越来越多的组织正在采用

云保护的兴起

越来越多的组织正在部署基于云的 DDoS 缓解服务。事实上,Frost & Sullivan 估计,到 2021 年,基于云的缓解服务将占 DDoS 保护支出的 70%。

采用基于云的保护的原因有很多。首先也是最重要的,是容量。随着 DDoS 攻击的规模越来越大,能够使入站通信管道饱和的大容量DDoS 攻击变得越来越普遍。出于这个原因,拥有大规模的基于云的清理能力来吸收此类攻击是必不可少的。

此外,基于云的 DDoS 防御是按即用即付 SaaS 订阅模式购买的,因此组织可以快速扩大或缩小规模,而无需提前分配大量资本支出 (CAPEX)。此外,与本地设备相比,云服务通常提供更轻松的管理和更低的开销,并且不需要专职人员进行管理。

因此,越来越多的组织正在寻求云来进行DDoS 保护也就不足为奇了。

尽管有云的好处,但仍然有几个关键原因使组织仍然希望维护他们的硬件设备以及基于云的服务。

双向交通可见性

根据定义,基于云的服务仅提供对进入组织的入口或入站流量的可见性。他们检查流向源的流量,并清除它识别的恶意流量。虽然这对于大多数类型的 DDoS 攻击来说非常好,但某些类型的 DDoS 攻击需要对两个流量通道的可见性才能被检测和缓解。

需要了解出口流量才能检测到的攻击示例包括:

· 状态外协议攻击:这些攻击利用协议通信过程中的弱点(例如 TCP 的三次握手)来创建耗尽服务器资源的“状态外”连接请求。尽管这种类型的某些攻击(例如 SYN 洪水)可以仅通过对入口流量的可见性来缓解,但其他类型的状态外 DDoS 攻击(例如 ACK 洪水)也需要对出站通道的可见性。将需要对出口通道的可见性来检测这些 ACK 响应是否与合法的 SYN/ACK 响应相关联,因此可以被阻止。

· 反射/放大攻击:这些攻击利用某些协议或请求类型的不对称特性来发起会耗尽服务器资源或使出站通信通道饱和的攻击。这种攻击的一个例子是大文件下载攻击。在这种情况下,需要对出口通道的可见性来检测从网络流出的出站流量的峰值。

· 扫描攻击:此类攻击经常带有 DDoS 攻击的特征,因为它们会用大量错误的连接请求淹没网络。此类扫描经常会生成大量错误回复,这可能会阻塞出站通道。同样,需要对出站流量的可见性来识别相对于合法入站流量的错误响应率,以便防御可以断定攻击正在发生。

应用层保护

同样,依赖基于本地的设备对于应用层 (L7) DDoS 保护和SSL处理具有一定的优势。

某些类型的应用层 (L7) DDoS 攻击利用已知的协议弱点来生成大量伪造的应用程序请求,从而耗尽服务器资源。此类攻击的示例是低速攻​​击或应用层 SYN 泛洪,它们会引出 TCP 和 HTTP 连接以持续消耗服务器资源。

同样,尽管云清理服务可以缓解某些此类攻击,但缓解某些类型的攻击需要基于云的缓解服务通常不具备的应用程序状态意识。

使用具有应用层 DDoS 保护功能的基于本地的 DDoS 缓解设备使组织能够拥有此功能。

SSL DDoS 防护

此外,SSL 加密增加了另一层复杂性,因为加密层使得检查流量内容中的恶意流量变得困难。为了检查流量内容,基于云的服务必须对所有流量进行解密、检查、清除不良流量并重新加密,然后再将其转发到客户来源。

因此,大多数基于云的 DDoS 缓解服务要么根本不为基于 SSL 的流量提供任何保护,要么使用要求客户将其证书上传到服务提供商的云基础设施的全代理 SSL 卸载。

但是,在云中执行完整的 SSL 卸载通常是一个繁重的过程,会增加客户通信的延迟并侵犯用户隐私。这就是为什么许多组织对与第三方云服务提供商共享其 SSL 密钥犹豫不决或没有能力的原因。

同样,部署基于本地的设备允许组织在将 SSL 证书保留在内部的同时防止 SSL DDoS 泛滥。

分层保护

最后,将基于前提的硬件设备与云服务结合使用可以实现分层保护,以防攻击流量以某种方式通过云保护。

使用基于场所的设备允许组织直接控制设备配置和管理。尽管许多组织更喜欢由基于云的托管服务来处理,但一些组织(和一些安全经理)更喜欢拥有这种更深层次的控制。

此控制还允许安全策略粒度,以便可以根据组织的需求精确调整安全策略,并覆盖云层没有或不能覆盖的攻击向量。

最后,这允许安全故障转移,因此如果恶意流量以某种方式通过云缓解,设备将处理它。

最佳实践:混合方法

最终,由每个组织决定什么是最适合他们的解决方案,以及哪种类型的部署模型(设备、纯云或混合)最适合他们。

尽管如此,越来越多的企业正在采用一种混合方法,将硬件设备的安全粒度与云服务的容量和弹性之间的两全其美结合起来。

特别是,一个越来越流行的选项是永远在线的混合解决方案,它将永远在线的云服务与硬件 DDoS 缓解设备相结合。结合这些防御措施,可以针对容量保护提供持续、不间断的保护,同时还可以防止应用层和 SSL DDoS 攻击,同时减少 SSL 密钥的暴露并改进 SSL 流量的处理。

基于云的 DDoS 防御,并将其替换为旧的、基于本地的 DDoS 设备。尽管如此,仍然有很多原因可以让您保留该DDoS 设备。