隨着雲計算的興起,大量資源觸手可得,這讓DDoS攻擊的成本斷崖般下降,而人們對於互聯網服務的可靠性要求又在不斷加強,這就使得DDoS攻擊所造成的破壞力與日俱增。面對日趨嚴重的網絡安全形勢,企業傳統的見招拆招的孤島式防御手段早已是明日黃花,事實上,不同類型的DDoS攻擊存在顯著不同,並不是只有量大速度快的攻擊才能把服務器搞掛,還有一種攻擊卻反其道而行之以慢著稱,以至於有些攻擊目標被打死了都不知道是怎么死的,這就是慢速連接攻擊,這種攻擊很難防。
回顧五月時的一場 WannaCry 勒索風波鬧得可謂是“滿城風雨”,不法分子利用NSA泄露的危險漏洞“EternalBlue”(永恆之藍)進行傳播,全球至少150個國家、30萬名用戶中招,被感染后,受害者電腦會被黑客鎖定,大量重要文件被加密,提示支付價值相當於300美元的比特幣才可解鎖。而如果在72小時之內不支付,這一數額將會變翻倍,一周之內不支付的話將會無法解鎖。
對此各大雲廠商和傳統IDC服務商都提供抗DDOS攻擊的產品和服務,傳統硬件廠商早年間一直提出N種方案供客戶選擇,然而當你的服務遭受攻擊時,還是讓客戶無法提供有效的保護,17年業界發生過網站遭受攻擊時被斷網,早清退措施,暴力野蠻的方式讓客戶遭受巨大損失,讓客戶對雲廠商提供的服務提供嚴重的質疑。對此我們針對國內外雲廠商的抗DDOS安全服務做個簡單比較,由於廠商太多我們選擇幾家做個對比。
我們先看大家熟悉的BAT陣營:
三巨頭的產品線有一定的對應和競爭關系,他們都有針對各自雲主機用戶的免費抗D服務,目前也都把分布式抗D作為主流技術方向。
國外廠商提供落地服務的目前是微軟的azure,亞馬遜的AWS,由於aws的數據中心和運營模式還不符合中國的要求,我們今天拿微軟的Azure給大家做個比較,我們先看一下Azure提供的產品服務。
以下邏輯圖表以具體示例說明了 Azure 平台提供的許多安全技術:
傳統的安全體系結構與外圍網絡
盡管 Microsoft 為保護雲基礎結構投入了大量資金,但客戶仍必須保護其雲服務和資源組。 安全的多層方案提供最佳的防御措施。 外圍網絡安全區域可防止不受信任的網絡訪問內部網絡資源。 外圍網絡是指位於 Internet 與受保護企業 IT 基礎結構之間的網絡邊緣或組件。
在典型的企業網絡中,核心基礎結構的周邊有多層的安全設備嚴加保護。 每一層的邊界由設備和策略實施點組成。 每一層都可能包括以下網絡安全設備的組合:防火牆、拒絕服務 (DoS) 預防、入侵檢測或保護系統 (IDS/IPS),以及 VPN 設備。 策略可能以防火牆策略、訪問控制列表 (ACL) 或特定路由等形式實施。 網絡的第一道防線(直接接受來自 Internet 的傳入流量)由這些機制聯合起來阻擋攻擊和有害流量,但允許合法的請求進入網絡。 此流量直接路由到外圍網絡中的資源。 該資源可能與網絡中更深處的資源“對話”,並首先通過下一個邊界的驗證。 最外層稱為外圍網絡,因為網絡的這個部分對 Internet 公開,而外圍網絡的兩端通常有某種形式的保護。 下圖顯示了企業網絡中的單子網外圍網絡示例,其中有兩個安全邊界。
有許多用於實現外圍網絡的體系結構。 這些體系結構既可以是簡單的負載均衡器,也可以是多子網型外圍網絡,在每個邊界上設有各種阻止流量和保護更深層企業網絡的機制。 如何構建外圍網絡取決於組織的特定要求及其總體風險容限度。
當客戶將工作負荷移到公有雲時,Azure 中的外圍網絡體系結構必須支持類似的功能,才能滿足合規性和安全性要求。 本文提供有關客戶如何在 Azure 中構建安全網絡環境的指導。 其中重點介紹外圍網絡,但也全面討論了網絡安全的許多層面。 內容文檔從以下問題開始:
• 如何在 Azure 中構建外圍網絡?
• 有哪些 Azure 功能可用來構建外圍網絡?
• 如何保護后端工作負荷?
• 如何控制 Internet 與 Azure 中工作負荷的通信?
• 如何防止本地網絡受到 Azure 中的部署的影響?
• 何時使用本機 Azure 安全功能?何時又該使用第三方設備或服務?
下圖顯示了 Azure 提供給客戶的各種安全層。 這些層是 Azure 平台的本機功能和客戶定義的功能:
對於來自 Internet 的入站流量,Azure DDoS 可幫助防御針對 Azure 的大規模攻擊。 下一層是客戶定義的公共 IP 地址(終結點),可以根據這些終結點確定哪些流量可以通過雲服務進入虛擬網絡。 本機 Azure 虛擬網絡隔離可確保與其他所有網絡完全隔離,而且流量只能流經用戶配置的路徑和方法。 這些路徑和方法就是下一個安全層,在該層中,可以使用 NSG、UDR 和網絡虛擬設備來創建安全邊界,以保護受保護網絡中的應用程序部署。
對於硬件廠商F5推薦企業用戶在實際情況下可以組合構建“運營商清洗服務+本地多層級防御體系+運維和安全架構分離”的聯合防御體系,單獨任何一種都不能獨立解決問題,可編程防護架構是唯一可實現高頻對抗的技術路線。目前在azure的應用商城上推出F5-WAF-12.0,目前提供免費服務。詳情點擊:https://market.azure.cn/Vhd/Show?vhdId=9808&version=10842
在應對DDoS 攻擊的時候,抗DDoS 攻擊設備本身的性能也是非常重要的,各大安全公司非常清晰的認識到了這一點,各公司的應用交付控制器可全面幫助我們網絡和應用防御DDoS,支持您在不中斷應用的情況下添加或刪除模塊化性能刀片。只需根據需要向現有基礎架構中添加更強大的功能,而無需向網絡中添加設備並對應用進行划分,可為您提供所需的可擴展性,幫助您防御DDoS攻擊。
最后提示一下 Azure
中國的應用市場中綠盟,青松,飛塔,瑞數,以色列捷邦安全軟件的CheckPoint頭提供一鍵部署服務,快速幫助客戶提供安全服務。
詳情點擊:
https://market.azure.cn/List/Index?sort=Featured&filters=tag%3Asecurity