您现在的位置是:首页 > 数字化转型 >
DDoS 防御:选择CDN还是混合策略?
2018-05-23 15:31:51作者:NETSCOUT Arbor中国大陆和香港地区总经理 徐开勇来源:
摘要在各种 DDoS 防御方案中,有些企业会选择内容交付网络(即 CDN)服务商。CDN 服务商固然在分布和带宽方面有优势,可以帮助抵御 DDoS 攻击,但作为专用托管型 DDoS 服务同样存在缺点。...
在各种 DDoS 防御方案中,有些企业会选择内容交付网络(即 CDN)服务商。CDN 服务商固然在分布和带宽方面有优势,可以帮助抵御 DDoS 攻击,但作为专用托管型 DDoS 服务同样存在缺点。
一方面,安全并非 CDN 提供商关注的重点。CDN核心业务是内容和应用的交付。攻击调查、对策开发和威胁情报对他们来说是次要任务。另外,CDN 提供商可能缺乏相应的专业技术来研究、分析和了解攻击的性质并提前提出建议以保证安全。
CDN 的首要保护对象是所托管的服务。如果遇到势不可挡的超大规模攻击(这种攻击目前越来越常见),CDN 可能无法保护所有客户的资产,部分客户必定会受到威胁。CDN 启动自动应对时还通常会造成合法流量遭受拦截。由于 CDN DDoS 缓解策略经常利用静态筛选器和 Web 应用程序防火墙 (WAF),在保护云服务方面通常缺乏灵活性和智能性。
“永远在线”(Always On) 并非永远都好
CDN 承诺的“永远在线”保护看起来很好,但深入研究一下就会发现一些问题。“永远在线”可能意味着缓解系统持续监视所有流量,并主动检查和自动触发拦截(“永远缓解”),或只监视流量并被动检查,按需检测可能的攻击并触发缓解操作(“永远监视”)。了解两者之间的差异,以及提供商提供哪一种服务十分重要。
如果是“永远缓解”,则需要最大程度地缓解攻击并同时降低对合法流量的影响,两者之间的平衡问题值得评估。“永远在线”缓解的间接负面影响不仅仅是误报。不必要的流量检查还可能会造成服务延迟。在“永远监视”情况下,用户可能会丧失对攻击检测策略和响应时间的可见性。用户或许能够避免不必要的缓解,但另一方面,也会错过相关攻击提示。此外,旨在检测容量攻击的“永远在线”解决方案也有可能错过小规模的应用层攻击。
“永远在线”保护模型需要复杂的流量均衡以缓解 DDoS攻击同时保护所有客户的正常操作。这并非微不足道,在最近观察到的大规模攻击的情况下,可能会对未受攻击的客户造成缓解影响,或者将受攻击的客户隔离为整个 CDN 容量中的各个子集。客户应仔细评估永远在线提供商是否具有可扩展架构来缓解对部分客户的攻击,同时对其他客户不造成任何影响。
混合 DDoS 解决方案
越来越多的行业分析师和专家将混合安全解决方案作为 DDoS 保护的最佳实践。混合策略包括永远在线的本地部署、专门的检测系统,以及具有按需使用、基于云端缓解功能的缓解系统。大多数攻击规模较小,能够通过本地检测和缓解。本地设备对应用程序流量的熟悉程度也高于 CDN DDoS 解决方案,因此能够更好地识别流量模式中的异常情况。只有在攻击明显超过本地设备的容量时,才会自动触发云端缓解。因此,云组件没有必要“永远在线”,从而节省成本并节约容量,更好地防御实际攻击。
成本可能是 CDN DDoS 提供商的主要优势之一。但混合解决方案会更经济。虚拟技术可取代昂贵的硬件。混合解决方案可在 DDoS 专家的支持下部署为完全托管服务,降低内部 IT 空间和安全人员需求,从而降低整体成本。
另外,CDN 解决方案通常主要依赖于自动操作。如今的攻击者异常狡猾。尽管自动检测和缓解功能至关重要,还需要思维和智慧都超越恶意操作者的富有经验的专业团队才能阻止攻击。由于具有强大的威胁情报网络和深入的研究计划,混合技术解决方案的有效性将高出许多倍,这些优势更有可能在专业的 DDoS 安全专家中找到,而不是将安全作为次要因素的一般 CDN 提供商。
此外,混合解决方案更为经济适用,具有意想不到的成本效益。如今,本地防御可以采取虚拟方式。通过利用完全托管服务,可以降低人员需求,从而削减整体成本,用户只需为实际使用的云容量买单。NETSCOUT Arbor完全托管型混合 DDoS 解决方案能够帮助用户积极克服威胁。
(本文不涉密)
责任编辑:路沙
下一篇:用EAM保障工作场所安全