Julien SIMON, profile picture
Téléchargé parJulien SIMON
PDF, PPTX1,307 vues

Bonnes pratiques anti-DDOS

Le document présente des informations sur les attaques DDoS, leurs types et les meilleures pratiques de résilience à mettre en œuvre sur AWS. Il aborde également les services AWS disponibles pour se protéger contre ces attaques et souligne l'importance de surveiller le trafic et d'adapter l'architecture des applications. Enfin, il met en avant des outils comme AWS Shield et WAF pour une protection renforcée.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
© 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Bonnes pratiques anti-DDoS Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon
Qu’est-ce que le DDoS ? Distributed Denial Of Service
Les attaques sont plus fréquentes et plus massives
45% $40k  58% des organisations ont été victimes d'une attaque DDoS coût horaire moyen d'une attaque DDoS des attaques durent 30 minutes ou moins Source : Imperva What DDoS Attacks Really Cost Businesses (n=270) Source : Imperva Global DDoS Threat Landscape Q2 2015
Ce que nos clients nous demandent AWS me protège t-il contre les attaques DDoS? Quid des très grosses attaques ? Comment savoir si je suis attaqué ? AWS me protège t-il des attaques applicatives ? Scaler face à une attaque DDoS coûte cher.. Je veux parler à des experts DDoS
Agenda Types d'attaques DDoS Difficultés à gérer les attaques DDoS Bonnes pratiques de résilience Services AWS utiles contre le DDoS Questions et réponses
Types d’attaques DDoS
Types d’attaques DDoS
Types d’attaques DDoS L3 : attaques volumétriques Encombrer les réseaux en les inondant de plus de trafic qu’ils ne peuvent gérer (exemple: attaques par amplification)
Attaque volumétrique par amplification DNS
Types d’attaques DDoS L4 : attaques par épuisement de ressources Exploiter les protocoles pour stresser les firewalls, les load balancers, etc. (exemple: TCP Syn Flood)
Types d’attaques DDoS L7 : attaques applicatives Utiliser des requêtes malicieuses pour contourner la mitigation et épuiser les ressources de l’application (exemple : HTTP GET, DNS flood)
Attaques contre une application web (niveau 7) Serveur WebPirate(s) GET Flood GET HTTP « Slowloris » GET GET GET GET GET G - E - T https://en.wikipedia.org/wiki/Slowloris_(computer_security)
Typologies des attaques DDoS 65% volumétriques 17% épuisement 18% applications
Difficulté à gérer les attaques DDoS
Difficultés à mettre en place la protection# Configuration # complexe Capacity planning ! de la bande # passante Modification de l’architecture # de l’application Coût
Difficultés à activer la protection Besoin d’impliquer l’opérateur Reroutage du trafic vers une destination de nettoyage, potentiellement avec un augmentation de latence Le temps, c’est de l’argent ! Traditional Datacenter
Bonne pratiques de résilience
Livre blanc : bonnes pratiques pour la résilience DDoS https://d0.awsstatic.com/ whitepapers/ DDoS_White_Paper_June2015.pdf Mis à jour en Juin 2016. Ce sont aussi des bonnes pratiques de haute disponibilité et de performance. Lecture fortement conseillée J
Architecture résiliente DDoS
Quelques bonnes pratiques Réduisez la surface d'attaque Préparez la mise à l'échelle pour absorber l'attaque Etudiez le comportement de votre plate-forme Surveillez vos flux VPC Utilisez les services gérés pour contrer les attaques en amont
Réduisez la surface d'attaque Concevez votre application en tenant compte de la surface d'attaque potentielle •  Réduisez le nombre de points d'entrée par Internet •  Séparez le trafic et l’infra # des différents services •  Autorisez explicitement les utilisateurs et le trafic Mécanismes pour réduire la surface d'attaque •  Application Load Balancers •  Instances distinctes dans des sous-réseaux différents •  Adresses IP élastiques (réassignables et non contiguës) •  Security Groups, ACL réseau https://aws.amazon.com/fr/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/
Préparez la mise à l'échelle pour absorber l'attaque Disperser l'attaque sur une zone plus étendue Obliger les attaquants à déployer beaucoup plus de ressources pour faire monter l'attaque d'un cran Vous laisser le temps d'analyser l'attaque DDoS et d'y répondre Fournir une couche supplémentaire de redondance pour les autres scénarios de défaillance
Préparez la mise à l'échelle pour absorber l'attaque Activer Enhanced Networking sur EC2 Utiliser Application Load Balancing et Auto Scaling Déployer plusieurs points de présence # à l'aide d'Amazon Cloud Front Utiliser Amazon  Route 53
Etudiez le comportement normal Comprenez et utilisez comme référence les niveaux d'utilisation attendus Utilisez ces données pour identifier les niveaux ou comportements anormaux Détectez les attaquants qui scrutent ou testent votre application# Faites des tests de charge et corrigez les points chauds
Métriques CloudWatch à surveiller Thème Métrique Description Auto Scaling GroupMaxSize Taille maximale du groupe Auto Scaling. Facturation AWS EstimatedCharges Frais estimés pour votre utilisation des services AWS. Amazon CloudFront Requêtes Nombre de demandes pour l'ensemble des requêtes HTTP/S. Amazon CloudFront TotalErrorRate Pourcentage de toutes les demandes pour lesquelles le code d'état HTTP est 4xx ou 5xx. Amazon EC2 CPUUtilization Pourcentage d'unités de calcul EC2 allouées actuellement utilisées. Amazon EC2 NetworkIn Nombre d'octets reçus par l'instance sur toutes les interfaces réseau. Amazon EC2 StatusCheckFailed Combinaison de StatusCheckFailed_Instance et StatusCheckFailed_System qui établit si l'une ou l'autre des vérifications de l'état a échoué. ELB RequestCount Nombre de demandes terminées qui ont été reçues et acheminées vers les instances enregistrées. ELB Latence Temps écoulé, en secondes, entre le moment où la demande quitte l'équilibreur de charge et où elle reçoit une réponse. ELB HTTPCode_ELB_4xx HTTPCode_ELB_5xx Nombre de codes d'erreur HTTP 4XX ou 5XX générés par l'équilibreur de charge. ELB BackendConnectionErrors Nombre de connexions ayant échoué. ELB SpilloverCount Nombre de demandes qui ont été rejetées en raison de la file d'attente qui était pleine. Amazon Route 53 HealthCheckStatus Etat du point de terminaison de la vérification de l'état.
Surveillez vos flux VPC https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/ https://aws.amazon.com/blogs/aws/cloudwatch-logs-subscription-consumer-elasticsearch-kibana-dashboards/
Services AWS utiles contre le DDoS
Utilisez les services gérés en amont de votre plate-forme •  Amazon CloudFront •  Amazon API Gateway •  AWS WAF •  AWS Shield
Amazon CloudFront •  68 points de présence dans le monde •  Servez votre contenu statique et dynamique au plus près de vos utilisateurs •  Compliquez la tâche des attaquants en les éloignant de votre infrastructure AWS https://aws.amazon.com/cloudfront/
Amazon API Gateway •  API Gateway est un service géré qui vous permet de déployer des API REST •  Il supporte les opérations suivantes : •  Authentification de l'utilisateur •  Limitations des demandes (throttling) •  Mise en cache des réponses •  Ces opérations vous permettent de protéger les ressources situées en aval (notamment les instances EC2) https://aws.amazon.com/apigateway/
Trafic vers Amazon API Gateway Internet Applications mobiles Sites Web Services API Gateway AWS Lambda AWS Cache API Gateway Amazon EC2 AWS Elastic Beanstalk Tout autre point de terminaison public Surveillance par Amazon CloudWatch
AWS Web Application Firewall (WAF) Filtrage du trafic web # à l’aide de règles Blocage des requêtes malicieuses Monitoring •  WAF vous permet de bloquer le trafic web suspect ou indésirable •  Plusieurs modèles de règles pré-définies (blocage d’IP, injection SQL, etc.) •  WAF est intégré avec CloudFront et Application Load Balancer https://aws.amazon.com/waf/
AWS WAF avec Application Load Balancer Application Load BalancerAWS WAF Utilisateurs Attaquants X https://aws.amazon.com/fr/about-aws/whats-new/2016/12/AWS-WAF-now-available-on-Application-Load-Balancer/
Protégez vos ressources avec un WAF tiers# Architecture « WAF sandwich »
Quelques solutions partenaires Consultez la section Sécurité d'AWS Marketplace pour plus d'informations https://aws.amazon.com/marketplace
AWS Shield Protection Standard Protection Avancée Disponible pour TOUS les clients AWS, sans aucun coût supplémentaire Service payant proposant des fonctionnalités et des protections supplémentaires
AWS Shield Standard Protection couches 3/4 ü Detection & mitigation automatiques ü Protection contre les attaques les plus courantes (SYN/UDP Floods, attaques par réflexion, etc.) ü Intégré aux services AWS
Ajoutez AWS WAF pour une protection applicative Protection couches 3/4 ü Detection & mitigation automatiques ü Protection contre les attaques les plus courantes (SYN/UDP Floods, attaques par réflexion, etc.) ü Intégré aux services AWS Protection couche 7 ü AWS WAF ü Self-service & paiement à l’usage
AWS Shield Advanced Application Load Balancer Elastic Load Balancer Amazon CloudFront Amazon Route 53 Disponible sur…
AWS Shield Advanced Disponible dans les régions suivantes US East (N. Virginia) us-east-1 US West (Oregon) us-west-2 EU (Ireland) eu-west-1 Asia Pacific (Tokyo) ap-northeast-1
AWS Shield Advanced Monitoring & détection permanents Protection avancée L3/L4/L7 Notification et reporting # des attaques Accès 24/7 à la DoS Response Team Protection de votre facture AWS
•  Pas d’engagement •  Pas de coût additionnel AWS Shield : tarification •  Abonnement d’un an •  Coût fixe mensuel : $3,000 •  Coût de transfert de données $ par GB CloudFront ELB Premiers 100 To $0.025 0.050 400 To suivants $0.020 0.040 500 To suivants $0.015 0.030 4 Po suivants $0.010 Contactez nous Au delà de 5 Po Contactez nous Contactez nous Protection Standard Protection Avancée
Se protéger contre les attaques DDoS les plus courantes. Accéder à des outils et des bonnes pratiques vous permettant de construire une architecture résiliente. AWS Shield: comment choisir Pour une protection accrue contre des attaques plus puissantes et plus sophistiquées, y compris au niveau 7 (AWS WAF inclus). Visibilité, reporting, protection de votre facture, accès aux experts DDoS. Protection Standard Protection Avancée
N’hésitez pas à nous contacter ! Equipe de compte •  Votre gestionnaire de compte défend votre cause •  Les architectes de solutions possèdent une grande expertise Niveaux de support recommandés •  Professionnel – Support par téléphone/chat/# e-mail, délai de réponse d'1 heure •  Entreprise – Délai de réponse de 15 min, gestionnaire technique de compte dédié, notification proactive
Ressources complémentaires Blog sécurité AWS https://aws.amazon.com/blogs/security/ Livre blanc : Bonnes pratiques pour la résilience DDoS https://d0.awsstatic.com/whitepapers/DDoS_White_Paper_June2015.pdf AWS re:Invent 2016: NEW LAUNCH! AWS Shield—A Managed DDoS Protection Service (SAC322) https://www.youtube.com/watch?v=R06GDQBbtRU AWS re:Invent 2016: Mitigating DDoS Attacks on AWS: Five Vectors and Four Use Cases (SEC310) https://www.youtube.com/watch?v=w9fSW6qMktA
Merci ! Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon Lundi •  Bonnes pratiques d'authentification avec AWS IAM •  Chiffrez vos données avec AWS Mardi •  Fireside chat avec Matthieu Bouthors et Julien Simon •  Re:Invent update 1 Mercredi •  Deep dive : Amazon Virtual Private Cloud •  Bonnes pratiques anti-DDoS Jeudi •  Re:Invent update 2 •  Gérez les incidents de sécurité avec AWS CloudTrail Vendredi •  Automatisez vos audits de sécurité avec Amazon Inspector •  Bonnes pratiques de sécurité sur AWS

Contenu connexe

PDF
Alphorm.com Formation Sécurité des réseaux avec Cisco
parAlphorm
 
PDF
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
parAlphorm
 
PDF
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
parAlphorm
 
PDF
Alphorm.com Formation Hacking et Sécurité , avancé
parAlphorm
 
PPT
F5 ltm administering big ip v11
parAmine Haddanou
 
PDF
The ATT&CK Philharmonic
parMITRE ATT&CK
 
PDF
Nozomi Networks Q1_2018 Company Introduction
parNozomi Networks
 
PDF
6.5.1.3 packet tracer layer 2 vlan security instructor
parSalem Trabelsi
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
parAlphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
parAlphorm
 
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
parAlphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
parAlphorm
 
F5 ltm administering big ip v11
parAmine Haddanou
 
The ATT&CK Philharmonic
parMITRE ATT&CK
 
Nozomi Networks Q1_2018 Company Introduction
parNozomi Networks
 
6.5.1.3 packet tracer layer 2 vlan security instructor
parSalem Trabelsi
 

Tendances

PPTX
Mise en place d’un serveur radius
parJeff Hermann Ela Aba
 
PDF
Cours sécurité 2_asr
parTECOS
 
PPTX
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
parPapa Cheikh Cisse
 
PPT
Infrastructure - Monitoring - Cacti
parFrédéric FAURE
 
PPTX
Online Gaming Cyber security and Threat Model
parEoin Keary
 
PPTX
Fortinet Tanıtım
parGüney Bilişim
 
PDF
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
PDF
Pitch Deck to SMB End Users | Kaseya Partner Program VAR Onboarding Tool
parDavid Castro
 
PPTX
Les Vpn
parmedalaa
 
PPT
Etude et mise en place d’un VPN
parCharif Khrichfa
 
PDF
Étude et mise en place de ftp sécurisé
pariferis
 
PDF
Mise en place vidéoconférence + chat avec Openfire
parAbdou Lahad SYLLA
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PDF
tutoriel sur la mise en place d'une politique de sécurité informatique
parManuel Cédric EBODE MBALLA
 
DOCX
Rapport mise en place d'un sevrer VPN .
parMouad Lousimi
 
DOC
mis en place dun vpn site à site
parManuel Cédric EBODE MBALLA
 
PDF
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
PDF
Livre Blanc Cloud Computing / Sécurité
parSyntec Numérique
 
PDF
Inter VLAN Routing
parNetwax Lab
 
DOCX
Type of DDoS attacks with hping3 example
parHimani Singh
 
Mise en place d’un serveur radius
parJeff Hermann Ela Aba
 
Cours sécurité 2_asr
parTECOS
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
parPapa Cheikh Cisse
 
Infrastructure - Monitoring - Cacti
parFrédéric FAURE
 
Online Gaming Cyber security and Threat Model
parEoin Keary
 
Fortinet Tanıtım
parGüney Bilişim
 
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
Pitch Deck to SMB End Users | Kaseya Partner Program VAR Onboarding Tool
parDavid Castro
 
Les Vpn
parmedalaa
 
Etude et mise en place d’un VPN
parCharif Khrichfa
 
Étude et mise en place de ftp sécurisé
pariferis
 
Mise en place vidéoconférence + chat avec Openfire
parAbdou Lahad SYLLA
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
tutoriel sur la mise en place d'une politique de sécurité informatique
parManuel Cédric EBODE MBALLA
 
Rapport mise en place d'un sevrer VPN .
parMouad Lousimi
 
mis en place dun vpn site à site
parManuel Cédric EBODE MBALLA
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
Livre Blanc Cloud Computing / Sécurité
parSyntec Numérique
 
Inter VLAN Routing
parNetwax Lab
 
Type of DDoS attacks with hping3 example
parHimani Singh
 

En vedette

PDF
Amazon Inspector
parJulien SIMON
 
PDF
Deep Dive AWS CloudTrail
parJulien SIMON
 
PDF
The AWS DevOps combo (January 2017)
parJulien SIMON
 
PDF
Bonnes pratiques pour la gestion des opérations de sécurité AWS
parJulien SIMON
 
PDF
An introduction to serverless architectures (February 2017)
parJulien SIMON
 
PDF
Continuous Deployment with Amazon Web Services
parJulien SIMON
 
PDF
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
parJulien SIMON
 
PDF
Big Data answers in seconds with Amazon Athena
parJulien SIMON
 
PDF
Writing drills
partamanmidah
 
PDF
Amazon AI (February 2017)
parJulien SIMON
 
PDF
Authentification et autorisation d'accès avec AWS IAM
parJulien SIMON
 
PDF
Developing and deploying serverless applications (February 2017)
parJulien SIMON
 
PDF
AWS re:Invent 2016 recap (part 2)
parJulien SIMON
 
PDF
Devops with Amazon Web Services (January 2017)
parJulien SIMON
 
PDF
Building Serverless APIs (January 2017)
parJulien SIMON
 
PDF
Infrastructure as code with Amazon Web Services
parJulien SIMON
 
PDF
Deep Dive: Virtual Private Cloud
parJulien SIMON
 
PDF
Viadeo - Cost Driven Development
parJulien SIMON
 
PDF
Stranger Danger: Securing Third Party Components (Tech2020)
parGuy Podjarny
 
PDF
IoT: it's all about Data!
parJulien SIMON
 
Amazon Inspector
parJulien SIMON
 
Deep Dive AWS CloudTrail
parJulien SIMON
 
The AWS DevOps combo (January 2017)
parJulien SIMON
 
Bonnes pratiques pour la gestion des opérations de sécurité AWS
parJulien SIMON
 
An introduction to serverless architectures (February 2017)
parJulien SIMON
 
Continuous Deployment with Amazon Web Services
parJulien SIMON
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
parJulien SIMON
 
Big Data answers in seconds with Amazon Athena
parJulien SIMON
 
Writing drills
partamanmidah
 
Amazon AI (February 2017)
parJulien SIMON
 
Authentification et autorisation d'accès avec AWS IAM
parJulien SIMON
 
Developing and deploying serverless applications (February 2017)
parJulien SIMON
 
AWS re:Invent 2016 recap (part 2)
parJulien SIMON
 
Devops with Amazon Web Services (January 2017)
parJulien SIMON
 
Building Serverless APIs (January 2017)
parJulien SIMON
 
Infrastructure as code with Amazon Web Services
parJulien SIMON
 
Deep Dive: Virtual Private Cloud
parJulien SIMON
 
Viadeo - Cost Driven Development
parJulien SIMON
 
Stranger Danger: Securing Third Party Components (Tech2020)
parGuy Podjarny
 
IoT: it's all about Data!
parJulien SIMON
 

Similaire à Bonnes pratiques anti-DDOS

PDF
Modèle de sécurité AWS
parJulien SIMON
 
PPTX
Interconnexion sécurisée de Sites Distants sur AWS.pptx
parkhouloudessafi1
 
PPTX
presentation de l'attaque de ddos(1).pptx
parwailwail5
 
PDF
DDoS, la nouvelle arme des hackers
pare-Xpert Solutions SA
 
PDF
Présentation evénement AWS - 13 oct 2015
parABC Systemes
 
PPTX
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
parNBS System
 
PPTX
Le Darwinisme Digital
parNBS System
 
PPTX
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
parNBS System
 
ODP
Sécurite Amazon Web Services
parAurélien Pelletier
 
PDF
La Duck Conf 2018 : "Stop à la résilience à la papa"
parOCTO Technology
 
PPTX
AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie d...
parJean-François LOMBARDO
 
PDF
Solutions linux ec2 surveillance
parSergio Loureiro
 
PDF
Surveillance Amazon EC2 infrastructure (french)
parSergio Loureiro
 
PPTX
Flowspec contre les attaques DDoS : l'expérience danoise
parPavel Odintsov
 
PDF
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
parIMS NETWORKS
 
Modèle de sécurité AWS
parJulien SIMON
 
Interconnexion sécurisée de Sites Distants sur AWS.pptx
parkhouloudessafi1
 
presentation de l'attaque de ddos(1).pptx
parwailwail5
 
DDoS, la nouvelle arme des hackers
pare-Xpert Solutions SA
 
Présentation evénement AWS - 13 oct 2015
parABC Systemes
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
parNBS System
 
Le Darwinisme Digital
parNBS System
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
parNBS System
 
Sécurite Amazon Web Services
parAurélien Pelletier
 
La Duck Conf 2018 : "Stop à la résilience à la papa"
parOCTO Technology
 
AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie d...
parJean-François LOMBARDO
 
Solutions linux ec2 surveillance
parSergio Loureiro
 
Surveillance Amazon EC2 infrastructure (french)
parSergio Loureiro
 
Flowspec contre les attaques DDoS : l'expérience danoise
parPavel Odintsov
 
2016 01-CYBLEX-première offre labellisée France Cybersecurity de protection a...
parIMS NETWORKS
 

Plus de Julien SIMON

PDF
Optimiser vos workloads AI/ML sur Amazon EC2 et AWS Graviton
parJulien SIMON
 
PDF
Trying to figure out MCP by actually building an app from scratch with open s...
parJulien SIMON
 
PDF
Julien Simon - Deep Dive - Accelerating Models with Better Attention Layers
parJulien SIMON
 
PDF
Implementing high-quality and cost-effiient AI applications with small langua...
parJulien SIMON
 
PDF
Julien Simon - Deep Dive - Optimizing LLM Inference
parJulien SIMON
 
PDF
deep_dive_multihead_latent_attention.pdf
parJulien SIMON
 
PDF
Arcee AI - building and working with small language models (06/25)
parJulien SIMON
 
PDF
Deep Dive: Parameter-Efficient Model Adaptation with LoRA and Spectrum
parJulien SIMON
 
PDF
Julien Simon - Deep Dive: Compiling Deep Learning Models
parJulien SIMON
 
PPTX
Building Machine Learning Models Automatically (June 2020)
parJulien SIMON
 
PDF
Building High-Quality Domain-Specific Models with Mergekit
parJulien SIMON
 
PDF
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
PDF
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
PDF
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
PDF
Building NLP applications with Transformers
parJulien SIMON
 
PDF
Julien Simon - Deep Dive - Model Merging
parJulien SIMON
 
PDF
Julien Simon - Deep Dive - Quantizing LLMs
parJulien SIMON
 
PDF
An introduction to computer vision with Hugging Face
parJulien SIMON
 
PDF
Deep Dive: Model Distillation with DistillKit
parJulien SIMON
 
PDF
Reinventing Deep Learning
 with Hugging Face Transformers
parJulien SIMON
 
Optimiser vos workloads AI/ML sur Amazon EC2 et AWS Graviton
parJulien SIMON
 
Trying to figure out MCP by actually building an app from scratch with open s...
parJulien SIMON
 
Julien Simon - Deep Dive - Accelerating Models with Better Attention Layers
parJulien SIMON
 
Implementing high-quality and cost-effiient AI applications with small langua...
parJulien SIMON
 
Julien Simon - Deep Dive - Optimizing LLM Inference
parJulien SIMON
 
deep_dive_multihead_latent_attention.pdf
parJulien SIMON
 
Arcee AI - building and working with small language models (06/25)
parJulien SIMON
 
Deep Dive: Parameter-Efficient Model Adaptation with LoRA and Spectrum
parJulien SIMON
 
Julien Simon - Deep Dive: Compiling Deep Learning Models
parJulien SIMON
 
Building Machine Learning Models Automatically (June 2020)
parJulien SIMON
 
Building High-Quality Domain-Specific Models with Mergekit
parJulien SIMON
 
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
Tailoring Small Language Models for Enterprise Use Cases
parJulien SIMON
 
Building NLP applications with Transformers
parJulien SIMON
 
Julien Simon - Deep Dive - Model Merging
parJulien SIMON
 
Julien Simon - Deep Dive - Quantizing LLMs
parJulien SIMON
 
An introduction to computer vision with Hugging Face
parJulien SIMON
 
Deep Dive: Model Distillation with DistillKit
parJulien SIMON
 
Reinventing Deep Learning
 with Hugging Face Transformers
parJulien SIMON
 

Bonnes pratiques anti-DDOS

  • 1.
    © 2015, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Bonnes pratiques anti-DDoS Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon
  • 2.
    Qu’est-ce que leDDoS ? Distributed Denial Of Service
  • 3.
    Les attaques sontplus fréquentes et plus massives
  • 4.
    45% $40k  58% desorganisations ont été victimes d'une attaque DDoS coût horaire moyen d'une attaque DDoS des attaques durent 30 minutes ou moins Source : Imperva What DDoS Attacks Really Cost Businesses (n=270) Source : Imperva Global DDoS Threat Landscape Q2 2015
  • 5.
    Ce que nosclients nous demandent AWS me protège t-il contre les attaques DDoS? Quid des très grosses attaques ? Comment savoir si je suis attaqué ? AWS me protège t-il des attaques applicatives ? Scaler face à une attaque DDoS coûte cher.. Je veux parler à des experts DDoS
  • 6.
    Agenda Types d'attaques DDoS Difficultés àgérer les attaques DDoS Bonnes pratiques de résilience Services AWS utiles contre le DDoS Questions et réponses
  • 7.
  • 8.
  • 9.
    Types d’attaques DDoS L3: attaques volumétriques Encombrer les réseaux en les inondant de plus de trafic qu’ils ne peuvent gérer (exemple: attaques par amplification)
  • 10.
    Attaque volumétrique paramplification DNS
  • 11.
    Types d’attaques DDoS L4: attaques par épuisement de ressources Exploiter les protocoles pour stresser les firewalls, les load balancers, etc. (exemple: TCP Syn Flood)
  • 12.
    Types d’attaques DDoS L7: attaques applicatives Utiliser des requêtes malicieuses pour contourner la mitigation et épuiser les ressources de l’application (exemple : HTTP GET, DNS flood)
  • 13.
    Attaques contre uneapplication web (niveau 7) Serveur WebPirate(s) GET Flood GET HTTP « Slowloris » GET GET GET GET GET G - E - T https://en.wikipedia.org/wiki/Slowloris_(computer_security)
  • 14.
    Typologies des attaquesDDoS 65% volumétriques 17% épuisement 18% applications
  • 15.
    Difficulté à gérerles attaques DDoS
  • 16.
    Difficultés à mettreen place la protection# Configuration # complexe Capacity planning ! de la bande # passante Modification de l’architecture # de l’application Coût
  • 17.
    Difficultés à activerla protection Besoin d’impliquer l’opérateur Reroutage du trafic vers une destination de nettoyage, potentiellement avec un augmentation de latence Le temps, c’est de l’argent ! Traditional Datacenter
  • 18.
    Bonne pratiques derésilience
  • 19.
    Livre blanc :bonnes pratiques pour la résilience DDoS https://d0.awsstatic.com/ whitepapers/ DDoS_White_Paper_June2015.pdf Mis à jour en Juin 2016. Ce sont aussi des bonnes pratiques de haute disponibilité et de performance. Lecture fortement conseillée J
  • 20.
  • 21.
    Quelques bonnes pratiques Réduisezla surface d'attaque Préparez la mise à l'échelle pour absorber l'attaque Etudiez le comportement de votre plate-forme Surveillez vos flux VPC Utilisez les services gérés pour contrer les attaques en amont
  • 22.
    Réduisez la surfaced'attaque Concevez votre application en tenant compte de la surface d'attaque potentielle •  Réduisez le nombre de points d'entrée par Internet •  Séparez le trafic et l’infra # des différents services •  Autorisez explicitement les utilisateurs et le trafic Mécanismes pour réduire la surface d'attaque •  Application Load Balancers •  Instances distinctes dans des sous-réseaux différents •  Adresses IP élastiques (réassignables et non contiguës) •  Security Groups, ACL réseau https://aws.amazon.com/fr/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/
  • 23.
    Préparez la miseà l'échelle pour absorber l'attaque Disperser l'attaque sur une zone plus étendue Obliger les attaquants à déployer beaucoup plus de ressources pour faire monter l'attaque d'un cran Vous laisser le temps d'analyser l'attaque DDoS et d'y répondre Fournir une couche supplémentaire de redondance pour les autres scénarios de défaillance
  • 24.
    Préparez la miseà l'échelle pour absorber l'attaque Activer Enhanced Networking sur EC2 Utiliser Application Load Balancing et Auto Scaling Déployer plusieurs points de présence # à l'aide d'Amazon Cloud Front Utiliser Amazon  Route 53
  • 25.
    Etudiez le comportementnormal Comprenez et utilisez comme référence les niveaux d'utilisation attendus Utilisez ces données pour identifier les niveaux ou comportements anormaux Détectez les attaquants qui scrutent ou testent votre application# Faites des tests de charge et corrigez les points chauds
  • 26.
    Métriques CloudWatch àsurveiller Thème Métrique Description Auto Scaling GroupMaxSize Taille maximale du groupe Auto Scaling. Facturation AWS EstimatedCharges Frais estimés pour votre utilisation des services AWS. Amazon CloudFront Requêtes Nombre de demandes pour l'ensemble des requêtes HTTP/S. Amazon CloudFront TotalErrorRate Pourcentage de toutes les demandes pour lesquelles le code d'état HTTP est 4xx ou 5xx. Amazon EC2 CPUUtilization Pourcentage d'unités de calcul EC2 allouées actuellement utilisées. Amazon EC2 NetworkIn Nombre d'octets reçus par l'instance sur toutes les interfaces réseau. Amazon EC2 StatusCheckFailed Combinaison de StatusCheckFailed_Instance et StatusCheckFailed_System qui établit si l'une ou l'autre des vérifications de l'état a échoué. ELB RequestCount Nombre de demandes terminées qui ont été reçues et acheminées vers les instances enregistrées. ELB Latence Temps écoulé, en secondes, entre le moment où la demande quitte l'équilibreur de charge et où elle reçoit une réponse. ELB HTTPCode_ELB_4xx HTTPCode_ELB_5xx Nombre de codes d'erreur HTTP 4XX ou 5XX générés par l'équilibreur de charge. ELB BackendConnectionErrors Nombre de connexions ayant échoué. ELB SpilloverCount Nombre de demandes qui ont été rejetées en raison de la file d'attente qui était pleine. Amazon Route 53 HealthCheckStatus Etat du point de terminaison de la vérification de l'état.
  • 27.
    Surveillez vos fluxVPC https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/ https://aws.amazon.com/blogs/aws/cloudwatch-logs-subscription-consumer-elasticsearch-kibana-dashboards/
  • 28.
    Services AWS utilescontre le DDoS
  • 29.
    Utilisez les servicesgérés en amont de votre plate-forme •  Amazon CloudFront •  Amazon API Gateway •  AWS WAF •  AWS Shield
  • 30.
    Amazon CloudFront •  68points de présence dans le monde •  Servez votre contenu statique et dynamique au plus près de vos utilisateurs •  Compliquez la tâche des attaquants en les éloignant de votre infrastructure AWS https://aws.amazon.com/cloudfront/
  • 31.
    Amazon API Gateway • API Gateway est un service géré qui vous permet de déployer des API REST •  Il supporte les opérations suivantes : •  Authentification de l'utilisateur •  Limitations des demandes (throttling) •  Mise en cache des réponses •  Ces opérations vous permettent de protéger les ressources situées en aval (notamment les instances EC2) https://aws.amazon.com/apigateway/
  • 32.
    Trafic vers AmazonAPI Gateway Internet Applications mobiles Sites Web Services API Gateway AWS Lambda AWS Cache API Gateway Amazon EC2 AWS Elastic Beanstalk Tout autre point de terminaison public Surveillance par Amazon CloudWatch
  • 33.
    AWS Web ApplicationFirewall (WAF) Filtrage du trafic web # à l’aide de règles Blocage des requêtes malicieuses Monitoring •  WAF vous permet de bloquer le trafic web suspect ou indésirable •  Plusieurs modèles de règles pré-définies (blocage d’IP, injection SQL, etc.) •  WAF est intégré avec CloudFront et Application Load Balancer https://aws.amazon.com/waf/
  • 34.
    AWS WAF avecApplication Load Balancer Application Load BalancerAWS WAF Utilisateurs Attaquants X https://aws.amazon.com/fr/about-aws/whats-new/2016/12/AWS-WAF-now-available-on-Application-Load-Balancer/
  • 35.
    Protégez vos ressourcesavec un WAF tiers# Architecture « WAF sandwich »
  • 36.
    Quelques solutions partenaires Consultezla section Sécurité d'AWS Marketplace pour plus d'informations https://aws.amazon.com/marketplace
  • 37.
    AWS Shield Protection Standard Protection Avancée Disponible pour TOUS les clients AWS, sans aucun coût supplémentaire Service payant proposant des fonctionnalités et des protections supplémentaires
  • 38.
    AWS Shield Standard Protectioncouches 3/4 ü Detection & mitigation automatiques ü Protection contre les attaques les plus courantes (SYN/UDP Floods, attaques par réflexion, etc.) ü Intégré aux services AWS
  • 39.
    Ajoutez AWS WAFpour une protection applicative Protection couches 3/4 ü Detection & mitigation automatiques ü Protection contre les attaques les plus courantes (SYN/UDP Floods, attaques par réflexion, etc.) ü Intégré aux services AWS Protection couche 7 ü AWS WAF ü Self-service & paiement à l’usage
  • 40.
    AWS Shield Advanced ApplicationLoad Balancer Elastic Load Balancer Amazon CloudFront Amazon Route 53 Disponible sur…
  • 41.
    AWS Shield Advanced Disponibledans les régions suivantes US East (N. Virginia) us-east-1 US West (Oregon) us-west-2 EU (Ireland) eu-west-1 Asia Pacific (Tokyo) ap-northeast-1
  • 42.
    AWS Shield Advanced Monitoring& détection permanents Protection avancée L3/L4/L7 Notification et reporting # des attaques Accès 24/7 à la DoS Response Team Protection de votre facture AWS
  • 43.
    •  Pas d’engagement • Pas de coût additionnel AWS Shield : tarification •  Abonnement d’un an •  Coût fixe mensuel : $3,000 •  Coût de transfert de données $ par GB CloudFront ELB Premiers 100 To $0.025 0.050 400 To suivants $0.020 0.040 500 To suivants $0.015 0.030 4 Po suivants $0.010 Contactez nous Au delà de 5 Po Contactez nous Contactez nous Protection Standard Protection Avancée
  • 44.
    Se protéger contreles attaques DDoS les plus courantes. Accéder à des outils et des bonnes pratiques vous permettant de construire une architecture résiliente. AWS Shield: comment choisir Pour une protection accrue contre des attaques plus puissantes et plus sophistiquées, y compris au niveau 7 (AWS WAF inclus). Visibilité, reporting, protection de votre facture, accès aux experts DDoS. Protection Standard Protection Avancée
  • 45.
    N’hésitez pas ànous contacter ! Equipe de compte •  Votre gestionnaire de compte défend votre cause •  Les architectes de solutions possèdent une grande expertise Niveaux de support recommandés •  Professionnel – Support par téléphone/chat/# e-mail, délai de réponse d'1 heure •  Entreprise – Délai de réponse de 15 min, gestionnaire technique de compte dédié, notification proactive
  • 46.
    Ressources complémentaires Blog sécuritéAWS https://aws.amazon.com/blogs/security/ Livre blanc : Bonnes pratiques pour la résilience DDoS https://d0.awsstatic.com/whitepapers/DDoS_White_Paper_June2015.pdf AWS re:Invent 2016: NEW LAUNCH! AWS Shield—A Managed DDoS Protection Service (SAC322) https://www.youtube.com/watch?v=R06GDQBbtRU AWS re:Invent 2016: Mitigating DDoS Attacks on AWS: Five Vectors and Four Use Cases (SEC310) https://www.youtube.com/watch?v=w9fSW6qMktA
  • 47.
    Merci ! Julien Simon PrincipalTechnical Evangelist, AWS julsimon@amazon.fr @julsimon Lundi •  Bonnes pratiques d'authentification avec AWS IAM •  Chiffrez vos données avec AWS Mardi •  Fireside chat avec Matthieu Bouthors et Julien Simon •  Re:Invent update 1 Mercredi •  Deep dive : Amazon Virtual Private Cloud •  Bonnes pratiques anti-DDoS Jeudi •  Re:Invent update 2 •  Gérez les incidents de sécurité avec AWS CloudTrail Vendredi •  Automatisez vos audits de sécurité avec Amazon Inspector •  Bonnes pratiques de sécurité sur AWS