企業(yè)網D1Net(全球IP通信聯(lián)盟旗下媒體)最近,幾起數(shù)據(jù)中心安全事故的發(fā)生備受矚目,同時也喚醒了大部分企業(yè)的危機意識。技術部門開始致力于研究分布式拒絕服務是如何攻擊臨界網站,數(shù)據(jù)庫軟件和服務器的。眾所周知,任何一次數(shù)據(jù)中心的停機都將會導致合作的失敗,品牌的負面影響、金融的制裁,企業(yè)將因此失去很多的機會。許多大公司和機構通過DDoS事件已經充分意識到了自身系統(tǒng)安全的不足,和眾多潛在危險,因此他們找到了云計算這一途徑加強自身的防護。
Arbor 的第六屆網絡世界安全報告中顯示,DDoS的攻擊正在迅猛增長,在未來將可能具有更大的規(guī)模和復雜性。對于高端光譜來說,大容積的襲擊具有壓迫性,數(shù)據(jù)顯示,最大的攻擊量曾經達到過持續(xù)100吉比特/秒。這些攻擊很可能超過總入境帶寬的互聯(lián)網服務供應商,主辦供應商、數(shù)據(jù)中心操作、企業(yè)應用服務提供商和政府大多數(shù)機構的數(shù)據(jù)容量的總和,一旦發(fā)生,對市場將具有毀滅性的打擊。
在光譜,軟件,服務商這三項攻擊中、 DDoS攻擊的中心不在阻止帶寬上,而在降低后端帶寬計算能力、數(shù)據(jù)庫容量和分布式存儲資源和網上服務速度。例如,服務器或應用程序被攻擊的話可能會導致一個應用程序變得極慢無比,服務器則必須耐心地等待客戶收發(fā)數(shù)據(jù),因而會導致處理上遇到瓶頸。當然最快的攻擊方式還是拒絕服務攻擊。
如何檢測和減輕攻擊的破壞性是一個巨大的挑戰(zhàn),這就要求企業(yè)必須擁有共享的網絡運營商,主機供應商。世界領先的數(shù)據(jù)中心普遍使用專業(yè)的、具有高速緩解功能的基礎設施,有時也其他供應商合作——來檢測和阻止攻擊。為了確保供應商具有足夠的能力抵抗攻擊,企業(yè)必須部署DDoS緩解系統(tǒng)來保護關鍵的智能應用和智能服務。
為什么現(xiàn)有的安全解決方案不能阻止DDoS的攻擊
明明具有了足夠的安全技術,可企業(yè)為什么還是不能徹底保護自己免受攻擊呢?雖然企業(yè)在不斷的部署產品,如防火墻和入侵預防系統(tǒng)(IPS)等,但是網絡攻擊也是在不斷進化的,這就導致了企業(yè)不斷處于被動的位置。ip防火墻和其他安全產品作為企業(yè)數(shù)據(jù)中心保護策略中的基本要素,他們并不能很好的解決DDos的攻擊。因為它們主要是為了防止從數(shù)據(jù)中心邊緣和漏洞發(fā)起的攻擊,無法從整體上保護數(shù)據(jù)中心。于是技術人員們進行交通檢查,加強網絡政策和完整性。這使得這些裝置擺脫了放松的狀態(tài),不容易導致資源枯竭,交通阻塞、裝置超過 禁售期和一些潛在的事故。
對于軟件層來說,DDoS的威脅主要集中在數(shù)據(jù)中心的操作上。因為IPS設備和防火墻變應用越來越普遍,為數(shù)據(jù)中心的攻擊增加了許多的載體——使設備本身變得更容易被攻擊。但是,不同于以往的是,云計算的誕生成為了數(shù)據(jù)中心的救星。云計算具有降低災難的能力,服務商提供的DDoS設備通過云計算能夠很好的對受害者們的基礎設施進行保護。
云信號:更快,更自動化的數(shù)據(jù)中心防護
企業(yè)需要服務商提供更加全面更加綜合的云計算服務。例如,當數(shù)據(jù)中心經營者發(fā)現(xiàn)他們的一個服務器收到DDoS攻擊,云計算就應該以最快的速度發(fā)出信號通知技術人員,技術人員根據(jù)當前情況對相應設備進行修復!
下列情形的云信號表示數(shù)據(jù)中心系統(tǒng)收到了攻擊。當網絡工程師注意到了關鍵服務無法執(zhí)行,如在公司的網站上,電子郵件和DNS不能再被訪問。這些都是云計算發(fā)出的攻擊信號。技術人員分析后,在一個重要的服務器發(fā)現(xiàn)了DDoS攻擊。因為云計算是將整個公司的系統(tǒng)集中在一起,工作人員連同它的客戶,都能夠看到系統(tǒng)的每一個動作,那么任何形式的攻擊都能夠在第一時間被發(fā)現(xiàn)。
直到現(xiàn)在,專家們還沒有全面解決機制存在的威脅,軟件DDoS的攻擊主要集中在數(shù)據(jù)中心的邊緣,而體積DDoS的攻擊主要集中在云里。因此,很多數(shù)據(jù)中心運營商提供保護服務的同時讓企業(yè)從他們那里購買DDoS ISP或MSSP兩種軟件。但是數(shù)據(jù)中心缺乏一個簡單的機制來連接此處所有的云,一個單一的儀表盤能夠解決這一問題。云計算的好處主要體現(xiàn)在在受到攻擊的瞬間將程序與分離出來,以免造成更大的危害。
當工程師發(fā)現(xiàn)這個問題是拒絕服務攻擊導致的時,工程師可以觸發(fā)一個云信號到提供商網絡,以減少攻擊。云信號包括攻擊的供應商,如何提高工作效率的回應等等。這將從內部為工程師們減少壓力。它也會允許工程師與上游供應商相互合作,彼此之間提供更多的信息,增強云的防守。
隨著DDoS攻擊變得越來越普遍,數(shù)據(jù)中心經營者和服務提供商必須找到新的方法來減慢DDoS的攻擊演化。供應商必須賦予數(shù)據(jù)中心操作員迅速解決雙方高帶寬攻擊的方法,和自動攻擊目標應用層的解決方式。這樣可以節(jié)省公司大量的經營費用, 客戶流失和收入損失。這樣的云信號服務在將來一定能夠有效的提高數(shù)據(jù)中心的防護!(By Rakesh Shah,sunshine編譯)
京公網安備 11010502049343號