黑客并不只是竊取數據那么簡單;他們還可能使用某些垃圾郵件的請求和流量來讓應用運行崩潰。可以使用一些工具和技術來保護您的云免受DDoS攻擊的危害。
公共云服務并不是IT世界中的世外桃源,它無法對安全方面的威脅免疫,它一樣會受到那些致命攻擊的入侵,其中就包括了拒絕服務攻擊。即便攻擊者無法入侵某個工作負載或者竊取存儲在公共云中的數據,他們仍然能夠通過超量的合法服務請求或流量來堵塞網絡,從而降低云應用的運行性能,或者完全禁止某個應用或服務。
雖然公共云用戶無法防止每一次進攻,但卻可以采用一些重要措施來降低拒絕服務(DoS)或分布式拒絕服務(DDoS)攻擊的負面影響。一個強大的云DDoS和Dos保護計劃可保護您的基礎設施,以免在惡意攻擊壓力下岌岌可危。
什么是云計算中的Dos或DDoS攻擊?
在云中,每一個應用都是在一個網絡、計算和存儲的基礎設施中運行的。而其中每一種資源都有著一個最大的可用上限。例如,一臺網絡交換機每秒鐘只能轉發和擴散一定數量的數據包。當基礎設施收到更多的請求或流量超出其應用限值時,應用程序就會忽略那些多余的請求并拒絕服務。
對于任何計算基礎設施來說,這種拒絕服務行為都是一個正常的行為。但是,DoS攻擊就是通過有意識地使用超大流量請求消耗基礎設施的可用資源來惡意擴大這種拒絕服務的負面影響。如果攻擊成功,DoS攻擊可能會讓一個應用(甚至整個計算基礎設施)在數小時、數天乃至數周時間內都無法被訪問。
一個DoS攻擊通常都是從同一個IP地址發出的,所以使用防火墻技術發現并禁止其訪問是相對比較容易的。而DDoS攻擊則不同,它常常比DoS攻擊要更加的危險,因為它發起攻擊的IP數量更多,從而讓管理人員更難以識別它們,更不用說如何來防范它們了。
DoS或DDoS攻擊對云應用的影響效果與對本地部署應用的影響相類似;即,運行性能下降,應用可能無法訪問。使用云監控資源,例如公共云供應商所提供的監控工具或日志記錄工具就可發現并解決這一問題。
什么工具可以有助于防范云DDoS或DoS攻擊?
針對惡意服務請求的最基本云DDoS和DoS保護措施就是傳統的防火墻。但是,防火墻本身的管理與配置也是一個難題,而且非常耗時,特別對于DDoS攻擊來說尤是如此。基于云的應用程序讓這個問題變得更復雜了,因為企業用戶幾乎或根本就沒有辦法了解公共云中的流量信息。
這一狀況也推動了保護本地與云應用程序的第三方服務的發展。市場上有著無數的云DDoS保護工具與服務,其中包括了來自于Imperva、CloudFlare、Akamai以及Verisign等公司的產品。這些服務通常都是以代理服務器形式工作:一個應用程序的流量首先被送入代理服務,由這個代理服務來識別和過濾惡意服務請求。然后,剩下的非惡意服務請求就會被送至應用程序。
采用第三方云DDoS或DoS保護服務的企業用戶必須同時考慮可用性和可靠性兩方面;如果這個服務出現故障,那么受保護的應用程序也可能變得不可用。
谷歌選擇使用SDN來應對DoS攻擊
不同的供應商采用不同的措施來幫助用戶保護他們存儲在云中的數據。例如,谷歌公司有一個可用于提供、配置和管理虛擬網絡的Andromeda,這是一個軟件定義網絡。其目的在于創建一個安全、高性能和可編程的環境,以用于托管谷歌計算引擎的虛擬機。
Andromeda架構包括了一個DDoS攻擊保護措施,同時還提供了透明負載均衡、路由、訪問控制列表和防火墻,上述所有這些功能都使用了底層的Andromeda API和基礎設施。
用戶還能如何防止云DDoS或DoS攻擊?
雖然目前還沒有哪一個服務或工具能夠確保完全防范DoS和DDoS攻擊,但還是有一些應用設計和部署策略能夠有助于減少這些惡意攻擊的負面影響,特別是當在公共云中部署工作負載時尤是如此。
充分利用公共云平臺(例如谷歌云平臺或亞馬遜網絡服務)中的可用冗余資源,并在多個地區或區域部署實例。如果一個地區或區域因中斷或攻擊事件受到影響,那么用戶仍然有可以正常接收服務請求并做出響應的替代實例。
應當向軟件開發人員和云供應商工程師咨詢,設計出一個可以為每一個特定應用程序提供所需彈性的云架構。請記住,所有的應用都是不一樣的,其中只有最關鍵任務工作負載才需要這樣的彈性。
當然,還有一些通用的應對措施可以幫助用戶檢測和防范云DDoS和DoS攻擊。安裝和維護反惡意軟件綜合工具;定期對操作系統和應用程序進行打補丁和升級等操作;對API調用使用認證機制;以及對本地防火墻或公共云防火墻進行配置以關閉不使用的端口。
京公網安備 11010502049343號