遷移到云端的優勢
與部署單獨的硬件設備相比,遷移到云端有很多優勢:
• 保護云端應用:本地設備無法保護托管在云中的應用,因此需要基于云的防護措施。
• 容量更大:隨著大流量DDoS攻擊的規模變得越來越大,許多攻擊都很容易超過典型的企業級DDoS緩解設備的容量。在這種情況下,云服務能夠提供可以化解這些攻擊的備用容量。
• 管理開銷更低:與使用本地設備相比,頻繁使用云服務所需的管理費用和人員都更少。
• 成本更低:DDoS緩解設備需要大量的前期資本支出(CAPEX),而云端DDoS緩解服務的成本往往更低,并且可以以持續訂閱的模式支付費用。這就使得客戶可以根據自己的需求擴展(或收縮)他們的服務。此外,這些支出通常被歸類為運營費用(OPEX),對很多企業而言,這更容易分配。
• 然而,應該指出的是,云的便利性是根據更低級別的控制以及與可能限制企業向云端遷移能力的監管需求的潛在沖突而逐漸減少的。
按需:需要時才啟用的DDoS防護
云端DDoS防護措施的第一個模式就是按需模式。在這種模式下,和平時期,流量通常會直接流向主機(即:未遭受到攻擊)。然而,一旦確定了DDoS攻擊,流量就會轉發到云端DDoS緩解服務,該服務可以清洗攻擊流量,并且只會將潔凈流量傳遞給源服務器。顧名思義,這種類型的防護措施只會在需要時按需啟動。
優缺點:
• 和平時期沒有延遲:按需服務的最大優勢之一就是,在未遭到攻擊的‘和平時期’不會出現延遲。只有在遭受到攻擊的攻擊持續時間內,流量才會被轉移。
• 成本更低:按需服務往往比購買專用DDoS緩解設備和永遠在線的云服務都更便宜。這就可以有效地保護那些沒有大量預算的客戶。
• 簡單明了:按需云服務維護簡單,在正常情況下也無需管理。
然而,按需模式也有一定的缺陷:
• 檢測時間:按需服務的最大缺點可能就是不能提供100%的防護。多數按需服務可以根據大容量的流量閾值檢測DDoS攻擊。只有達到一定的流量閾值時,才會啟動防護措施,這可能需要幾分鐘來累計數據并加以分析。在此期間,服務器可能就會被暴露。
• 轉發時間:從開始轉發到完成轉發,可能需要更多的時間。轉發時間由兩個因素組成:開始轉發的時間以及通過BGP或DNS表格傳播所需的時間。盡管可以使用自動化或可編程(基于API)的轉發技術將轉發時間降至最低,但傳播時間通常會脫離提供商的直接控制。
• 轉發期間的延遲:一旦流量開始轉發,所有對源服務器的請求都要通過云DDoS緩解提供商的網絡發送,這就可能增加交易延遲。延遲的數量取決于清洗中心的位置、與源服務器之間的距離以及連接質量。然而,這一延遲只有在發生轉發時才會繼續,一旦轉發結束,就會恢復正常。
注意事項:
就像購買本地設備(以及接下來要討論的永遠在線和混合模式)一樣,是否選擇使用按需防護模式取決于企業的具體用例和需求:
• 延遲:使用按需服務不會增加和平時期的延遲,因此對于那些對延遲敏感的應用而言,按需服務是有效的。
• 攻擊頻率:企業多久遭受一次攻擊?如果企業只是偶爾遭受到攻擊(或根本不會遭受到攻擊),那么在遭受到攻擊時,按需服務可能就是一種比較劃算的解決方案。然而,如果企業服務器經常遭受到攻擊,那么不間斷地轉發流量可能并不是很有效,永遠在線或混合服務可能會更好。
• 關鍵業務應用:企業應用是否是關鍵業務應用?按需服務通常需要幾分鐘時間來執行檢測和轉發步驟,在此期間服務器仍處在暴露狀態。如果企業能在不引起重大損害的情況下化解這一風險,那按需服務就很好。然而,如果企業承擔不起哪怕片刻的宕機代價,那么永遠在線或混合解決方案可能會更好。
最適合的企業是哪些?
考慮到按需云端DDoS防護模式的優缺點,以下幾類客戶(或應用)可以選擇這一解決方案:
• 不經常遭受攻擊:不經常遭受到攻擊并且不需要持續防護的企業。
• 對延遲敏感:對延遲非常敏感的應用,因此并不適合永遠在線的解決方案。
• 對價格敏感:沒有可用于DDoS防護措施的大量預算但卻希望擁有劃算的防護措施的企業。
然而,同樣地,這種解決方案不太適合某些企業和應用類型:
• 持續遭到攻擊的企業:持續遭到攻擊的企業或應用,經常需要轉移流量。在這些情況下,永遠在線或混合服務可能更合適。
• 關鍵業務應用:關鍵業務應用必須始終可用,且無法承受任何停機時間的代價。由于按需DDoS防護措施通常需要幾分鐘來檢測和轉移,這可能就會導致可用性的短暫中斷。如果這一個主要問題,那么永遠在線或混合解決方案可能會更好。
對不需要持續防護的企業而言,按需云DDoS防護模式是一種比較劃算的解決方案。對需要持續保護措施的客戶而言,永遠在線和混合云服務可以為他們提供這一類型的防護措施。本系列的下一篇文章將重點討論這些替代方案以及最適合哪些企業使用。