同樣,仔細權衡如何保護基于云計算的數據也應該作為企業整體安全策略的一部分納入到企業的考慮范圍。而保護應用免受分布式拒絕服務(DDoS)攻擊的影響則是最值得關注的事。
在不久前發生的針對源代碼托管供應商CodeSpaces的真實攻擊案例中,攻擊者利用組合工具入侵了CodeSpaces基于亞馬遜Web服務 (AWS)的整體架構。該威脅始于攻擊者嘗試勒索CodeSpaces,并以此作為停止對其發起的多載體DDoS攻擊的交換條件。最后,攻擊者控制了 CodeSpacesAWS控制臺,幾乎刪除了所有存儲在云中的數據。由此產生的因數據丟失和為SLA補救措施而付出的代價將使CodeSpaces公司無法再運營下去。
這樣的結果雖不太常見,但是說明了一個重要問題:如果企業計劃遷移至云中,其中一步要做的就是制訂嚴密的計劃來應對 DDoS攻擊的泛濫及其不斷增加的威脅。多數企業都不相信自己會成為DDoS攻擊的受害者,因此在制定IT預算時,部署適當的防御措施總是被放在預算優先表項的末尾。事實上,多數企業都缺乏檢測工具,因而不清楚有多少攻擊已經成功入侵了自己的數字資產。IaaS和SaaS提供商應該可以創建堅固的安全防御機制,以幫助企業應對DDoS攻擊。
客戶在主動采取相應防御措施的同時還應該對云提供商DDoS緩解能力的進行評估。Radware云服務總監BillLowry長期以來都致力于云計算的研究,他在其發表的文章中指出了在基于云的解決方案中應用DDoS緩解策略時會遇到的問題,也闡述了云計算的五大亟待解決的安全問題。
防護新的企業邊界
過去,企業只需將安全重心放在保護數據中心的出口上。采用云技術就意味著企業數據和應用會分發到多個數據中心,這就為企業創建了新的安全邊界,企業要在更多的地方實施防護。那么企業該如何在所有保存企業數據的地方防御攻擊呢?
技術實現方式:許多云服務提供商測試或部署了可以檢測分布式拒絕服務攻擊的技術,但是多數技術都是基于網絡采樣數據實現的。內聯部署可以檢測所有的入站和出站流量,提供最全面的檢測和DDoS攻擊緩解措施。用戶在評估云服務提供商時,還要了解他們使用何種工具進行DDoS檢測。
維護可用性
就定義來看,云技術是一種遠程訪問技術。如果企業的云服務提供商遭遇了嚴重的DDoS攻擊,對服務的網絡訪問遭到禁止,這等同于企業應用被“宕機”了。企業的云服務提供商又要采取什么措施來防止這種情況發生在企業身上呢?
技術實現方式:云服務提供商應該部署云端和本地DDoS組合緩解工具。這種混合方法可以提供最佳的可用防護:本地部署的硬件可以檢測并緩解攻擊,同時還能自動將攻擊流量轉移至云端清洗中心。清洗中心必須可以處理幾百Gb大小的攻擊,從而改善云服務提供商保護企業資源和業務運行的能力。
租戶之間實現隔離保護
攻擊人員可以跟普通用戶一樣購買云服務。那么又如何在云環境內部保護企業數據遠離威脅?
技術實現方式:用戶可以部署安全工具,保護部署在云端的服務器。Web應用防火墻可以檢測并攔截基于服務器的攻擊,即便這些攻擊來自于與服務器所在的同一個云端架構。此外,未來部署的軟件定義網絡(SDN)使得提供商也可以利用網絡來檢測攻擊。與SDN控制器協作的安全技術可以查找可疑數據流,將其重定向到防御設備進行修復,與此同時,正常數據流仍會沿正常路徑在網絡中進行傳送。
安全工具的大規模定制
為了建立有利于云計算市場競爭的定價,多數提供商都會選擇創建對多數用戶都可用的一般性保護配置文件,以降低解決方案成本。那么采用通用安全協議的云服務提供商又如何滿足特定安全需求呢?
技術實現方式:云服務提供商可以而且應該為整個客戶群提供通用、完善的保護措施。但是也應該能夠結合用戶安全現狀提供可以建立獨特防護措施的安全工具。確保用戶可以自定義配置云服務提供商提供的安全工具,以滿足用戶的特定需求。
小即是大
每周刊登的頭條新聞都會談論最新的針對大型銀行或知名網站的千兆級大流量攻擊。然而,僅有約25%的DDoS攻擊是大流量攻擊。云服務提供商該如何幫助企業應對這些大流量攻擊呢?
技術實現方式:小流量攻擊不像大流量攻擊那樣可以瞬間堵塞互聯網帶寬。它們針對的是支撐企業應用的關鍵設備——防火墻、負載均衡器、IPS/IDS和服務器。這些攻擊只需要很小的帶寬,幾乎小到運營商不會察覺到流量的增加。這些專注于資源耗盡或應用漏洞的低速慢速攻擊通常不會被專用于檢測大流量攻擊的工具檢測到。在遷移到云之前,確保云服務提供商可以提供幫助用戶檢測并緩解這類小流量攻擊的解決方案。
京公網安備 11010502049343號