theNet von CLOUDFLARE

Ein neues Modell zur Sicherung öffentlich zugänglicher Netzwerkinfrastruktur

Implementierung von Tiefenverteidigung mit cloudbasierter Sicherheit

Angreifer haben es zunehmend auf öffentlich zugängliche Netzwerkinfrastrukturen abgesehen. Anfang 2024 hatten die DNS-basierten Distributed-Denial-of-Service (DDoS)-Angriffe, die schon lange eine Bedrohung für diese Infrastruktur darstellen, im Jahresvergleich um 80 % zugenommen. Ransom-DDoS-Angriffe hatten seit einem Jahr im Quartalsvergleich zugenommen. Insgesamt gab es ab Mitte 2024 einen Anstieg der DDoS -Angriffe um 20 % im Vergleich zum Vorjahr.

Diese Angriffe gefährden eine Reihe wichtiger Anwendungen und Dienste, von mobilen Apps für Kunden und Partnerportalen bis hin zu VPN-Diensten und E-Mail. Die verschiedenen Arten von DDoS-Angriffen können nicht nur den Betrieb stören, sondern auch zu erheblichen Datenschutzverletzungen führen.

Herkömmliche Hardware-Firewalls und andere lokale Anwendungen haben Schwierigkeiten, mit der Entwicklung Schritt zu halten. Diese Systeme haben kritische Grenzen, die Unternehmen verwundbar machen und gleichzeitig das Sicherheitsmanagement erschweren können.

Um öffentlich zugängliche Netzwerkinfrastruktur zu schützen, müssen sich Unternehmen von diesen Legacy-Systemen verabschieden. Unternehmen, die moderne, cloudbasierte Sicherheitsstrategien eingeführt haben, waren erfolgreicher darin, Angriffe zu stoppen und diese wichtige Infrastruktur funktionsfähig zu halten.


Die Grenzen hardwarebasierter Sicherheitsanwendungen

Unternehmen müssen heute ihre öffentlich zugänglichen Netzwerkinfrastrukturen vor einer Vielzahl von Bedrohungen schützen. Angreifer könnten Erkundungsmaßnahmen und Port-Scans durchführen, um Schwachstellen zu finden, die in Zukunft ausgenutzt werden können, bevor ein Patch entwickelt oder installiert ist.

Viele Unternehmen sind auch mehreren Arten von DDoS-Angriffen ausgesetzt. Volumetrische DDoS-Angriffe liefern beispielsweise eine überwältigende Menge an Datenverkehr, der verarbeitet werden muss. Protokollbasierte DDoS-Angriffe nutzen Techniken wie SYN-Floods, um die Anzahl der Sitzungen zu überwältigen. Und DDoS-Angriffe auf der Anwendungsebene nutzen die Kommunikation mit Protokollen der Anwendungsebene, um einen Denial-of-Service zu verursachen.

Hardware-basierte Lösungen wie z. B. herkömmliche Firewalls können keinen ausreichenden Schutz vor diesen Bedrohungen bieten. Erstens haben sie nur begrenzte Übersicht: Sie können nicht den gesamten Datenverkehr des Unternehmens einsehen.

Zweitens haben sie eine begrenzte, unelastische Kapazität, was bedeutet, dass sie für volumetrische Bedrohungen nicht einfach skaliert werden können. Im Februar 2023 entdeckte Cloudflare beispielsweise Dutzende von hypervolumetrischen DDoS -Angriffen. Der größte dieser Angriffe erreichte einen Spitzenwert von mehr als 71 Millionen Anfragen pro Sekunde, was zu diesem Zeitpunkt der größte Angriff war, der jemals aufgezeichnet wurde. Die Angriffe richteten sich gegen einen beliebten Gaming-Anbieter, Krypto-Unternehmen, Hosting-Anbieter und Cloud-Computing Plattformen. Die meisten volumetrischen Angriffe sind nicht so groß, aber herkömmliche Hardware-basierte Lösungen sind nicht in der Lage, volumetrische Angriffe zu bewältigen, die auch nur einen Bruchteil dieser Größe ausmachen.

Um die Einschränkungen der Firewall auszugleichen, fügen Unternehmen häufig Firewall-Hilfsmittel hinzu. Sie können Anwendungen vor Ort schützen, z. B. mit einer Web Application Firewall (WAF), oder Scrubbing-Zentren einrichten, um den Traffic zu filtern, bevor er das Unternehmen erreicht, oder ISP-Filter einsetzen, um den Traffic eines Angriffs abzufangen.

Aber diese Hilfsmittel bringen ihre eigenen Probleme mit sich. Sie können die Nutzererfahrung beeinträchtigen und die Verwaltung komplexer machen. Wenn Hilfsmittel als physische Appliances implementiert werden, könnten sie auch unter dem gleichen Hauptproblem leiden wie Hardware-Firewalls: Sie können nicht ausreichend skaliert werden, um große Angriffe zu stoppen.


Implementierung von Tiefenverteidigung mit cloudbasierter Sicherheit

Eine öffentlich zugängliche Netzwerkinfrastruktur ist besser durch eine mehrschichtige oder Sicherheitsstrategie der Tiefenverteidigung geschützt. Eine dieser Schichten sollte den eingehenden Traffic filtern, bevor er die Infrastruktur des Unternehmensnetzwerks erreicht. Dieser Filter sollte nicht auf einer statischen Hardware-Appliance basieren. Er muss dynamisch skaliert werden können, damit es selbst die größten globalen Angriffe abfangen kann.

Cloudbasierte Sicherheit kann elastischere, skalierbare Ressourcen zum Schutz vor diesen Bedrohungen bieten. Insbesondere eine Connectivity Cloud – die Cloud-native Sicherheits- und Netzwerkdienste in einer einheitlichen Plattform bietet – kann die richtige Kombination von Funktionen für eine moderne, mehrschichtige Strategie bieten.

Das globale Netzwerk einer Connectivity Cloud dient als erste Verteidigungslinie für die öffentlich zugängliche Netzwerkinfrastruktur. Das Netzwerk kann den Traffic von Bedrohungen zerstreuen und absorbieren während die Unternehmen einen besseren Überblick über die Bedrohungen erhalten, denen sie ausgesetzt sind. Cloudflare beispielsweise verfügt über 321 Tbps an Netzwerkkapazität, was viel mehr ist als die größten DDoS-Angriffe, die jemals aufgezeichnet wurden.

Cloudflare hat auch DDoS-Angriffe abgewehrt, die mit extrem hohen Paketraten und HTTP-Anfrage-Raten verbunden waren. Im September 2024 Cloudflare beispielsweise mehr als hundert hypervolumetrische DDoS-Angriffe, von denen viele 2 Milliarden Pakete pro Sekunde und 3 Terabit pro Sekunde (Tbit/s) überschritten. Der größte Angriff erreichte einen Spitzenwert von 3,8 Tbit/s.

Eine Connectivity Cloud kann auch zusätzliche Sicherheitsdienste anbieten, die an der Edge verfügbar sind, um diese Tiefenverteidigung aufzubauen. Firewalls und DDoS-Filterung schützen vor bekannten und neuen Bedrohungen, einschließlich volumetrischer Angriffe. App-Sicherheitsdienste schützen Apps und APIs vor DDoS-Angriffen, Exploits, Supply Chain-Angriffen, Bots und Betrug.

Die Zusammensetzbarkeit von Connectivity Cloud-Diensten bietet die dringend benötigte Agilität und Flexibilität. Unternehmen können bei Bedarf Sicherheitsdienste hinzufügen oder anpassen, um sich gegen neue Bedrohungen zu schützen und eine Zero Trust-Strategie zu erweitern.


Die Transformation von Netzwerk und Sicherheit vorantreiben

Eine öffentlich zugängliche Netzwerkinfrastruktur ist für moderne Unternehmen unerlässlich – aber sie ist anfällig für Bedrohungen, denen Appliance-basierte Hardwarelösungen nicht angemessen begegnen können. Die Einführung einer Connectivity Cloud als Grundlage für eine mehrschichtige, cloudbasierte Strategie kann Ihrem Unternehmen helfen, die Grenzen herkömmlicher Lösungen zu überwinden. Sie können eine ganze Reihe von Bedrohungen filtern und blockieren, um so die Netzwerkinfrastruktur effizient zu schützen und die Anforderungen öffentlich zugänglicher Netzwerke zu erfüllen.

Die Umstellung von herkömmlichen Appliances auf cloudbasierte Sicherheit für Ihr öffentlich zugängliches Netzwerk kann Ihnen auch bei größeren Netzwerk- und Sicherheitstransformationen helfen. Indem Sie mehr Netzwerke und Sicherheit in die Cloud verlagern, gewinnen Sie mehr Flexibilität bei der Verbindung von Menschen, Anwendungen und Netzwerken. Und Sie können neue Sicherheitsfunktionen zum Schutz vor sich entwickelnden Bedrohungen leichter integrieren. Letztendlich können diese Transformationen dazu beitragen, die Agilität des Unternehmens zu erhöhen und Innovationen zu fördern und gleichzeitig die IT-Komplexität in den Griff zu bekommen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


Vertiefung des Themas:

Erfahren Sie im Whitepaper „Die Rolle von cloudbasiertem Netzwerkschutz“ mehr darüber, wie eine Connectivity Cloud öffentlich zugängliche Netzwerkinfrastruktur schützen kann



Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Was sind die wichtigsten Bedrohungen für die öffentlich zugängliche Netzwerkinfrastruktur

  • Was sind die Grenzen von Hardware-basierten Firewalls?

  • Warum cloudbasierte Sicherheit öffentlich zugängliche Netzwerke besser schützen kann


Verwandte Ressourcen


Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!