黑客并不只是竊取數(shù)據(jù)那么簡單;他們還可能使用某些垃圾郵件的請求和流量來讓應用運行崩潰。可以使用一些工具和技術(shù)來保護您的云免受DDoS攻擊的危害。

公共云服務(wù)并不是IT世界中的世外桃源，它無法對安全方面的威脅免疫，它一樣會受到那些致命攻擊的入侵，其中就包括了拒絕服務(wù)攻擊。即便攻擊者無法入侵某個工作負載或者竊取存儲在公共云中的數(shù)據(jù)，他們?nèi)匀荒軌蛲ㄟ^超量的合法服務(wù)請求或流量來堵塞網(wǎng)絡(luò)，從而降低云應用的運行性能，或者完全禁止某個應用或服務(wù)。

雖然公共云用戶無法防止每一次進攻，但卻可以采用一些重要措施來降低拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)攻擊的負面影響。一個強大的云DDoS和Dos保護計劃可保護您的基礎(chǔ)設(shè)施，以免在惡意攻擊壓力下岌岌可危。

什么是云計算中的Dos或DDoS攻擊?

在云中，每一個應用都是在一個網(wǎng)絡(luò)、計算和存儲的基礎(chǔ)設(shè)施中運行的。而其中每一種資源都有著一個最大的可用上限。例如，一臺網(wǎng)絡(luò)交換機每秒鐘只能轉(zhuǎn)發(fā)和擴散一定數(shù)量的數(shù)據(jù)包。當基礎(chǔ)設(shè)施收到更多的請求或流量超出其應用限值時，應用程序就會忽略那些多余的請求并拒絕服務(wù)。

對于任何計算基礎(chǔ)設(shè)施來說，這種拒絕服務(wù)行為都是一個正常的行為。但是，DoS攻擊就是通過有意識地使用超大流量請求消耗基礎(chǔ)設(shè)施的可用資源來惡意擴大這種拒絕服務(wù)的負面影響。如果攻擊成功，DoS攻擊可能會讓一個應用(甚至整個計算基礎(chǔ)設(shè)施)在數(shù)小時、數(shù)天乃至數(shù)周時間內(nèi)都無法被訪問。

一個DoS攻擊通常都是從同一個IP地址發(fā)出的，所以使用防火墻技術(shù)發(fā)現(xiàn)并禁止其訪問是相對比較容易的。而DDoS攻擊則不同，它常常比DoS攻擊要更加的危險，因為它發(fā)起攻擊的IP數(shù)量更多，從而讓管理人員更難以識別它們，更不用說如何來防范它們了。

DoS或DDoS攻擊對云應用的影響效果與對本地部署應用的影響相類似;即，運行性能下降，應用可能無法訪問。使用云監(jiān)控資源，例如公共云供應商所提供的監(jiān)控工具或日志記錄工具就可發(fā)現(xiàn)并解決這一問題。

什么工具可以有助于防范云DDoS或DoS攻擊?

針對惡意服務(wù)請求的最基本云DDoS和DoS保護措施就是傳統(tǒng)的防火墻。但是，防火墻本身的管理與配置也是一個難題，而且非常耗時，特別對于DDoS攻擊來說尤是如此?；谠频膽贸绦蜃屵@個問題變得更復雜了，因為企業(yè)用戶幾乎或根本就沒有辦法了解公共云中的流量信息。

這一狀況也推動了保護本地與云應用程序的第三方服務(wù)的發(fā)展。市場上有著無數(shù)的云DDoS保護工具與服務(wù)，其中包括了來自于Imperva、CloudFlare、Akamai以及Verisign等公司的產(chǎn)品。這些服務(wù)通常都是以代理服務(wù)器形式工作：一個應用程序的流量首先被送入代理服務(wù)，由這個代理服務(wù)來識別和過濾惡意服務(wù)請求。然后，剩下的非惡意服務(wù)請求就會被送至應用程序。

采用第三方云DDoS或DoS保護服務(wù)的企業(yè)用戶必須同時考慮可用性和可靠性兩方面;如果這個服務(wù)出現(xiàn)故障，那么受保護的應用程序也可能變得不可用。

谷歌選擇使用SDN來應對DoS攻擊

不同的供應商采用不同的措施來幫助用戶保護他們存儲在云中的數(shù)據(jù)。例如，谷歌公司有一個可用于提供、配置和管理虛擬網(wǎng)絡(luò)的Andromeda，這是一個軟件定義網(wǎng)絡(luò)。其目的在于創(chuàng)建一個安全、高性能和可編程的環(huán)境，以用于托管谷歌計算引擎的虛擬機。

Andromeda架構(gòu)包括了一個DDoS攻擊保護措施，同時還提供了透明負載均衡、路由、訪問控制列表和防火墻，上述所有這些功能都使用了底層的Andromeda API和基礎(chǔ)設(shè)施。

用戶還能如何防止云DDoS或DoS攻擊?

雖然目前還沒有哪一個服務(wù)或工具能夠確保完全防范DoS和DDoS攻擊，但還是有一些應用設(shè)計和部署策略能夠有助于減少這些惡意攻擊的負面影響，特別是當在公共云中部署工作負載時尤是如此。

充分利用公共云平臺(例如谷歌云平臺或亞馬遜網(wǎng)絡(luò)服務(wù))中的可用冗余資源，并在多個地區(qū)或區(qū)域部署實例。如果一個地區(qū)或區(qū)域因中斷或攻擊事件受到影響，那么用戶仍然有可以正常接收服務(wù)請求并做出響應的替代實例。

應當向軟件開發(fā)人員和云供應商工程師咨詢，設(shè)計出一個可以為每一個特定應用程序提供所需彈性的云架構(gòu)。請記住，所有的應用都是不一樣的，其中只有最關(guān)鍵任務(wù)工作負載才需要這樣的彈性。

當然，還有一些通用的應對措施可以幫助用戶檢測和防范云DDoS和DoS攻擊。安裝和維護反惡意軟件綜合工具;定期對操作系統(tǒng)和應用程序進行打補丁和升級等操作;對API調(diào)用使用認證機制;以及對本地防火墻或公共云防火墻進行配置以關(guān)閉不使用的端口。