[[177685]]

DDoS攻擊是一個(gè)不斷出現(xiàn)的問(wèn)題，企業(yè)應(yīng)該考慮使用云DDoS防護(hù)服務(wù)。本文，專(zhuān)家Frank Siemons對(duì)有哪些云DDoS可供我們選擇進(jìn)行了探討。

分布式拒絕服務(wù)攻擊的指數(shù)級(jí)增長(zhǎng)(現(xiàn)在要比10年前多達(dá)50倍)讓許多組織擔(dān)心自己會(huì)成為下一個(gè)目標(biāo)。對(duì)于大多數(shù)這些組織來(lái)說(shuō)成為分布式拒絕服務(wù)或者DDos攻擊的受害者只是遲早的事而已，當(dāng)輪到他們時(shí)，組織是否已經(jīng)準(zhǔn)備好，以及他們實(shí)際上可以準(zhǔn)備到何種程度?

2016年BBC網(wǎng)站遭受DDoS攻擊達(dá)到了每秒602千兆位(Gbps)的峰值，成為歷史上最大的一次DDoS攻擊。一次精心組織的有針對(duì)性的DDoS攻擊可以輕松地在受害目標(biāo)上發(fā)動(dòng)100 Gbps持續(xù)的流量。即便組織的平均連接帶寬是以幾乎相同的速度增長(zhǎng)，這些攻擊的復(fù)雜性和特定目標(biāo)性意味著攻擊正在不斷的變得更加難以處理。企業(yè)需要在專(zhuān)屬硬件，軟件和專(zhuān)業(yè)技能上投入大量資源，或?qū)⑦@些DDoS防護(hù)服務(wù)外包給第三方。因?yàn)榈谌娇梢詫⑵浯笕萘康幕A(chǔ)設(shè)施成本分?jǐn)偨o許多不太可能在同一時(shí)間受到攻擊的其他客戶(hù)，這對(duì)于小型，中型甚至一些大型企業(yè)而言，通常是一個(gè)最可行的選項(xiàng)。

云DDoS保護(hù)服務(wù)附加組件

公有云服務(wù)提供商(CSP)，如亞馬遜網(wǎng)絡(luò)服務(wù)、微軟Azure和Rackspace被認(rèn)為最適合應(yīng)對(duì)這種日益增長(zhǎng)的需求。他們正在與云DDoS防護(hù)提供商(例如Cloudflare)競(jìng)爭(zhēng)，但卻擁有一個(gè)最重要的優(yōu)勢(shì)：就是客戶(hù)已經(jīng)在一個(gè)或多個(gè)產(chǎn)品(如IaaS或SaaS)上達(dá)成協(xié)議。這意味著DDoS保護(hù)服務(wù)只是對(duì)現(xiàn)有合同的更多附加。大部分的技術(shù)，例如流量路由，都可以由公有云服務(wù)提供商負(fù)責(zé)，而不需要另一方的介入。

在某些情況下，云服務(wù)提供商可能選擇將DDoS防護(hù)服務(wù)外包給專(zhuān)門(mén)的提供商，如Cloudflare或Imperva。即使是這樣，公有云客戶(hù)仍然沒(méi)有什么可以擔(dān)心的。

云DDoS防護(hù)的潛在好處

除了易于限制服務(wù)提供商的數(shù)量之外，使用云DDoS防護(hù)的一個(gè)好處是CSP了解他們的網(wǎng)絡(luò)，間接的監(jiān)控網(wǎng)絡(luò)以發(fā)現(xiàn)潛在的DDoS攻擊，并對(duì)各種可用的緩解措施有更多的自主權(quán)。在一個(gè)持續(xù)很多天，數(shù)周甚至數(shù)月攻擊的情況下，還可以使用諸如快速重定位到另一個(gè)虛擬網(wǎng)絡(luò)或另一個(gè)真實(shí)的數(shù)據(jù)中心這樣的選項(xiàng)。

另一個(gè)組織應(yīng)該考慮的重要因素是誰(shuí)來(lái)支付由于DDoS攻擊導(dǎo)致的數(shù)據(jù)量劇增的帳單。這個(gè)問(wèn)題更復(fù)雜。盡管許多CSP允許對(duì)DDoS攻擊的情況下所產(chǎn)生的意外的高費(fèi)用不計(jì)入帳單，但這在該CSP負(fù)責(zé)處理DDoS攻擊及其潛在的緩解時(shí)更容易管理和證明。這就要求客戶(hù)對(duì)供應(yīng)商做進(jìn)一步的研究。例如，一些CSP對(duì)流入的流量不收費(fèi)，這是一個(gè)重要的考量因素。

云DDoS防護(hù)的可用選項(xiàng)

這種平臺(tái)范圍內(nèi)的保護(hù)不包括個(gè)人客戶(hù)及其客戶(hù)自己特定的配置，需求和優(yōu)先級(jí)?？蛻?hù)需要進(jìn)一步的處理類(lèi)似基于應(yīng)用程序的DDoS攻擊，這些攻擊的防護(hù)更加定制化和更針對(duì)客戶(hù)的公共托管服務(wù)。想象一個(gè)低到中等帶寬的專(zhuān)門(mén)針對(duì)一個(gè)使用HTTP協(xié)議的客戶(hù)網(wǎng)站的DDoS攻擊。如果不了解網(wǎng)站的細(xì)節(jié)，CSP可能不會(huì)注意到攻擊。CSP安全團(tuán)隊(duì)在沒(méi)有對(duì)該服務(wù)有深入了解的前提下，如何知道這是一次攻擊，而不是一個(gè)受歡迎的在線(xiàn)銷(xiāo)售網(wǎng)站?如果該CSP實(shí)際上檢測(cè)到了攻擊，它有可能不被授權(quán)或不具備足夠的知識(shí)可以采取自定義的緩解措施。這意味著需要一種定制的云DDoS防護(hù)服務(wù)。大多數(shù)的大型公有云服務(wù)提供商都提供可選的每客戶(hù)DDoS防護(hù)，通常需要支付額外的費(fèi)用。這可以提供給客戶(hù)定制的DDoS保護(hù)配置，深入分析和警報(bào)的功能，以滿(mǎn)足客戶(hù)自己的組織結(jié)構(gòu)和需求。

不難看出，公有云DDoS防護(hù)產(chǎn)品很值得研究，特別是那些已經(jīng)可以管理大多數(shù)現(xiàn)有云服務(wù)的產(chǎn)品。當(dāng)然，并非所有組織都將他們主要的在線(xiàn)服務(wù)托管在公有云基礎(chǔ)架構(gòu)中。比如私有云配置或客戶(hù)管理的數(shù)據(jù)中心。在這種情況下，第三方或自管理DDoS保護(hù)的好處就可以脫穎而出。我們有足夠多的選擇，需要做的僅僅只是在不同的選項(xiàng)之間作出各種權(quán)衡。