現(xiàn)代商業(yè)分外依賴于數(shù)據(jù)中心。更多的工作負(fù)載、終端以及海量數(shù)據(jù),圍繞資源以及高效技術(shù)的需求不斷增長(zhǎng)。數(shù)據(jù)中心成為任何現(xiàn)代企業(yè)的心臟。虛擬化和云計(jì)算掌舵,許多人認(rèn)為這對(duì)于數(shù)據(jù)中心業(yè)務(wù)而言棒極了。雖然從基礎(chǔ)架構(gòu)的角度看此言不虛,但是我們不能忘了隨著更多的企業(yè)轉(zhuǎn)移到這種類型的平臺(tái),更大的目標(biāo)也出現(xiàn)了。
云計(jì)算為企業(yè)提供了很多新類型的服務(wù)。包括托管選擇、數(shù)據(jù)中心擴(kuò)展以及新的災(zāi)難恢復(fù)策略。越來(lái)越多的云應(yīng)用成為極具增長(zhǎng)的安全威脅。
幾乎無(wú)疑隨著分布式拒絕服務(wù)(DDoS)攻擊的規(guī)模、頻率以及復(fù)雜度不斷上升,托管以及云服務(wù)提供商必須在適當(dāng)?shù)牡胤教峁┛梢员Wo(hù)基礎(chǔ)架構(gòu)和服務(wù)的解決方案?,F(xiàn)在,有三種具體類型的攻擊是攻擊者常用來(lái)攻擊系統(tǒng)的:
容量攻擊
TCP狀態(tài)表耗盡攻擊
應(yīng)用層攻擊
使用反射/放大發(fā)動(dòng)大量攻擊:已報(bào)道的最大攻擊在2014年,為400Gbps,其他的報(bào)道的大型攻擊在300、200和170Gbps,大概十年前,最大的攻擊達(dá)到 8Gbps。
多向量與應(yīng)用層DDoS普遍存在:大部分遭受攻擊的企業(yè)都遭受過(guò)應(yīng)用層攻擊,而多向量攻擊往往結(jié)合了容量、應(yīng)用層以及狀態(tài)表耗盡攻擊。
DDoS攻擊頻繁上升:據(jù)悉2013年大部分遭受攻擊的企業(yè)每月遭受差不多21次攻擊,2014年則差不多上升到了38次。
這種情況下該做點(diǎn)什么呢?當(dāng)然是打一記漂亮的回?fù)袅?。除了自身的安全策略之外,專業(yè)的DDoS防護(hù)服務(wù)則是最佳實(shí)踐選擇。云端衛(wèi)士通過(guò)采集客戶業(yè)務(wù)的DPI數(shù)據(jù),利用成熟的大數(shù)據(jù)分析平臺(tái),實(shí)時(shí)分析客戶的業(yè)務(wù)特點(diǎn),同時(shí)根據(jù)不同客戶的不同業(yè)務(wù)特點(diǎn),有針對(duì)性制定安全防護(hù)策略,并將相關(guān)策略應(yīng)用到分布于全國(guó)各重要節(jié)點(diǎn)的防護(hù)設(shè)備上,對(duì)攻擊數(shù)據(jù)準(zhǔn)確封殺。
此外,通過(guò)與各個(gè)主要運(yùn)營(yíng)商的深度合作,云端衛(wèi)汗死摒棄傳統(tǒng)的DNS引流方式,直接通過(guò)SDN方式進(jìn)行流量牽引與回注,從開啟防護(hù)到防護(hù)生效,僅需15秒鐘。
在通用的x86平臺(tái)進(jìn)行安全防護(hù)引擎的自主研發(fā),跳過(guò)OSI 7層協(xié)議棧的包處理過(guò)程,直接在操作系統(tǒng)內(nèi)核進(jìn)行安全防護(hù)操作,指數(shù)級(jí)的提升了處理效率,每臺(tái)x86服務(wù)器均采用Intel多核Xeon處理器、512G內(nèi)存及萬(wàn)兆網(wǎng)卡,單防護(hù)節(jié)點(diǎn)可以輕松實(shí)現(xiàn)10Gbps的線速轉(zhuǎn)發(fā)與防護(hù),可以有效應(yīng)對(duì)SYN Flood、ACK Flood、UDP Flood、ICMP Flood、NTP/DNS反射等多種類型的DDoS攻擊。
云端衛(wèi)士在國(guó)內(nèi)三大運(yùn)營(yíng)商100多個(gè)骨干網(wǎng)機(jī)房、四/五星IDC機(jī)房均有安全防護(hù)節(jié)點(diǎn)部署,每節(jié)點(diǎn)的防護(hù)帶寬超過(guò)100G,整體防護(hù)帶寬超過(guò)1T,對(duì)于攻擊流量直接就近牽引、防護(hù)及回注,具有明顯的分布式防護(hù)特點(diǎn),單一節(jié)點(diǎn)的失效,并不影響整體安全防護(hù)性能,僅僅是防護(hù)帶寬略有降低,該節(jié)點(diǎn)原來(lái)負(fù)責(zé)的攻擊防護(hù)區(qū)域的攻擊流量自動(dòng)切換到其他最近節(jié)點(diǎn)防護(hù),切換速度為50毫秒,對(duì)于業(yè)務(wù)影響幾乎為零。
隨著企業(yè)不斷進(jìn)入云領(lǐng)域,安全管理員需要尋求其他的選擇來(lái)幫助他們保護(hù)內(nèi)部環(huán)境,同時(shí)保護(hù)云基礎(chǔ)架構(gòu)。對(duì)于任何規(guī)模的數(shù)據(jù)中心或者企業(yè)而言,安全都是一項(xiàng)不斷發(fā)展的挑戰(zhàn)。隨著越來(lái)越多的環(huán)境數(shù)字化,威脅向量也會(huì)不斷發(fā)展。將適當(dāng)?shù)陌踩珣?zhàn)略貫穿到整體架構(gòu)中,企業(yè)能夠前瞻性地阻止并停止新型的高級(jí)攻擊。