托管式DDoS防护服务：如何辨别卓越服务提供商

　　托管式DDoS防护和缓解服务已经得到广泛认可。与可以监督系统运行的提供商合作可以解决大量的IT问题，增加员工资源，还可以获取DDoS专业知识。但托管式DDoS服务不尽相同，如何辨别卓越服务提供商?NETSCOUT Arbor 认为以下几点值得参考。

　　处理自定义工作流程的灵活性

　　您可能已经有一些适用于处理DDoS威胁的操作流程和程序。托管服务提供商应该能够根据您的流程进行调整，以适应您的需求，而不是要求您更改流程。例如，您的联系和通信协议是什么?在哪些情况下您希望服务提供商自行启动缓解措施，或者寻求您的授权?提供商是否可以根据不同的警报类型或事件级别支持不同的操作?优秀的供应商会花时间了解您的流程，并且可以灵活地在其中工作。但许多甚至是不错的供应商，不具备这种灵活性。

　　以客户为中心的报告和情报

　　好的DDoS提供商提供的报告会详细说明最新事件和为响应安全事件而采取的措施。卓越的提供商则会采取更积极主动的咨询式方法，利用全球威胁情报作为依据，为改善安全状况提供建议。托管服务提供商还应该能够提供领导层报告，让您能够向管理层呈现投资回报率(ROI)和关键指标。

　　网络规模

　　DDoS攻击的绝对规模日益扩大并迅速接近TB级别，这主要是由于放大技术的应用和物联网(IoT)僵尸网络的出现。具备承受和缓解已知最大规模攻击的能力已成为必然。同样重要的是要在多个位置具备分布式基础设施，以便在尽可能接近攻击源的地方进行缓解。这不仅可以避免重重障碍，还可以缩短缓解周期的时间。

　　虽然绝对网络规模是一个重要的考虑因素，但专用于DDoS缓解的容量也非常重要。例如，一些拥有巨大网络容量的内容交付网络和网络服务提供商可能会将提供DDoS防护作为副业。但是，他们将把大部分网络容量投入到主线业务上只会让DDoS客户面临风险。

　　因此，专业提供商对缓解大规模攻击至关重要。话虽如此，托管服务提供商为众多客户提供支持，总会有多个客户同时遭到攻击的风险。因此，考虑到潜在攻击可能具有任何规模，具有与之相当或是其两倍的容量水平是不够的，网络必须比已知的最大攻击规模大几个数量级。10TB容量正迅速成为定义现代托管式DDoS提供商的标准。

　　团队经验

　　好的提供商会在很大程度上依赖自动化，诚然，自动化在提供有效的DDoS防护方面发挥重要作用，但无法始终区分善意流量和恶意流量。如果不进行检查，它有可能阻止合法流量，产生大量误报。打败邪恶的攻击者需要发挥人的智慧，即能够识别和分析真实的攻击，了解攻击来源并迅速确定攻击目的。优秀的提供商应具备专业的研究团队，他们在研究、分析和监督成功的DDoS攻击缓解案例方面具有数十年的经验，还应具备深厚的安全专家储备，他们具有丰富多样的专业背景和互相补充的技能。

　　混合解决方案是最佳实践

　　许多托管服务产品是完全基于云端的，这意味着，缓解操作完全在“始终在线”的云端系统中进行，这会导致运营成本迅速升高。安全专家越来越认为，结合本地容量和云端容量的混合解决方案是防御DDoS攻击的最佳做法。本地组件通常能够捕获大部分恶意流量。如果攻击威胁到本地设备，可能耗尽本地设备的容量，云端容量则会自动激活。

　　不仅如此，混合解决方案比想象中节省成本且具有更高价值。如今，本地防御可以采用虚拟设备，通过完全采用托管服务可以降低人员配备要求，从而抵消成本。而且，您只需要购买自己所消耗的云端容量。

　　综上所述，何不寻求卓越服务?

　　关于作者

　　徐开勇(George Tsui)

　　NETSCOUT Arbor中国和香港地区总经理

　　徐开勇(George Tsui)先生现任NETSCOUT Arbor中国和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

　　徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。