DDoS Mitigation: On-Premise oder in der Cloud?

Auf der Suche nach einer geeigneten Strategie für das Thema „DDoS Schutz des eigenen Unternehmens“ stehen IT-Entscheider oft vor einem komplexen Thema. Dabei muss neben der Einschätzung des Gefährdungspotenzials eben auch bewertet werden, welche Angriffsvektoren beachtet werden müssen. Ebenso steht dabei im Fokus welches Service-Level-Agreement dabei erfüllt werden soll. Hierbei kommt irgendwann unweigerlich die Überlegung, ob es sinnvoll ist in eine On-Premise Lösung zu investieren oder das Thema „DDoS Mitigation“ in eine Cloud zu verlagern.

Schutz der Netzwerkinfrastruktur

Grundsätzlich erscheint ein Cloud-Ansatz hier als die sinnvollere Möglichkeit.
Die On-Premise Lösungen der bekannten Network-Security Hersteller werden meist zwischen Internetanschluss und den Perimeter-Security Komponenten wie Firewall, VPN-Gateway oder Session-Border-Controller platziert, um genau diese Komponenten der Netzwerkinfrastruktur vor Angriffen zu schützen. Gerade bei volumenstarken Angriffen ist jedoch der Internetanschluss oft selbst das schwächste Glied in der Kette. Dieser wird von dem Angriff bereits überlastet – bevor die Daten überhaupt die On-Premise DDoS Appliance erreichen. Deshalb bieten viele Hersteller von On-Premise Produkten mittlerweile Hybridlösungen mit einer Cloud-Komponente an, die genau diesen Aspekt aufgreifen.

Rein cloudbasierte Ansätze verfolgen die Strategie den Traffic durch eine weltweite Verteilung von Rechenzentren, den sogenannten „Scrub-Centren“, schon möglichst früh an der Quelle abzufangen, diesen zu bereinigen und als Clean Traffic an den Kunden auszuliefern. Durch weltweite Platzierungen in der Nähe großer Internetknoten können DDoS Cloud-Provider sehr effiziente und leistungsstarke Filterlösungen aufbauen, welche die Leistung von On-Premise Lösungen weitaus überschreiten.

Damit solch ein Cloud-Dienst auch möglichst effizient in den Internet-Datenstrom des eigenen Unternehmens platziert werden kann, müssen diverse Anforderungen erfüllt werden. Ein Kernaspekt ist die direkte Teilnahme am globalen BGP-Routing des Internets.

Im Falle eines Angriffes muss der DDOS-Cloud Provider in der Lage sein den Traffic des Unternehmensnetzes zu verarbeiten. Dies funktioniert grundsätzlich nur, wenn das zu schützende Unternehmen auch einen global routingfähigen IPv4 Adressblock in der Größe /24 mit mindestens 254 Adressen besitzt und mittels eines speziellen IP-Transit Netzproviders selbst am BGP Routing des Internets teilnimmt.

Wandel der PI-Adressen 

Bis zum Jahr 2012 war es für ein Unternehmen möglich bei der Internet Verwaltungsgesellschaft „RIPE NCC“ sogenannte „PI-Adressen“ zu beantragen, die providerunabhängig genutzt werden konnten. Seit 2013 ist dies nur noch für registrierte Internet-Provider möglich. Am 25.November 2019 wurden die letzten frei verfügbaren IPv4 Adressen vergeben. Seither sind diese Adressen nur noch über den freien Handel käuflich zu erwerben.

Wie schafft es ein Unternehmen ohne eigene IPv4 Adresskreise oder entsprechendes BGP-Routing KnowHow einen Cloud-DDoS Dienst zu nutzen?

NETHINKS hat mit dem langjährigen Partner „Link11“ eine Lösung geschaffen, die dem Kunden eine komplett in Deutschland produzierte DDoS-Cloud zur Verfügung stellt. Diese lässt sich ohne diese technischen Abhängigkeiten nutzen.
Kunden die beispielsweise einen NT/Connect Internetanschluss oder ein vergleichbares Managed-WAN Produkt beziehen, haben die Möglichkeit innerhalb weniger Tage den DDoS Service von Link11 transparent auf ihren Anschluss integrieren zu lassen. Der NETHINKS Kunde muss somit nicht in komplexe On-Premise DDoS Appliances investieren, diese selbst betreiben oder sich mit BGP-Routing auseinandersetzen, sondern nutzt den komfortablen Cloud-Service von Link11 im Rahmen des NETHINKS Internet-Access. Dieser Dienst ist bereits ab einer einzelnen zu schützenden IP Adresse buchbar.

Gerne beantwortet unser Vertrieb Ihre Fragen rund um dieses Thema.