DDoS攻擊是一個不斷出現的問題,企業應該考慮使用云DDoS防護服務。本文,專家Frank Siemons對有哪些云DDoS可供我們選擇進行了探討。
分布式拒絕服務攻擊的指數級增長(現在要比10年前多達50倍)讓許多組織擔心自己會成為下一個目標。對于大多數這些組織來說成為分布式拒絕服務或者DDos攻擊的受害者只是遲早的事而已,當輪到他們時,組織是否已經準備好,以及他們實際上可以準備到何種程度?
2016年BBC網站遭受DDoS攻擊達到了每秒602千兆位(Gbps)的峰值,成為歷史上最大的一次DDoS攻擊。一次精心組織的有針對性的DDoS攻擊可以輕松地在受害目標上發動100 Gbps持續的流量。即便組織的平均連接帶寬是以幾乎相同的速度增長,這些攻擊的復雜性和特定目標性意味著攻擊正在不斷的變得更加難以處理。企業需要在專屬硬件,軟件和專業技能上投入大量資源,或將這些DDoS防護服務外包給第三方。因為第三方可以將其大容量的基礎設施成本分攤給許多不太可能在同一時間受到攻擊的其他客戶,這對于小型,中型甚至一些大型企業而言,通常是一個最可行的選項。
云DDoS保護服務附加組件
公有云服務提供商(CSP),如亞馬遜網絡服務、微軟Azure和Rackspace被認為最適合應對這種日益增長的需求。他們正在與云DDoS防護提供商(例如Cloudflare)競爭,但卻擁有一個最重要的優勢:就是客戶已經在一個或多個產品(如IaaS或SaaS)上達成協議。這意味著DDoS保護服務只是對現有合同的更多附加。大部分的技術,例如流量路由,都可以由公有云服務提供商負責,而不需要另一方的介入。
在某些情況下,云服務提供商可能選擇將DDoS防護服務外包給專門的提供商,如Cloudflare或Imperva。即使是這樣,公有云客戶仍然沒有什么可以擔心的。
云DDoS防護的潛在好處
除了易于限制服務提供商的數量之外,使用云DDoS防護的一個好處是CSP了解他們的網絡,間接的監控網絡以發現潛在的DDoS攻擊,并對各種可用的緩解措施有更多的自主權。在一個持續很多天,數周甚至數月攻擊的情況下,還可以使用諸如快速重定位到另一個虛擬網絡或另一個真實的數據中心這樣的選項。
另一個組織應該考慮的重要因素是誰來支付由于DDoS攻擊導致的數據量劇增的帳單。這個問題更復雜。盡管許多CSP允許對DDoS攻擊的情況下所產生的意外的高費用不計入帳單,但這在該CSP負責處理DDoS攻擊及其潛在的緩解時更容易管理和證明。這就要求客戶對供應商做進一步的研究。例如,一些CSP對流入的流量不收費,這是一個重要的考量因素。
云DDoS防護的可用選項
這種平臺范圍內的保護不包括個人客戶及其客戶自己特定的配置,需求和優先級。客戶需要進一步的處理類似基于應用程序的DDoS攻擊,這些攻擊的防護更加定制化和更針對客戶的公共托管服務。想象一個低到中等帶寬的專門針對一個使用HTTP協議的客戶網站的DDoS攻擊。如果不了解網站的細節,CSP可能不會注意到攻擊。CSP安全團隊在沒有對該服務有深入了解的前提下,如何知道這是一次攻擊,而不是一個受歡迎的在線銷售網站?如果該CSP實際上檢測到了攻擊,它有可能不被授權或不具備足夠的知識可以采取自定義的緩解措施。這意味著需要一種定制的云DDoS防護服務。大多數的大型公有云服務提供商都提供可選的每客戶DDoS防護,通常需要支付額外的費用。這可以提供給客戶定制的DDoS保護配置,深入分析和警報的功能,以滿足客戶自己的組織結構和需求。
不難看出,公有云DDoS防護產品很值得研究,特別是那些已經可以管理大多數現有云服務的產品。當然,并非所有組織都將他們主要的在線服務托管在公有云基礎架構中。比如私有云配置或客戶管理的數據中心。在這種情況下,第三方或自管理DDoS保護的好處就可以脫穎而出。我們有足夠多的選擇,需要做的僅僅只是在不同的選項之間作出各種權衡。
京公網安備 11010502049343號