现在如何选择我的 DDoS 缓解计划？

原创

卓云 2022-02-24 18:43:40 ©著作权

文章标签 解决方案安全策略应用程序 文章分类 云服务云计算

©著作权归作者所有：来自51CTO博客作者卓云的原创作品，请联系作者获取转载授权，否则将追究法律责任

有一些指南可以帮助简化您的选择过程。问以下问题：

在受到 DDoS 攻击时，您能承受几分钟的停机时间吗？

· 如果答案是肯定的，那么请选择按需云 DDoS 保护服务。这是成本最低的解决方案，可有效缓解 DDoS 攻击。回报是延长了几分钟的缓解时间，这是由于需要将您的流量重新路由到提供商的清理中心。

· 如果答案是否定的，则选择Always-On Cloud DDoS 保护服务。此选项可立即缓解（在几秒钟内）DDoS 攻击。

您是否广泛处理 HTTPS 流量？

· 如果是，那么您需要混合 DDoS 保护解决方案，其中本地设备可以缓解 HTTPS 攻击，而云服务可以缓解容量攻击。

你经常被攻击吗？

· 如果是，那么您需要始终在线的云 DDoS 保护服务。按需服务可能会因大量转移您的流量而使您的网络不堪重负。

在选择有效的 DDoS 缓解策略时，有多种风格可供选择。大多数企业选择一种云保护风格（始终在线或按需）。由于其业务性质，金融服务提供商、医疗保健或公用事业公司通常采用混合解决方案：他们需要最大的应用程序可用性并广泛处理 SSL 流量。

COVID-19 危机期间的智能 DDoS 保护

冠状病毒大流行的持续影响正在对全球企业产生重大影响。虽然一些行业受到了严重打击，但其他行业的服务需求却突然呈指数级增长。

可悲的是，这个困难时期并没有为网络犯罪分子提供任何缓刑，他们利用这场危机作为攻击关键基础设施的机会。随着客户、患者和公民现在比以往任何时候都更加依赖关键服务，这些攻击强调了保护基础设施和确保服务可用性的重要性。

随着组织正在适应这些充满挑战的时代，他们需要确保他们也在适应他们的安全性。这包括提高保护能力以确保合法流量激增的安全，通过虚拟专用网络 (VPN) 和远程桌面协议 (RDP) 保护远程访问基础架构，以及保护因需求增长而迅速扩展的基于云的环境.

保护的五项关键能力

基于行为的检测。正如视频会议、远程医疗和政府网站的流量高峰所显示的那样，组织需要一种区分恶意流量和合法流量高峰的方法。在大量闪现人群期间，您的分布式拒绝服务(DDoS) 防御利用基于行为的检测方法来区分攻击者和合法用户至关重要。

实时签名创建。根据传入攻击流量的确切特征量身定制 DDoS 防御签名至关重要。如果您应用签名的范围太窄，则不会阻止任何攻击流量。如果您应用的签名过于宽泛，合法的用户流量将被阻止。依赖速率限制的传统 DDoS 解决方案将无法区分合法流量和攻击流量。

加密攻击防护。超过 90% 的网络流量现在是 HTTPS 加密的。虽然 HTTPS 对于数据保护至关重要，但它为新的 DDoS 攻击打开了大门。HTTPS 需要比客户端更多的来自目标服务器的资源，这意味着黑客可以通过有限的请求发动毁灭性的攻击。防御加密的 DDoS 泛滥是现代DDoS 保护的一项关键要求。

庞大的全球容量。物联网 (IoT)僵尸网络变得越来越大、越来越复杂，并且越来越有能力发起更大的攻击。它们可以在暗网上以相对较小的价格购买。在COVID-19 危机等大规模突发公共卫生事件期间，僵尸网络是一个重大威胁。因此，具有多 TB DDoS 清洗能力的全球分布式 DDoS 清洗网络对于保护至关重要。

托管安全服务。员工短缺和网络安全技能差距是关键问题，但在 IT 团队过度扩张和许多员工远程工作的危机期间，这些问题会变得更加严重。依靠网络和应用程序安全专家，使用完全托管的安全服务进行 DDoS 保护可以减轻您的负担。

设计简单和速度的 DDoS 缓解解决方案

我的一位客户最近经历了DDoS 攻击。嗯，有点。他们认为自己受到了攻击并即将调用 DDoS 缓解服务，但他们却等待，因为他们不能 100% 确定这是一次攻击；可能是停电。

听起来有点熟？如果是这样，你并不是孤独的。市场上有许多DDoS 缓解解决方案，其中大多数提供了令人眼花缭乱的选择。从内部部署到云端，从在线到路径外，从专业点解决方案到一体化集成解决方案，自管理到完全托管，从单线程到带旁路的冗余，还有更多排列可用比大多数客户可以得到他们的头脑。

寻找最适合您的基础设施的工作似乎是一项无休止的工作，因为您的 CISO 可能与您的安全架构师有不同的优先级（显然，他们的想法与您的 SOC 经理不同，而后者关心的事情与采购人员不同）。建立共识可能很棘手。而且您的供应商并没有让六种不同的价格建议变得容易，这些建议看起来都很相似，但变化很小，足以让您和您的同事感到困惑。你开始想，也许你最好还是使用当前 DDoS 缓解供应商提供的任何东西，即使它并没有真正起作用。

我看到我的许多同事和我的客户过度设计了他们的 DDoS 缓解解决方案，以至于我经常想尖叫，“不，请不要——这对你永远不起作用！在纸面上看起来不错——但你有运营资源来实现这一目标吗？”

最复杂的并不总是最好的

通常，您在设计中拥有的选项越多，您的解决方案运行起来就越复杂。因此，冗余的内部部署盒、自动威胁馈送或大容量云清理选项都增加了复杂性。

传统观点是，如果您从供应商那里添加自动化或完全托管的元素，它会变得更简单。但是，您只是将复杂性转移给可能有能力或可能没有能力为您做出决定的其他人，在关键时刻到来。不幸的是，市场上没有人在攻击覆盖方面既简单又完整，因此您必须确定最适合您需求的方法。

我并不是说复杂性不好，只是说复杂的 DDoS 缓解解决方案就像一架战斗机，你需要训练有素的战斗机飞行员来操作它。不要指望它会自己飞。

双供应商选项可能不值得

如果您是银行或大型金融机构，您可能有双重供应商政策。这里有什么问题？！您有两家 DDoS 缓解供应商，因此如果一家无法阻止攻击，另一家应该能够……对吗？

假设提出双重供应商政策的人实际上从未在医院的急诊室工作过。当您受到 DDoS 攻击时，它类似于心脏病发作并需要紧急去医院就诊。你需要一家医院，一个前台，一个医生和护士团队。医疗团队的时间和可用性比手头的设备更重要。同样，您不会购买两种不同的医疗保险单，以防万一您心脏病发作，其中一种会来救您。您必须选择一项保单、一名初级保健医生和一间医院。

DDoS 缓解解决方案是一项紧急服务，单一供应商解决方案更有可能通过 DDoS 攻击检测、缓解和控制您。

冗余是好的，但覆盖所有场景可能不值得

DDoS 缓解的关键设计方面之一是冗余。大多数客户习惯于为其数据中心购买两个本地 DDoS 缓解设备。有些人还购买了旁路开关，以防设备出现故障。除此之外，一些客户有一个混合解决方案，如果攻击量很大，他们可以选择调用云 DDoS服务。

鉴于 DDoS 缓解的关键方面是准确检测和快速缓解，在某些情况下，过度设计解决方案可能会在您实际受到攻击时导致很多混乱。没有一刀切的，但如果你有很多内置的冗余，你需要有准确、方便的文档来配合它。否则，当您受到攻击时，您的团队将不会真正知道要操作哪些旋钮。

仅报告与内联阻止

一些 DDoS 缓解解决方案带有仅报告模式或路径外模式选项。这个想法是当发生攻击时您会收到警报，但您可以选择在分析攻击后对其采取行动。

这在纸上听起来很棒，但我从未真正看到过这个概念在实践中发挥作用。大多数情况下，如果您处于仅报告模式，您甚至都不知道发生了攻击。虽然存在一些误报的风险，但您最好处于阻塞（或串联）模式。否则，拥有 DDoS 缓解解决方案的意义何在？这就像在仅报告模式下进入医院一样——是的，只要让我知道我是否有心脏病发作。