企業(yè)網(wǎng)D1Net(全球IP通信聯(lián)盟旗下媒體)最近,幾起數(shù)據(jù)中心安全事故的發(fā)生備受矚目,同時(shí)也喚醒了大部分企業(yè)的危機(jī)意識(shí)。技術(shù)部門開(kāi)始致力于研究分布式拒絕服務(wù)是如何攻擊臨界網(wǎng)站,數(shù)據(jù)庫(kù)軟件和服務(wù)器的。眾所周知,任何一次數(shù)據(jù)中心的停機(jī)都將會(huì)導(dǎo)致合作的失敗,品牌的負(fù)面影響、金融的制裁,企業(yè)將因此失去很多的機(jī)會(huì)。許多大公司和機(jī)構(gòu)通過(guò)DDoS事件已經(jīng)充分意識(shí)到了自身系統(tǒng)安全的不足,和眾多潛在危險(xiǎn),因此他們找到了云計(jì)算這一途徑加強(qiáng)自身的防護(hù)。
Arbor 的第六屆網(wǎng)絡(luò)世界安全報(bào)告中顯示,DDoS的攻擊正在迅猛增長(zhǎng),在未來(lái)將可能具有更大的規(guī)模和復(fù)雜性。對(duì)于高端光譜來(lái)說(shuō),大容積的襲擊具有壓迫性,數(shù)據(jù)顯示,最大的攻擊量曾經(jīng)達(dá)到過(guò)持續(xù)100吉比特/秒。這些攻擊很可能超過(guò)總?cè)刖硯挼幕ヂ?lián)網(wǎng)服務(wù)供應(yīng)商,主辦供應(yīng)商、數(shù)據(jù)中心操作、企業(yè)應(yīng)用服務(wù)提供商和政府大多數(shù)機(jī)構(gòu)的數(shù)據(jù)容量的總和,一旦發(fā)生,對(duì)市場(chǎng)將具有毀滅性的打擊。
在光譜,軟件,服務(wù)商這三項(xiàng)攻擊中、 DDoS攻擊的中心不在阻止帶寬上,而在降低后端帶寬計(jì)算能力、數(shù)據(jù)庫(kù)容量和分布式存儲(chǔ)資源和網(wǎng)上服務(wù)速度。例如,服務(wù)器或應(yīng)用程序被攻擊的話可能會(huì)導(dǎo)致一個(gè)應(yīng)用程序變得極慢無(wú)比,服務(wù)器則必須耐心地等待客戶收發(fā)數(shù)據(jù),因而會(huì)導(dǎo)致處理上遇到瓶頸。當(dāng)然最快的攻擊方式還是拒絕服務(wù)攻擊。
如何檢測(cè)和減輕攻擊的破壞性是一個(gè)巨大的挑戰(zhàn),這就要求企業(yè)必須擁有共享的網(wǎng)絡(luò)運(yùn)營(yíng)商,主機(jī)供應(yīng)商。世界領(lǐng)先的數(shù)據(jù)中心普遍使用專業(yè)的、具有高速緩解功能的基礎(chǔ)設(shè)施,有時(shí)也其他供應(yīng)商合作——來(lái)檢測(cè)和阻止攻擊。為了確保供應(yīng)商具有足夠的能力抵抗攻擊,企業(yè)必須部署DDoS緩解系統(tǒng)來(lái)保護(hù)關(guān)鍵的智能應(yīng)用和智能服務(wù)。
為什么現(xiàn)有的安全解決方案不能阻止DDoS的攻擊
明明具有了足夠的安全技術(shù),可企業(yè)為什么還是不能徹底保護(hù)自己免受攻擊呢?雖然企業(yè)在不斷的部署產(chǎn)品,如防火墻和入侵預(yù)防系統(tǒng)(IPS)等,但是網(wǎng)絡(luò)攻擊也是在不斷進(jìn)化的,這就導(dǎo)致了企業(yè)不斷處于被動(dòng)的位置。ip防火墻和其他安全產(chǎn)品作為企業(yè)數(shù)據(jù)中心保護(hù)策略中的基本要素,他們并不能很好的解決DDos的攻擊。因?yàn)樗鼈冎饕菫榱朔乐箯臄?shù)據(jù)中心邊緣和漏洞發(fā)起的攻擊,無(wú)法從整體上保護(hù)數(shù)據(jù)中心。于是技術(shù)人員們進(jìn)行交通檢查,加強(qiáng)網(wǎng)絡(luò)政策和完整性。這使得這些裝置擺脫了放松的狀態(tài),不容易導(dǎo)致資源枯竭,交通阻塞、裝置超過(guò) 禁售期和一些潛在的事故。
對(duì)于軟件層來(lái)說(shuō),DDoS的威脅主要集中在數(shù)據(jù)中心的操作上。因?yàn)镮PS設(shè)備和防火墻變應(yīng)用越來(lái)越普遍,為數(shù)據(jù)中心的攻擊增加了許多的載體——使設(shè)備本身變得更容易被攻擊。但是,不同于以往的是,云計(jì)算的誕生成為了數(shù)據(jù)中心的救星。云計(jì)算具有降低災(zāi)難的能力,服務(wù)商提供的DDoS設(shè)備通過(guò)云計(jì)算能夠很好的對(duì)受害者們的基礎(chǔ)設(shè)施進(jìn)行保護(hù)。
云信號(hào):更快,更自動(dòng)化的數(shù)據(jù)中心防護(hù)
企業(yè)需要服務(wù)商提供更加全面更加綜合的云計(jì)算服務(wù)。例如,當(dāng)數(shù)據(jù)中心經(jīng)營(yíng)者發(fā)現(xiàn)他們的一個(gè)服務(wù)器收到DDoS攻擊,云計(jì)算就應(yīng)該以最快的速度發(fā)出信號(hào)通知技術(shù)人員,技術(shù)人員根據(jù)當(dāng)前情況對(duì)相應(yīng)設(shè)備進(jìn)行修復(fù)!
下列情形的云信號(hào)表示數(shù)據(jù)中心系統(tǒng)收到了攻擊。當(dāng)網(wǎng)絡(luò)工程師注意到了關(guān)鍵服務(wù)無(wú)法執(zhí)行,如在公司的網(wǎng)站上,電子郵件和DNS不能再被訪問(wèn)。這些都是云計(jì)算發(fā)出的攻擊信號(hào)。技術(shù)人員分析后,在一個(gè)重要的服務(wù)器發(fā)現(xiàn)了DDoS攻擊。因?yàn)樵朴?jì)算是將整個(gè)公司的系統(tǒng)集中在一起,工作人員連同它的客戶,都能夠看到系統(tǒng)的每一個(gè)動(dòng)作,那么任何形式的攻擊都能夠在第一時(shí)間被發(fā)現(xiàn)。
直到現(xiàn)在,專家們還沒(méi)有全面解決機(jī)制存在的威脅,軟件DDoS的攻擊主要集中在數(shù)據(jù)中心的邊緣,而體積DDoS的攻擊主要集中在云里。因此,很多數(shù)據(jù)中心運(yùn)營(yíng)商提供保護(hù)服務(wù)的同時(shí)讓企業(yè)從他們那里購(gòu)買DDoS ISP或MSSP兩種軟件。但是數(shù)據(jù)中心缺乏一個(gè)簡(jiǎn)單的機(jī)制來(lái)連接此處所有的云,一個(gè)單一的儀表盤能夠解決這一問(wèn)題。云計(jì)算的好處主要體現(xiàn)在在受到攻擊的瞬間將程序與分離出來(lái),以免造成更大的危害。
當(dāng)工程師發(fā)現(xiàn)這個(gè)問(wèn)題是拒絕服務(wù)攻擊導(dǎo)致的時(shí),工程師可以觸發(fā)一個(gè)云信號(hào)到提供商網(wǎng)絡(luò),以減少攻擊。云信號(hào)包括攻擊的供應(yīng)商,如何提高工作效率的回應(yīng)等等。這將從內(nèi)部為工程師們減少壓力。它也會(huì)允許工程師與上游供應(yīng)商相互合作,彼此之間提供更多的信息,增強(qiáng)云的防守。
隨著DDoS攻擊變得越來(lái)越普遍,數(shù)據(jù)中心經(jīng)營(yíng)者和服務(wù)提供商必須找到新的方法來(lái)減慢DDoS的攻擊演化。供應(yīng)商必須賦予數(shù)據(jù)中心操作員迅速解決雙方高帶寬攻擊的方法,和自動(dòng)攻擊目標(biāo)應(yīng)用層的解決方式。這樣可以節(jié)省公司大量的經(jīng)營(yíng)費(fèi)用, 客戶流失和收入損失。這樣的云信號(hào)服務(wù)在將來(lái)一定能夠有效的提高數(shù)據(jù)中心的防護(hù)!(By Rakesh Shah,sunshine編譯)