Cloudflare reconnue comme « Leader » dans le cadre du rapport Forrester Wave: DDoS Mitigation Solutions (solutions d'atténuation des attaques DDoS)

Nous sommes ravis d'annoncer la désignation de Cloudflare en tant qu'entreprise leader par le rapport Forrester Wave^TM: DDoS Mitigation Solutions, Q1 2021 (solutions d'atténuation des attaques DDoS, premier trimestre 2021). Vous pouvez télécharger une copie gratuite du rapport ici.

D'après ce rapport rédigé par David Holmes, analyste principal de la sécurité et des risques pour Forrester, « Cloudflare assure une protection contre les attaques DDoS depuis la périphérie du réseau, et ce avec rapidité… » De même, les « clients de référence considèrent le réseau périphérique de Cloudflare comme un moyen convaincant de protéger et de déployer leurs applications ».

Une protection contre les attaques DDoS pour tous, totalement illimitée et sans surcoût lié à l'utilisation

Les origines de Cloudflare reposent sur l'idée de contribuer à bâtir un Internet meilleur, au sein duquel l'impact des attaques DDoS serait relégué au passé. Au cours de ces dix dernières années, nous n'avons pas ménagé nos efforts pour protéger les propriétés Internet de nos clients contre les attaques DDoS, quelles qu'en soient la nature ou l'ampleur. En 2017, nous avons annoncé la mise en libre disposition d'une protection anti-DDoS illimitée (intégrée à chaque service et offre Cloudflare, y compris l'offre gratuite) afin de nous assurer que chaque organisation puisse faire en sorte de rester protégée et disponible.

Grâce à nos systèmes automatisés de protection anti-DDoS, nous sommes en mesure de proposer gratuitement une protection, totalement illimitée et sans surcoût lié à l'utilisation, contre ce type d'attaques. Ces systèmes analysent en permanence des échantillons de trafic de manière asynchrone afin d'éviter toute incidence sur les performances. Ils analysent les couches 3 à 7 du modèle OSI à l'affût d'éventuelles attaques DDoS et examinent les paquets IP, les requêtes HTTP et les réponses HTTP à la recherche d'indices révélateurs. Lorsqu'une attaque est identifiée, le système génère une signature en temps réel en tant que règle d'atténuation temporaire. Afin d'optimiser la rentabilité de l'atténuation, cette règle est ensuite propagée vers l'emplacement idéal de notre réseau périphérique, à savoir la fonctionnalité eXpress Data Path (XDP) du noyau Linux, le programme iptables de l'espace utilisateur Linux ou le proxy inverse HTTP. Une stratégie d'atténuation s'avère rentable lorsqu'elle nous permet d'atténuer les attaques les plus volumineuses et les plus distribuées sans nuire aux performances.

Pour en savoir plus sur les systèmes de protection contre les attaques DDoS de Cloudflare, cliquez ici.

Des attaques DDoS en augmentation constante

Nous aimerions pouvoir parler des attaques DDoS au passé. Malheureusement, ce n'est pas le cas.

Au contraire, nous continuons d'assister chaque trimestre à l'augmentation de la fréquence, de la sophistication et de la distribution géographique des attaques DDoS, mais aussi de leur volume ou de leur ampleur. Consultez nos rapports de l'année dernière (premier trimestre, deuxième trimestre, troisième trimestre et quatrième trimestre 2020) et découvrez les tendances générales du trafic Internet ici sur Cloudflare Radar.

Au cours de l'année écoulée, Cloudflare a détecté et atténué automatiquement certaines des cyberattaques les plus importantes et, dans une certaine mesure, les plus créatives observées jusqu'ici. Face à des pirates de plus en plus audacieux et intelligents, les organisations cherchent des moyens de lutter contre ces types d'attaques sans nuire aux services qu'elles fournissent.

Les organisations sont victimes d'extorsion sous la menace d'attaques DDoS

En janvier de cette année, nous avons raconté de quelle manière nous avions aidé une entreprise figurant au classement Fortune Global 500 à rester protégée et à conserver sa présence en ligne, alors qu'elle était la cible d'une attaque DDoS avec demande de rançon. Cette entreprise ne fut pas la seule. En effet, au quatrième trimestre 2020, 17 % des clients de Cloudflare interrogés ont déclaré avoir reçu une demande de rançon ou une menace d'attaque DDoS. Ce chiffre est passé à 26 % au premier trimestre 2021, ce qui signifie qu'environ une personne interrogée sur quatre a signalé une menace avec demande de rançon, suivie d'une attaque DDoS sur l'infrastructure de son réseau.

Qu'elles soient visées par des attaques avec demande de rançon ou par des « cybervandales » amateurs, il est important pour les organisations de disposer d'un service de protection contre les attaques DDoS automatisé et actif en permanence ne nécessitant aucune intervention humaine manuelle dans les moments cruciaux. Nous sommes fiers de pouvoir garantir ce niveau de protection à nos clients.

Des améliorations constantes

Dans un contexte d'évolution constante des attaques et d'augmentation du nombre de clients utilisant nos services, Cloudflare n'a jamais cessé d'investir dans le développement de notre technologie afin de maintenir plusieurs longueurs d'avance sur les pirates informatiques. Nous avons réalisé des investissements considérables en vue de renforcer notre capacité d'atténuation, de perfectionner nos algorithmes de détection et de proposer de meilleures capacités d'analyse à nos clients. Notre objectif consiste à reléguer au passé l'impact des attaques DDoS pour tous les clients, tout comme le problème des courriers indésirables dans les années 90 fut lui aussi résolu.

L'année 2019 a vu le déploiement de notre système autonome de détection et d'atténuation des attaques DDoS, dosd. Intégralement défini par logiciel, ce composant de notre pile de mesures d'atténuation exploite la fonctionnalité eXpress Data Path (XDP) de Linux, en nous permettant de déployer rapidement et automatiquement des règles eBPF qui s'exécutent sur chaque paquet reçu pour inspection. Il nous permet ainsi d'atténuer les attaques les plus sophistiquées en moins de 3 secondes (en moyenne) à la périphérie du réseau et d'autres attaques courantes de manière instantanée. La solution commence par détecter certaines tendances discernables dans le trafic hostile, puis déploie rapidement des règles en toute autonomie afin d'éliminer les attaquants à la vitesse du réseau. Par ailleurs, comme il fonctionne de manière indépendante dans chaque datacenter, sans dépendre d'un datacenter centralisé, le service dosd améliore considérablement la résilience de notre réseau.

Si le système dosd se révèle très efficace pour atténuer les attaques en détectant des tendances discernables dans le trafic, qu'en est-il des attaques qui ne suivent aucun modèle ou schéma précis ? C'est là qu'intervient flowtrackd, notre nouveau moteur de classification d'état TCP, conçu en 2020 afin d'assurer la défense de nos clients Magic Transit contre les attaques visant à perturber les couches 3 et 4. Notre solution est ainsi capable de détecter et d'atténuer les attaques les plus aléatoires et les plus sophistiquées. L'analyse de la couche 7 nous permet également d'en apprendre plus sur la base de référence du trafic de nos clients et de déterminer si leur point d'origine est en difficulté. Lorsqu'un serveur d'origine montre des signes de détérioration, nos systèmes lancent une atténuation douce afin de réduire l'incidence sur le serveur et lui permettre de récupérer.

La conception de systèmes avancés de protection contre les attaques DDoS ne s'attache pas aux seules capacités de détection, mais aussi au rapport coût-efficacité de l'atténuation. Notre objectif en la matière consiste à atténuer les attaques sans que les performances pâtissent d'une consommation excessive de ressources informatiques, raison pour laquelle nous avons mis en place le service IP Jails, c'est-à-dire une fonctionnalité de Gatebot capable d'atténuer les attaques les plus volumineuses et les plus distribuées sans nuire aux performances. Gatebot active IP Jails lorsque les attaques atteignent un volume significatif, mais au lieu de les bloquer au niveau de la couche 7, IP Jails supprime temporairement la connexion de l'adresse IP incriminée à l'origine de la requête correspondant à la signature d'attaque créée par Gatebot. La fonctionnalité IP Jails s'appuie sur le mécanisme iptables de Linux afin d'éliminer les paquets à la vitesse du réseau. La suppression des attaques visant la couche 7 en couche 4 se révèle bien plus rentable et profite à la fois à nos clients et à notre équipe d'ingénierie chargée de la fiabilité des sites.

En dernier lieu, afin d'offrir à nos clients une meilleure visibilité sur les attaques de plus en plus sophistiquées que nous observons et atténuons quotidiennement, nous avons créé le tableau de bord Firewall Analytics en 2019. Relatives à la fois à la sécurité des applications HTTP et à l'activité DDoS sur la couche 7, les statistiques proposées par ce dernier permettent aux clients de configurer des règles directement dans les tableaux de bord des outils d'analyse et ainsi d'améliorer la réactivité et le temps de réponse aux événements. L'année 2020 a vu le lancement d'un tableau de bord équivalent pour l'activité des couches 3 et 4, destiné à nos clients professionnels utilisateurs de Magic Transit et de Spectrum, le tableau de bord Network Analytics. Celui-ci présente des informations sur le trafic au niveau des paquets et sur l'activité des attaques DDoS, mais aussi des tendances et observations périodiques. Pour compléter ces tableaux de bord et offrir à nos utilisateurs des informations utiles en temps opportun, nous avons mis en place des alertes DDoS en temps réel, ainsi que des rapports DDoS réguliers que vous recevez directement dans votre boîte de réception, à moins que vous ne préfériez les recevoir directement dans vos tableaux de bord SIEM.

Cloudflare a reçu la meilleure note dans la catégorie Stratégie

Cette année, grâce à nos fonctionnalités avancées de protection contre les attaques DDoS, Cloudflare a reçu la meilleure note dans la catégorie Stratégie et s'est placée parmi les trois premiers en matière d'offre de services actuelle. Le rapport nous a également décerné le meilleur score possible dans 15 critères, notamment les catégories suivantes :

• La détection des menaces
• Les attaques en rafales
• L'automatisation des réponses
• La rapidité de déploiement
• La conception du produit
• Les performances
• Les services offerts par les centres d'opérations de sécurité (SOC)

Nous pensons que notre classement résulte des investissements réguliers que nous avons réalisés ces dernières années au profit de notre réseau mondial Anycast, qui constitue la base de tous les services que nous fournissons à nos clients.

Notre réseau est conçu pour évoluer. Chacun de nos services s'exécute ainsi sur chaque serveur de chaque datacenter composant le réseau de Cloudflare, couvrant plus de 200 villes à travers le monde. À la différence de certains autres fournisseurs mentionnés dans le rapport, chaque service Cloudflare est proposé sur chacun de nos datacenters périphériques.

Des solutions intégrées d'amélioration de la sécurité et des performances

L'une des principales sociétés du secteur de la surveillance des performances des applications, utilisatrice de services Cloudflare d'informatique serverless et de diffusion de contenu, nous a récemment dit qu'elle souhaitait consolider ses services d'amélioration des performances et de la sécurité sous l'égide d'un seul fournisseur. Elle s'est débarrassée de son fournisseur de services de couche 3 actuel et a intégré Cloudflare à ses applications et à son réseau (grâce à Magic Transit) afin de bénéficier d'une gestion plus facile et d'une meilleure assistance.

Nous observons de plus en plus ce genre de cas de figure. Il existe de nombreux avantages à l'utilisation d'un unique fournisseur cloud pour regrouper les services d'amélioration de la sécurité et des performances :

• Gestion simplifiée : les utilisateurs peuvent gérer l'ensemble des services de Cloudflare, comme la protection contre les attaques DDoS, le pare-feu WAF, le réseau CDN, la gestion des bots et les solutions d'informatique serverless à l'aide d'un tableau de bord et d'un point de terminaison API uniques.
• Intégration étroite des services : l'intégration profonde de l'ensemble de nos services permet aux utilisateurs de tirer pleinement parti de la puissance de Cloudflare. Nos règles de gestion des bots sont ainsi déployées en même temps que notre pare-feu d'applications.
• Dépannage simplifié : plutôt que de devoir contacter plusieurs fournisseurs, nos clients disposent d'un point de contact unique lors du dépannage. Notre service d'assistance téléphonique Victime d'une attaque ? nous permet en outre d'offrir une réponse humaine immédiate.
• Latence plus faible : comme chacun de nos services s'exécute sur chacun de nos datacenters, aucune baisse de performances ne se fait ressentir. Le trafic ne connaît, par exemple, aucun saut de routage supplémentaire entre le service DDoS, le service de gestion des bots et le service CDN.

Les divers services cloud proposés sur le marché ne partagent cependant pas tous la même conception, car la plupart des fournisseurs actuels n'ont pas de solution complète et robuste à offrir. L'architecture unique de Cloudflare lui permet de proposer une solution intégrée englobant les produits phares suivants, pour n'en citer que quelques-uns :

• Réseau CDN : reconnu LEADER dans la catégorie « Customer's Choice » (Choix des clients) du classement Gartner Peer Insights 2020 « Voice of the Customer » (la voix du client), rubrique Global CDN (réseau CDN mondial)¹
• DDoS : cette catégorie a récolté le plus grand nombre de notes élevées dans le rapport Solution Comparison for DDoS Cloud Scrubbing Centers (comparatif des solutions de centres de nettoyage DDoS dans le cloud) 2020 de Gartner²
• Pare-feu WAF : Cloudflare a obtenu l'évaluation CHALLENGER (PRÉTENDANT) au classement Magic Quadrant for Web Application Firewall (Carré magique des pare-feu d'applications web) 2020 de Gartner, en décrochant la meilleure place dans la catégorie « Ability to Execute » (capacité d'exécution)³
• Zero Trust : Cloudflare a obtenu la note LEADER dans le rapport Omdia Market Radar: Zero Trust Access (rapport Omdia Market Radar sur l'accès Zero Trust) 2020⁴
• Gestion des bots : Leader dans la catégorie Bot Management (gestion des bots) du rapport SPARK Matrix 2020⁵
• Solution intégrée : place de Leader en matière d'innovation décernée par Frost & Sullivan sur le marché Global Holistic Web Protection (protection web holistique mondiale) pour l'année 2020⁶

Nous sommes ravis d'avoir été désignés comme LEADER dans le rapport The Forrester Wave™: DDoS Mitigation Solutions, Q1 2021 (solutions d'atténuation des attaques DDoS, premier trimestre 2021) et continuerons de travailler sans relâche pour rester, comme le mentionne le rapport, « un moyen convaincant de protéger et de déployer les applications » de nos clients.

Pour plus d'informations sur la protection contre les attaques DDoS proposée par Cloudflare, contactez-nous ici ou inscrivez-vous ici pour bénéficier d'une évaluation pratique.

.........
¹https://www.gartner.com/reviews/market/global-cdn/vendor/cloudflare/product/cloudflare-cdn
²https://www.gartner.com/en/documents/3983636/solution-comparison-for-ddos-cloud-scrubbing-centers
³Gartner, “Magic Quadrant for Web Application Firewalls'', Analyst(s): Jeremy D'Hoinne, Adam Hils, John Watts, Rajpreet Kaur, October 19, 2020. https://www.gartner.com/doc/reprints?id=1-249JQ6L1&ct=200929&st=sb
⁴https://www.cloudflare.com/lp/omdia-zero-trust
⁵https://www.cloudflare.com/lp/qks-bot-management-leader/
⁶https://www.cloudflare.com/lp/frost-radar-holistic-web/