fazla görülen kuvvetli ve çok büyük bir saldırı durumunda CDN, müşterilerinin tüm varlıklarını koruma kapasitesine sahip olmayabilir ve bazılarını savunmasız halde bırakmak zorunda kalır. Otomatik CDN karşı önlemlerinin de zaman zaman güvenli trafiği engellediği bilinmektedir. Ayrıca, CDN etki azaltma stratejileri, statik filtrelerden ve web uygulaması güvenlik duvarlarından (WAF) sıklıkla yararlandığı için, bulut tabanlı hizmetleri koruma esnekliğine ve istihbaratına sahip olmayabilir.
"Her zaman açık", her zaman iyi değildir
CDN'ler "her zaman açık" koruma sağlar; bu özellik kulağa hoş gelse de yakından incelendiğinde bazı sorunlar oluşturur. "Her zaman açık" iki anlama gelebilir: Trafiğin tıkanıklığı etkin bir şekilde araştıran ve otomatik olarak tetikleyen azaltma sistemlerinden sürekli olarak geçtiği ("her zaman azaltılan") veya olası saldırıları tespit etmek ve talep üzerine azaltma eylemlerini etkinleştirmek amacıyla trafiğin yalnızca izlenip pasif bir şekilde incelendiği ("her zaman izlenen"). Bu ikisi arasındaki farkın ve sağlayıcının hangisini sunduğunun anlaşılması önemlidir.
"Her zaman azaltılan" özellikteyse, maksimum saldırı azaltma ile güvenli trafiğe minimum etki arasındaki dengeyi değerlendirmeniz gerekir. Her zaman açık azaltmanın tek olası tamamlayıcı zararı hatalı pozitifler değildir. Hizmetler, gereksiz trafik incelemesi nedeniyle gecikebilir. "Her zaman izlenen" özellikteyse, saldırı algılama ilkeleri ve tepki süreleri karşısında görünürlüğü kaybetme riskiyle karşılaşırsınız. Gereksiz azaltmaları önleyebilirsiniz, ancak diğer yandan önemli saldırı göstergelerini kaçırabilirsiniz. Ayrıca, hacimsel saldırıları algılamak için tasarlanmış her zaman açık bir çözümün, ölçeği daha küçük olan uygulama katmanı saldırılarını kaçırma olasılığı yüksektir.
"Her zaman açık" koruma modelleri, tüm müşteriler için normal işlemleri korurken DDoS saldırılarını azaltmak için karmaşık trafik dengelemesi gerektirir. Son zamanlarda gözlemlenen büyük ölçekli saldırılar düşünüldüğünde bu önemlidir ve saldırıya uğramayan müşterilerde azaltma etkisine neden olabilir ya da saldırıya uğrayan müşterilerin toplam CDN kapasitesinin alt kümelerine ayrılması ile sonuçlanabilir. Müşteriler, her zaman açık sağlayıcının bazı müşterilere yönelik saldırıları, diğer müşterileri etkilemeden azaltmaya yönelik ölçeklenebilir mimariye sahip olup olmadığını dikkatlice değerlendirmelidir.
Karma çözüm
En iyi DDoS koruma uygulaması olarak karma güvenlik çözümlerini işaret eden sektör analist ve uzmanlarının sayısı giderek artmaktadır. Karma bir strateji; her zaman açık bir yerinde algılama ve azaltma sistemini, talep üzerine bulut tabanlı etki azaltma özellikleri ile bir araya getirir. Çoğu saldırı hala yerel olarak algılanamayacak ve azaltılamayacak kadar küçüktür. Ayrıca, yerel bir cihaz, uygulama trafiğini bir CDN çözümünden daha iyi tanır ve bu nedenle trafik modellerindeki anormallikleri daha iyi algılayabilir. Bulut tabanlı azaltma, yalnızca bir saldırı yerinde birimin kapasitesini belirgin biçimde aştığında otomatik olarak tetiklenir. Buna uygun olarak, bulut bileşeninin gerçek saldırılarla mücadele etmek için "her zaman açık" olması, maliyet tasarrufu yapması ve kapasiteyi koruması için bir neden yoktur.
Maliyet, CDN DDoS sağlayıcıları için temel faktörlerden biri olabilir. Ancak, karma bir çözüm şaşırtıcı oranda ekonomik olabilir. Sanallaştırma teknolojisi, pahalı donanımların yerini alabilir. Karma bir çözüm, tam yönetilen bir hizmet olarak dağıtılıp DDoS uzmanları tarafından desteklendiğinde ise maliyetler şirket içi BT ayak izinin ve güvenlik personeli gereksinimlerinin azalmasıyla dengelenebilir.
Son olarak, CDN çözümü tipik olarak büyük oranda otomasyondan yararlanır. Günümüzde saldırganlar kurnaz ve yaratıcıdır. Otomatik algılama ve etki azaltma özellikleri mutlaka gerekli olsa da, saldırıların engellenmesi için aynı zamanda kötü amaçlı saldırganlardan daha iyi ve akıllıca düşünebilmeyi sağlayan deneyim ve eğitime sahip bir ekip gerekir. Güçlü bir tehdit istihbaratı ağı ve kapsamlı bir araştırma programı, karma teknoloji çözümünün etkinliğini birkaç kat artırır; güvenliğin ikincil öneme sahip olduğu tipik bir CDN sağlayıcısına göre özel bir DDoS güvenlik uzmanında bulunma olasılığının daha yüksek olduğu güçlü yönler artar.
Tuna Taktak
Arbor Networks Türkiye
