在目前的應用經(jīng)濟下,企業(yè)對于應用交付的需求與日劇增。而安全特別是防DDoS能力成為應用交付廠商必備的服務項目,Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應用交付和應用安全解決方案的領(lǐng)導廠商,其解決方案為關(guān)鍵業(yè)務應用提供充分的彈性、最大的IT效率和完整的業(yè)務靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應對市場挑戰(zhàn),保持業(yè)務的連續(xù)性,在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。
近日,天極網(wǎng)采訪了Radware中國區(qū)首席架構(gòu)師姚宏洲,就目前的DDoS市場的熱點問題進行了討論。
新形勢下的DDoS市場
如果說以前的DDoS攻擊是長時間的持續(xù)性行為,那么步入新常態(tài)后,DDoS攻擊時間都低于一小時,不再像以前持續(xù)那么久。姚宏洲表示,攻擊行為產(chǎn)生效果后會在企業(yè)防御前撤退,同時通過變化攻擊手法維持攻擊的有效性。
雖然目前很多運營商提供了流量清洗服務,但是在受到攻擊通知并啟動運營商的流量清洗服務之前,攻擊者可能已經(jīng)轉(zhuǎn)移了。所以這需要企業(yè)在應對DDoS攻擊的時候需要更加有效的防御解決方案。
此外,DDoS攻擊影響的范圍在擴大,比如教育行業(yè)、政府和ISP。對于ISP來說,以前DDoS攻擊的對象是主機托管商的客戶,現(xiàn)在ISP自身也成為被攻擊的對象。
在攻擊手法上,DDoS攻擊出現(xiàn)加密型的攻擊,通過加密,攻擊直接穿透防火墻。而且攻擊是多維度的,不同類型的攻擊混合使用。而且DDoS攻擊的地域特征不是那么明顯,也就是在中國發(fā)生的攻擊也會出現(xiàn)在美國。
另外,DDoS攻擊不再像以前那樣偏向于偏向整個服務的阻斷,所謂阻斷就是服務完全不可用。姚宏洲解釋說,現(xiàn)在的DDoS讓服務變慢而不是直接阻斷,通過影響服務的客戶體驗實現(xiàn)攻擊。比如服務響應慢,其實是DDoS強制占用整個業(yè)務系統(tǒng)資源,從而拖慢系統(tǒng),服務受到干擾,直接影響客戶滿意度。
DDoS攻擊的自動化也是目前的一個新特征。姚宏洲說,如果攻擊自動化,我們的防護也要自動化,才能夠匹配它,攻擊一直在變,你也要有方法。目前企業(yè)應用大多采用CDN加速,這樣的一個問題是雖然加速了企業(yè)應用交付,但是安全問題也隱藏其中。比如CDN加速的是靜態(tài)資源。動態(tài)資源,它會溯源到真實的數(shù)據(jù)中心的服務器來。經(jīng)過CDN加速溯源,對于客戶的數(shù)據(jù)中心而言,他有一個困擾,就是他所看的IP都是CDN的IP,因為CDN會做一個地址轉(zhuǎn)換,在IP層看到的是CDN的IP。
攻擊的用戶跟實際的用戶是夾雜在一起的。所以你需要有一套機制,判斷攻擊者跟非攻擊者。以前以一個IP去判斷是好人還是壞人,現(xiàn)在必須要更深層次判斷,比如基于行為模式。針對于此,Radware有一個機制是根據(jù)指紋進行識別。對于我們的目的站點而言,同一個源地址,有攻擊行為,又有正常行為。雖然都是同一個IP來的,但是這個請求是從某一臺特定設備出來,另外的請求是從另外一臺設備出來,這是我們所謂的設備指紋。
不光CDN,手機上網(wǎng)也是同樣如此。通過基站進行IP地址轉(zhuǎn)換,而通過設備指紋可以很好解決這個問題。
Radware設備指紋識別技術(shù)可以讓Radware客戶無需互聯(lián)網(wǎng)協(xié)議IP地址就可以實現(xiàn)對最終用戶設備的追蹤。通過使用設備的多種特性進行設備的準確識別并與其它設備進行區(qū)分。Radware可以利用專利追蹤技術(shù)生成設備信譽檔案,檔案中包括可以幫助用戶檢測并緩解分布式拒絕服務DDoS攻擊、入侵和欺詐行為等威脅的歷史行為信息。
精確的設備級檢測可以實現(xiàn)更加有效的流量防護,能夠識別那些可以規(guī)避基于IP地址的安全措施的數(shù)據(jù)流。這些數(shù)據(jù)流包括來自內(nèi)容分發(fā)網(wǎng)絡CDN并帶有白名單列表中IP的的惡意流量、采用動態(tài)主機配置的流量(每次訪問互聯(lián)網(wǎng)時都會生成一個新的IP地址)。網(wǎng)絡地址轉(zhuǎn)換NAT設備允許多個設備共享同一個IP地址,同時,匿名代理服務也使在不影響合法用戶/設備的前提下進行IP地址攔截變得非常困難,而設備指紋識別技術(shù)則可以很好地識別這些利用網(wǎng)絡地址轉(zhuǎn)換設備進行互聯(lián)網(wǎng)訪問的惡意用戶。
目前的DDoS攻擊量非常大,姚宏洲表示,為什么攻擊量會突然上升那么多?實際上跟所謂的機器人攻擊和肉機攻擊有直接關(guān)系。從持續(xù)性的攻擊行為,變成大概一個小時內(nèi)的攻擊行為。但是它可以在這么短的時間內(nèi)實現(xiàn)如此大的攻擊量,就是依靠僵尸網(wǎng)絡(Botnet)實現(xiàn)統(tǒng)一的攻擊行為。
針對目前大流量網(wǎng)絡攻擊,Radware推出全新攻擊緩解平臺DefensePro x4420,提供高達300Gbps/230Mpps的攻擊防御處理能力。Radware的這一全新平臺可以防御當前最棘手的高容量DDoS攻擊,如:UDP反射攻擊、分片泛洪攻擊和OOS泛洪攻擊等,同時還可以識別和緩解隱藏在多載體攻擊中的復雜低容量威脅。
作為業(yè)界首個可以支持100Gb接口及每秒2.3億個攻擊包處理能力的專用攻擊緩解平臺,Radware DefensePro x4420支持多租戶使用環(huán)境,可以為每個租戶提供多達1000條主動安全策略、獨立的處理能力和定制化的管理及報告功能。
云計算下的DDoS攻擊
我們知道目前云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等對于企業(yè)IT基礎(chǔ)設施產(chǎn)生了巨大的影響,對應著企業(yè)安全也受到這些技術(shù)趨勢的影響。比如物聯(lián)網(wǎng),姚宏洲表示,IoT物聯(lián)網(wǎng)成為僵尸網(wǎng)絡,帶寬不大,但是請求比較多,請求的巨量直接實現(xiàn)服務的阻斷和干擾。
另外,云計算的發(fā)展雖然給企業(yè)帶了紅利,但是企業(yè)應用的云端遷移讓其脫離企業(yè)本地的安全體系,而云提供商并不具備這樣的安全防護,從云端來的數(shù)據(jù)直接進入企業(yè)內(nèi)部。這對于企業(yè)安全造成了很大的困擾。
所以,企業(yè)需要在云端部署安全解決方案,實現(xiàn)本地防護體系與云端互動。姚宏洲說,雖然目前市面上的安全廠商也推出了云端的解決方案,而其也實現(xiàn)了與本地的互動。但是他們的這種互動只是局限于通知聯(lián)動的功能,如何實現(xiàn)防護信令和策略的同步才是本地物理的防護擴展到云端虛擬化環(huán)境的關(guān)鍵。這也是Radware云端安全策略的最大優(yōu)勢。
信息的溝通內(nèi)容非常重要,姚宏洲以消防員接到失火通知為例,如果只是單純告知失火,消防員并不能有針對性地滅火。當詳細告知失火地址、失火時間、失火類型等信息,消防員才能提前準備好相應的有效設備進行快速滅火。對應企業(yè)安全也是如此,本地設備遭受攻擊的詳細信息被上傳到云端,才能部署更為有效的防御手段。
安全策略同步派發(fā)到云端,或者是甚至有人在攻擊云端的時候,你可以把這個信息,通知本地設備,這樣形成一個防護網(wǎng)才能真正實現(xiàn)云端的防護。拿Radware設備指紋來說,如果有人攻擊本地數(shù)據(jù)中心,我會記錄他的設備指紋,然后把這個相同的設備指紋派發(fā)到云端防護設備,這樣就可以很好地實現(xiàn)企業(yè)混合云環(huán)境的安全防護。
對于云端CSP如何實現(xiàn)自身的安全防護,姚宏洲給出了相應的建議。CSP應該保護好自身的基礎(chǔ)設施,在保護基礎(chǔ)設施以外,還可以再賣給他的客戶,變成一個安全的增值服務,實現(xiàn)創(chuàng)收。
目前Radware針對CSP除了安全防護方案,還有頁面加速及服務等級保障監(jiān)控的方案。Radware會從兩個方向來看,一個是應用交付,一個是應用安全,從這兩個面實現(xiàn)應用保障。姚宏洲補充說,我們跟CSP的整合,最重要的是靈活度,也就是我們的API跟他們的業(yè)務的綁定。從應用交付和應用安全兩個方面實現(xiàn)自動化的聯(lián)動。另外,我們看到OpenStack在CSP中普及,Radware也提供了相應的API來實現(xiàn)與OpenStack的集成。
所以,Radware的安全設備不單單只是考慮到所謂的安全威脅防護,實際上也注重應用的保障跟其他第三方的開放整合。在商務模式上,Radware也是非常靈活的,可以根據(jù)客戶需求進行定制,比如服務采用Radware,而品牌采用他們自己的,CSP可以據(jù)此提高ROI投資回報率,實現(xiàn)安全服務的拓展。
總結(jié)
目前DDoS攻擊市場呈現(xiàn)了很多新的特征,Radware創(chuàng)新性將應用交付和應用安全進行整合,而從最大程度保障企業(yè)業(yè)務的連續(xù)性。