DOCUMENTO TÉCNICO ESPECIFICAÇÃO DE API DE SINALIZAÇÃO DE NUVEM OPENHYBRID DA VERISIGN. Versão 1.0 Janeiro de VerisignInc.com

Transcrição

1 DOCUMENTO TÉCNICO ESPECIFICAÇÃO DE API DE SINALIZAÇÃO DE NUVEM OPENHYBRID DA VERISIGN Versão 1.0 Janeiro de 2015 VerisignInc.com

2 RESSALVA LEGAL NOTIFICAÇÃO DE DIREITOS AUTORAIS Copyright 2015 VeriSign, Inc. Todos os direitos reservados como material não publicado. VERISIGN, o logotipo da Verisign e outras marcas comerciais, marcas de serviço e projetos da Verisign são marcas comerciais registradas ou não registradas da VeriSign, Inc. e suas subsidiárias nos Estados Unidos e em outros países. As leis de direitos autorais e os tratados internacionais protegem este documento e qualquer produto da Verisign relacionado a ele. INFORMAÇÕES DE PROPRIEDADE DA VERISIGN Este documento é de propriedade da VeriSign, Inc. Ele só pode ser usado pelo destinatário para os fins para os quais foi enviado e será devolvido mediante solicitação ou quando o destinatário não precisar mais dele. Nenhuma cópia ou comunicação do documento pode ser feita sem autorização por escrito da Verisign. TERMO DE RESPONSABILIDADE A VeriSign, Inc. se esforçou para garantir que as informações contidas neste documento fossem precisas e completas. No entanto, a VeriSign, Inc. não dá garantias de nenhum tipo (expressa, implícita ou legal) em relação às informações aqui contidas. A VeriSign, Inc. não assume nenhuma responsabilidade por perdas ou danos (diretos ou indiretos) causados por erros, omissões ou declarações de qualquer tipo contidas neste documento. Além disso, a VeriSign, Inc. não assume nenhuma responsabilidade decorrente da aplicação ou uso do produto ou serviço aqui descrito e, especificamente, rejeita qualquer declaração de que os produtos ou serviços aqui descritos não violam direitos de propriedade intelectual atuais ou futuros. Nada aqui concede ao leitor licença para produzir, usar ou vender equipamentos ou produtos construídos de acordo com este documento. Por fim, todos os direitos e privilégios relacionados a qualquer propriedade intelectual aqui descrita estão protegidos pelo proprietário da patente, marca registrada ou marca de serviço, e nenhuma outra pessoa pode exercitar esses direitos sem permissão expressa, autorização ou licença do proprietário da patente, marca registrada ou marca de serviço. A Verisign reserva-se o direito de fazer alterações em quaisquer informações aqui contidas sem prévio aviso. AVISO Sobre os direitos de patentes e marcas registradas dos EUA Verisign e outras marcas comerciais, marcas de serviço e logotipos são marcas comerciais registradas ou não registradas da Verisign e de suas subsidiárias nos Estados Unidos e em outros países. A inclusão deste documento, o arquivo on-line correspondente ou o software correspondente de qualquer informação coberta por qualquer outro direito de patente, marca registrada ou marca de serviço não constituem nem implicam a concessão de autorização para exercitar qualquer direito ou privilégio protegido por tal patente, marca registrada ou marca de serviço. Todos os direitos e privilégios estão protegidos pelo proprietário da patente, marca registrada ou marca de serviço, e nenhuma outra pessoa pode exercitar esses direitos sem permissão expressa, autorização ou licença do proprietário da patente, marca registrada ou marca de serviço. 2 Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign

3 CONTEÚDO 1 VISÃO GERAL Especificação de API Modelo de autenticação de API Limites de taxa de chamada de API POST Alert RESTful API POST IP Lists RESTful API 6 2 CASOS DE USO Atividade de ameaça a sinal de appliance de DDoS no local Atividade de ameaça a sinal de appliances de rede ou segurança no local Impacto do desempenho do sinal de ambientes de nuvem pública ou plataformas de monitoramento personalizadas Melhorias futuras 8 HISTÓRICO DE REVISÃO Revisão Data Autor(es) Descrição 1.0 Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign 3

4 1 VISÃO GERAL Este documento define o método pelo qual o dispositivo ou o aplicativo pode compartilhar informações relativas a ataques DDoS com outros dispositivos, aplicativos ou serviços, como um serviço de proteção contra DDoS em nuvem. Esse método permitirá uma abordagem baseada em padrões, independente de fornecedores, para a mitigação da ameaça de DDoS ao utilizar várias camadas de proteção para reagir à ameaça de DDoS. A divulgação de informações sobre ameaças será feita por meio de comunicações RESTful entre dispositivos/ aplicativos através de um RESTful API. 1.1 Especificação de API Os ataques DDoS levam ao esgotamento dos recursos em várias camadas de um ambiente de cliente que afeta dispositivos, aplicativos e serviços. Esses elementos podem ser necessários de vez em quando para sinalizar a um componente ou fornecedor de upstream que o recurso está esgotado e será necessário alguma medida para reagir à ameaça atual. O POST Alert API foi desenvolvido para sinalizar o esgotamento do recurso e a necessidade de uma resposta de mitigação ao enviar as informações adequadas sobre o recurso afetado e os parâmetros do ataque. O POST IP Lists API foi desenvolvido para enviar ao componente ou fornecedor de upstream uma lista de IPs que devem ser inseridos em uma lista branca ou negra quando a mitigação é realizada em nome da fonte. 1.2 Modelo de autenticação de API Ao utilizar esse RESTful API, a forma de autenticação recomendada é por meio de um token de acesso OAuth 2.0 ou uma chave de API. Além disso, um ID de fonte exclusivo deve ser proporcionado para identificar o dispositivo/aplicativo que envia a solicitação. 1.3 Limites de taxa de chamada de API Para garantir que o serviço receptor não esteja sobrecarregado de solicitações de sinal, recomenda-se implementar um limite de taxa como, por exemplo, no máximo 100 solicitações por minuto por usuário. 1.4 POST Alert RESTful API O Post Alert API inclui informações sobre o tipo de ameaça/ataque e o serviço/destino afetado. O formato sugerido para os parâmetros do API é JSON, e o formato de data/hora é UTC. Método: POST Solicitação: Parâmetros para esta solicitação. 4 Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign

5 Nome Tipo Obrigatório Valor padrão Descrição source_id string true Uma sequência que identifique de maneira exclusiva a fonte de onde é enviada a solicitação. Os exemplos de fontes incluem dispositivos de DDoS locais, firewalls ou balanceadores de carga ou dispositivos em um ambiente em nuvem onde o serviço/destino é hospedado. incident_id string true Uma sequência que identifique de maneira exclusiva o alerta de uma fonte específica. alert_type string false Descrição do tipo de ataque que causou o alerta. Esses dados ajudarão na mitigação do ataque. start_time string true A hora de início do ataque. source_ip(s) string false 1 ou mais IPs/CIDRs que enviam o tráfego para o destino. (sugira limitar a 60 caracteres). destination string true O nome de domínio, IP ou CIDR do serviço/aplicativo que recebe o tráfego e precisa de proteção. destination_ port destination_ protocol integer false A porta do atendimento ao cliente/aplicativo que recebe o tráfego (sugira entre 0 e 65535). integer false O protocolo afetado pelo ataque. misc_info string false Informações que serão úteis para a mitigação no formato de canalização delimitaram os pares de nomes. Por exemplo: proporcionar informações sobre o limite para descrever o impacto do ataque no serviço/ aplicativo: cpu_utilization_threshold:95 current_cpu_ utilization:98 bandwidth_usage_threshold:90 current_ bandwidth_usage:95. (sugira limitar o tamanho desse campo a 1000 caracteres.) Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign 5

6 Exemplo de solicitação: Método Corpo solicitado POST { source_id : acme1234, incident_id : , alert_type : SYN-FLOOD, start_time : :50:55, source_ips : 172.X.X.X, 173.X.X.X, destination : /24, destination_port : 80, destination_protocol : HTTP, misc_info : { cpu_utilization_threshold:95 current_cpu_ utilization:98 bandwidth_usage_threshold:90 current_bandwidth_usage:95 Resposta: Dados alert_id Descrição Um ID de alerta que identifica de maneira exclusiva o alerta no dispositivo receptor Exemplo de resposta: Status de resposta Código HTTP de status de resposta Corpo solicitado Success 201 { alert_id : Error 400 { errors : [{ code : 400, message : source_id is required. ] 1.5 POST IP Lists RESTful API O Post IP Lists API inclui informações sobre os IPs que devem ser inseridos em uma lista branca ou negra ao mitigar um ataque. O formato sugerido para os parâmetros do API é JSON. Método: POST Solicitação: Parâmetros para esta solicitação. 6 Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign

7 Nome Tipo Obrigatório Valor padrão Descrição source_id string false Uma sequência que identifique de maneira exclusiva a fonte de onde é enviada a solicitação. Os exemplos de fontes incluem dispositivos de DDoS locais, firewalls ou balanceadores de carga ou dispositivos em um ambiente em nuvem onde o serviço/destino é hospedado. Proporcionar esse ID permitirá que o serviço receptor conecte a lista de IPs a uma fonte específica para que os ataques informados por aquela fonte tenham a lista aplicada durante a mitigação. type string true O tipo da lista que está sendo criada. Os valores aceitos são "lista negra" ou "lista branca". ips string true Os IPs ou prefixos que precisam ser utilizados para o fim mencionado no tipo de solicitação. Exemplo de solicitação: Método Corpo solicitado POST { source_id : acme1234, type : Whitelist, ips : 11.x.x.x, 11.x.x.0/24, Resposta: Dados iplist_id type Descrição Um ID que identifica de maneira exclusiva a lista no dispositivo receptor O tipo de lista. Os valores são: "Lista negra" "Lista branca" Exemplo de resposta: Status de resposta Código HTTP de status de resposta Corpo solicitado Success 201 { iplist_id : type : Whitelist: Error 400 { errors : [{ code : 400, message : IP addresses invalid. ] Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign 7

8 2 CASOS DE USO 2.1 Atividade de ameaça a sinal de appliance de DDoS no local Os appliances de DDoS no local que se integram a esse API podem enviar sinais de ameaça a prestadores de serviços em nuvem sobre um ataque DDoS em andamento, alcançando um limite. O prestador de serviços em nuvem pode precisar interferir e assumir a mitigação contra DDoS e levar a efeito a escala necessária para lidar com ataques DDoS volumétricos. 2.2 Atividade de ameaça a sinal de appliances de rede ou segurança no local Os dispositivos locais como roteadores, firewalls, IDS/IPS etc. não costumam ser desenvolvidos para suportar uma atividade volumétrica de ataque DDoS e podem ficar esgotados. A integração com o API pode permitir que os clientes enviem sinais de várias camadas dentro do seu ambiente de rede, alcançando uma postura de segurança mais abrangente. 2.3 Impacto do desempenho do sinal de ambientes de nuvem pública ou plataformas de monitoramento personalizadas Os clientes com serviços ou aplicativos implementados em ambientes de nuvem pública ou em centros de dados podem utilizar o API para fazer a integração com seus serviços atuais de monitoramento e indicar o impacto no desempenho causado por uma potencial atividade de DDoS. Isso pode enviar um sinal ao prestador de serviços de proteção de upstream em nuvem para que tome a medida necessária para mitigar a ameaça. 2.4 Melhorias futuras O API pode ser aprimorado para sinalizar informações mais avançadas relativas às ameaças atuais, como detalhes sobre as medidas tomadas contra os ataques em andamento etc. 8 Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign

9 OBSERVAÇÕES Material público da Verisign Especificação de API de sinalização de nuvem OpenHybrid da Verisign 9

10 VerisignInc.com 2015 VeriSign, Inc. Todos os direitos reservados. VERISIGN e outras marcas comerciais, marcas de serviço e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários. Material público da Verisign VRSN_DDoS-PS_CloudSignAPI_Specs_201501