Au cours des dernières années, l’évolution de l’architecture des réseaux des fournisseurs de services Internet a entraîné une augmentation des investissements dans les infrastructures de contenu et de services, ainsi que dans l’échange de trafic distribué, à la périphérie du client.
L’année dernière, ce phénomène semble avoir pris un nouvel aspect, avec des centres de données « en périphérie » planifiés et déployés par de nombreux opérateurs de réseaux filaires. Nous avons tous entendu parler du MEC (Multi-Access Edge Cloud) qui permet de nouveaux services dans la téléphonie mobile 5G, avec un accès à faible latence aux applications et aux services pour les utilisateurs 5G, mais les FAI filaires – dans certains cas – sont déjà là.
La forme du trafic dans les réseaux des FAI est en train de changer (encore), et ce qui est évident, c’est qu’en 2021, avec plus d’infrastructures critiques distribuées à la périphérie du réseau, plutôt que dans des centres de données centraux, nous devrons faire plus attention aux menaces ciblant cette surface de menace en expansion.
De nouvelles opportunités à la périphérie
Il y a dix ans, les réseaux des FAI étaient hiérarchisés, avec des routeurs de peering, de cœur et de périphérie fournissant des couches de connectivité et un flux de trafic nord-sud prédominant, les yeux et les entreprises consommant du contenu aspiré par des connexions centralisées de peering et de transit. Cette situation a changé : les réseaux sont devenus beaucoup plus maillés, les routeurs sont devenus polyvalents et le trafic circule dans tous les sens, les caches de contenu et le peering étant de plus en plus distribués.
Cette évolution est due à la croissance du volume de trafic des services OTT, en particulier de la vidéo, qui oblige les FAI à acquérir ou à mettre en cache le contenu le plus près possible des consommateurs, afin de réduire les coûts et d’améliorer la qualité du service. Ce n’est pas une nouveauté, mais cela a changé la façon dont les investissements dans les réseaux sont réalisés – avec une concentration beaucoup plus importante « à la périphérie ».
Ce qui est nouveau, c’est que l’infrastructure de cache distribuée mentionnée ci-dessus est maintenant rejointe par d’autres infrastructures de services à valeur ajoutée, par exemple l’infrastructure de jeux en nuage comme xCloud de Microsoft et Google Stadia, les facilitateurs de services comme DNS et AAA, et le noyau de paquets 5G. Cette nouvelle infrastructure est déployée au sein de nouveaux centres de données définis par logiciel ou d’extensions de l’infrastructure du nuage public, déployée à proximité du client dans les réseaux des FAI.
Ces nouveaux environnements sont des racks de calcul générique connectés à un environnement SDN, où tous les services et applications sont virtualisés ou conteneurisés, et entièrement orchestrés. Ces nouveaux environnements permettent d’offrir de nouveaux services et une plus grande efficacité, ce qui permet aux FAI d’ouvrir de nouvelles possibilités de croissance des revenus et de réduction des coûts opérationnels et d’infrastructure.
Le risque de la périphérie et une nouvelle approche de la sécurisation des réseaux
Cependant, comme pour toute nouvelle opportunité, il existe un risque. Les FAI ont l’habitude de défendre la disponibilité de leurs réseaux, de leurs services et de leurs clients contre les attaques DDoS à l’aide de capacités d’atténuation semi-centralisées, généralement déployées sur les principaux sites d’échange de trafic.
Étant donné que l’investissement dans la capacité et l’infrastructure de service se situe désormais à la périphérie, le backhauling du trafic d’attaque potentiel sur le réseau n’est plus souhaitable ou pratique. Il est donc nécessaire d’atténuer les menaces de manière plus distribuée « à la périphérie », en bloquant le trafic d’attaque à son point d’entrée, qu’il provienne d’un homologue, d’un client ou d’une connexion au cloud public, qui sont tous des sources d’attaque courantes.
C’est un grand changement, et pour ne rien arranger, le paysage des menaces DDoS a également évolué ; les attaques sont devenues plus fréquentes – en hausse de 15 % en 2020 – plus éphémères et plus complexes – les attaques comprenant 15 vecteurs d’attaque ou plus ayant augmenté de 2851 % depuis 2017.
Et, bien sûr, il y a le risque permanent que des appareils IoT de toutes formes et tailles soient subsumés dans des botnets et utilisés pour lancer des attaques DDoS.
Les trois principes clés de la sécurité réseau en 2021
Tout ceci entraîne une nouvelle série d’exigences de la part des FAI pour leurs défenses DDoS, avec l’automatisation, l’orchestration et l’intégration comme capacités essentielles, si les FAI veulent équilibrer les risques et les bénéfices :
- Automatisation : pour gérer l’atténuation d’attaques plus sophistiquées sans augmenter les frais opérationnels ; pour accélérer la réponse, car l’Internet est désormais considéré comme un « service public » par beaucoup ; et pour permettre de nouveaux types de services de protection DDoS à valeur ajoutée à plus grande échelle, générant des revenus indispensables.
- Orchestration : pour rassembler et gérer les capacités d’atténuation distribuées à la périphérie du réseau et au-delà, afin de protéger efficacement les environnements virtualisés et conteneurisés plus fragiles contre toute attaque.
- Intégration : pour combiner au mieux les capacités d’atténuation intelligentes et d’infrastructure à la périphérie du réseau, dans des environnements multifournisseurs complexes.
Les solutions existantes doivent évoluer pour répondre à ces nouvelles exigences, et nous devons nous rappeler qu’il y a peu de points fixes dans ce domaine, les nouvelles technologies, l’évolution des pratiques de travail et les changements majeurs dans le trafic étant désormais la norme.
Le fait de prendre soin de la périphérie du réseau du FAI, en gérant les menaces telles que les DDoS de manière rapide et rentable, sera une composante essentielle du succès du FAI dans la fourniture de services de nouvelle génération en 2021.